Ransomware – I LOVE YOU naszych czasów.

Do napisania tego tekstu skłonił mnie ostatni weekend gdzie starałem się pomóc znajomemu administratorowi, po tym jak jeden z klientów, którym się opiekował, padł ofiarą użycia oprogramowania typu ransomware. Celowo nie użyłem tu określenia ofiarą „wirusa”, gdyż tą kategorią zwykliśmy określać w pełni autonomiczne oprogramowanie infekujące system i dokonujące na nim zmian. Ransomware, choć w pewnych punktach zgodne z opisanym modelem działania, wykracza poza nie i robi to wielkim stumilowym krokiem. To już nie złośliwe oprogramowanie i błędy platformy, lecz przed wszystkim… człowiek, dlatego ransomware jest tak skuteczne – posiada ludzkiego operatora.

Jak wygląda atak z użyciem ransomware? Poniżej postaram się przedstawić kilka najczęstszych wektorów ataku.

Oprogramowanie ransomware dostarczane jest trzema głównymi drogami:

- poprzez załączniki i linki w poczcie email,
- poprzez zainfekowane klucze USB, 
- poprzez dostęp za pomocą usług sieciowych takich jak RDP, WWW,FTP,SSH SMB. 

O ile dwie pierwsze metody są dobrze znane niemal każdemu użytkownikowi sieci, bo kto nie dostał faktury z "DHL" lub wezwania przedsądowego z linkiem do „szczegółów”? Komu AV nie zaczął krzyczeć po wpięciu „gwizdka” od znajomego, który znalazł „cracka” na nowy Office, chociaż nie było jeszcze premiery tego ostatniego? Oczywiście jest to duże zagrożenie, szczególnie w biurach, gdzie użytkownicy mierzą się z takimi „wiadomościami” kilka razy dziennie. W 90% sytuacji połączenie oprogramowania antyspamowego, antywirusowego + umiejętność świadomej obsługi komputera, powinno nas uchronić od zagrożenia. Oczywiście, jeżeli mimo tego, że „wezwanie” od komornika przychodzi z adresu johny44647@yahoo, jest pisane przez google translator i do otwarcia załącznika „pdf” wymaga rozpakowania archiwum zip i wpisania hasła 123, nie budzi naszej nieufności… Cóż można tu więcej powiedzieć… Gdy na YT, ktoś zrobi coś naprawdę „obciachowego”, hejterzy piszą wtedy „zabij się” – źli ludzie tak piszą i nie wolno tak robić, ja tak nie robię…zabraniam wam tak robić…to jest bardzo złe… poważnie…nie ale serio, no, ale bez żartów…

Skupmy się jednak na ostatniej metodzie ataku, jaką jest dostęp do danych za pomocą usług sieciowych. Jeszcze parę lat temu mówiło się "komputer bez Internetu to nie komputer" i zdarzała się polemika przy tym twierdzeniu. Dziś przynajmniej w branży IT, zdanie "sieć firmowa bez dostępu zdalnego, to nie sieć", wydaje się oczywiste. Nie znam ani jednego administratora, który nie wykorzystuje jednego z wielu protokołów dostępu zdalnego. Coraz więcej firm korzysta z rozwiązań serwerowni utrzymywanych w kolokacjach, oprogramowania działającego w ramach usług terminalowych i dostępu do biura pracowników po godzinach. Możemy się spierać, czy to dobrze, czy nie, jednak tak wygląda codzienność. Poniżej postaram się opisać ciekawy przypadek, który pojawił się u jednego z klientów, dla którego wykonuję zlecone prace. 

Środowisko

Klient X w swojej organizacji wykorzystuje system ERP udostępniony przez centralę poza granicami Kraju. W swoim lokalnym biurze w Polsce posiada serwerownię, w której znajduje się lokalny serwer plików i serwer terminalowy ze wspomnianą aplikacją ERP, która to łączy się z pośrednim serwerem bazodanowym również utrzymywanym w tej lokalizacji. Dostęp do aplikacji możliwy jest z poziomu komputerów w biurze i zdalnie poprzez tunel VPN + pulpit zdalny do serwera terminalowego - metoda wykorzystywana przez handlowców. Wszystkie komputery posiadają aktualne oprogramowanie antywirusowe i politykę haseł.

Co zawiodło ? 

Domyślam się, że opisana wyżej konfiguracja dotyczy wielu firm na świecie i wielu osobom czytającym ten tekst jest dobrze znana. Co się więc wydarzyło?

Oprócz pracowników dostęp do systemu posiada księgowość, wykonująca prace w ramach umowy outsourcingowej. Przeznaczony do tego komputer tym różni się od standardowych w organizacji, że ze względu na potrzeby pewnych aplikacji, wymaga by użytkownik miał prawo zapisu w określonych katalogach systemowych i gałęziach rejestru. Pewnego dnia, Pani Y stwierdza, że musi wykonać aktualizację przepisów (cokolwiek to znaczy) w swoim programie i nie zastanawiając się długo szuka aktualizacji "w necie" i ściąga "instalator". Instalator zaczyna działać i pobiera na komputer "paski narzędzi" do przeglądarki, jakiś "przyspieszacz komputera" itp. Pani nie posiada uprawnień administratora więc dostaje odmowę. Tu temat się kończy . Na drugi dzień przy uruchomieniu pewnej aplikacji, Pani dostaje komunikat o znalezieniu wirusa. Powiadamia swój dział IT, który akurat ma obłożenie, natomiast log automatyczny ze zdarzenia, który trafia na naszą konsolę AV, rozmywa się w setkach innych alertów.... życie. Program antywirusowy blokuje i usuwa wirusa, lecz... jest już trochę za późno.

Wspominałem już o polityce bezpieczeństwa haseł? Mityczny Święty Graal bezpieczeństwa informatycznego - hasło ma być trudne i często zmieniane... taki Nobel i Darwin w jednym... Chyba większość administratorów IT wie co się wtedy dzieje - hasła na karteczkach, w arkuszach excellowych, w plikach tekstowych itp. itd. Dochodzi to tego fakt, że przecież system nie jest jeden, a haseł i loginów Pani z księgowości ma co najmniej kilka, jeżeli nie kilkanaście. Pani Y z naszego przykładu zapisywała sobie hasła w plikach tekstowych bezpośrednio na pulpicie, w efekcie czego pobrany wirus, zanim został wykryty, wysłał w kosmos (net) konfigurację vpn i wspomniane pliki tekstowe... 

Po zawodach 

Kilka dni po tym zdarzeniu, część danych na serwerze którym się opiekuję, została zaszyfrowana. Intruz uzyskał dostęp do serwera terminalowego na poświadczeniach Pani Y i zaszyfrował pliki w folderach sieciowych do których miała dostęp na serwerze plików. Backup i wielopoziomowe uprawnienia ograniczyły, i zniwelowały zniszczenia, jednak efekt około zawałowy pt. o ku...a! pozostał, nie wspominając o dniu przestoju (przywrócenie serwera z obrazów, weryfikacja innych komputerów, zmiana wszystkich haseł itp. itd.)

Kto dał d..y?

Ja i ludzie, którzy ze mną współpracują, bo poddaliśmy się tej faszystowski ideologii zmiany haseł, wprowadziliśmy politykę bez namysłu i uwzględnienia tego, że po drugiej stronie jest człowiek. Ja i ludzie, którzy ze mną współpracują, gdyż zainstalowaliśmy oprogramowanie VPN w domyślnej lokalizacji. Być może, gdyby był w innej, mechanizm wirusa nie znalazł by i nie przesłał tak szybko konfigów. Ja i ludzie, z którymi współpracuję, gdyż nie reagujemy odpowiednio szybko i wnikliwe na tego typu zdarzenia. Być może jest to spowodowane tym, że gdy rozmawiam z kolegą administratorem z centrali w UK i proszę o zmianę limitu wielkości załącznika wysyłanej wiadomości na serwerze Exchange, on mówi, że musi to uzgodnić z administratorami Exchange i administratorami firewalla... Co za nierób... Czy to oznacza, że nie zarządza 40 serwerami i 800 komputerami, poprawiając przy tym konfigurację firewalli, drukarek , utmów, przez tworzenie dokumentacji , procedur i podpinając myszkę Pani Basi? i to przez 10- 12h dziennie? W d...ie im się poprzewracało... albo i nie...

Kto jeszcze jest winny? Producenci softu, którzy nie radzą sobie z napisaniem programu nie wymagającego podniesienia uprawnień. Tu mógłbym wymienić niemal większość producentów biznesowego oprogramowania w naszym kraju. Choć jest dużo lepiej niż było jeszcze 5 lat temu, to nadal, zawsze z "czymś" jest problem, gdy soft nie działa na koncie z uprawnieniami administratora. Wielu producentów jawnie pisze, że należy wyłączyć UAC, bo inaczej się nie da. To nie jest wina architektury systemu, lecz niedbalstwa i lenistwa programistów. A skoro wspominam o architekturze systemu - oczywiście Microsoft nie jest bez winy. Czy naprawdę tak trudno wprowadzić do systemu funkcję "runonly", gdzie np. po instalacji całego wymaganego oprogramowania jednym przestawieniem suwaka można by zablokować każdy inny wykonywalny plik, poza tymi na dzień przesunięcia suwaka? Wiem, że gdy ostatnio pojawił się artykuł o sklepie Windows i funkcji pozwalającej na instalację programów tylko z tego źródła, wielu zaczęło rzucać kamieniami, jakoby to zamach na "wolność". Ale czy skanowane, weryfikowane i pilnowane miejsce na aplikacje, nie byłoby dobrym rozwiązaniem? Przecież robi tak Apple, Google i niemal każda dystrybucja Linuksa ma swoje oficjalne repozytorium z paczkami. Dlaczego nie Windows? 

Skończmy już z tym obwinianiem, bo winny jest jeden - osoba/osoby, które zagrożenie tworzą i na nim zarabiają. Tak się składa, że przed napisaniem tego tekstu skontaktowałem się uczestnikiem takiego procederu, by mnie oświęcił, jak wygląda to od kuchni. A wygląda to tak : 

Pracując w firmie X złożono mu propozycję, że są pieniądze do zarobienia - spore. Wymagana jest wiedza, samodyscyplina i poufność. Dostaje 2 tygodnie urlopu i oficjalnie firma w tym czasie nie wie, gdzie jest i co robi. Następnie bilet i Czeska Praga wita na dwutygodniowym hackathonie, gdzie spotykają się ludzie z różnych krajów, łącznie 40 osób. Zasady są proste: 12-14h dziennie kodowania, potem drink i do hotelu. Żadnego zwiedzania. Z jego wypowiedzi wynikało, że jego zespół 15 osób, odpowiadał za oddanie "panelu administracyjnego" botneta i nie miał żadnego pojęcia, co pisała reszta zespołów i dla kogo. Jedno jest pewne, komuś wyłożenie niemałych pieniędzy musiało się opłacać (organizacja, zwerbowanie nieprzypadkowych osób, sprzętu itp.). Zresztą nie zaczynali od początku, lecz kontynuowali czyjąś pracę i również nie oddali projektu ukończonego. 

Wracając do naszego "włamania", gdy dane z komputera Pani Y z księgowości dostały się już w niepowołane ręce, to nie wirus-automat zaszyfrował serwer, zrobiła to żywa osoba. Pozostawiła ona pewne ślady np. w momencie, gdy plik z wirusem został skopiowany na dysk serwera, zadziałał antywirus i usunął go. Ta osoba musiała to widzieć, bo próbowała wyłączyć antywirusa, następnie wylogowała się z systemu opcją logoff, a więc z GUI, a po około godzinie zalogowała ponownie, tworząc zadanie automatyczne i umieszczając program nie będący wirusem, a tylko "downloaderem" właściwego mechanizmu, w tym przypadku program Rapid. 

W temacie mojego wpisu napisałem, że oprogramowanie ransomware to ILOVEYOU naszych czasów, nawiązując do wirusa "I Love You" rozsyłanego 18 lat temu, który uszkodził miliony plików na całym świecie. Skąd to porównanie? W obu przypadkach, oprócz oczywistego mechanizmu destrukcji, podstawową metodą dostarczania jest poczta email i informacja mająca na celu uśpić nasz rozsądek, poprzez wywołanie na użytkowniku reakcji emocjonalnej - "Kocham Cię", "Zobacz moje nagie zdjęcia", "Wezwanie do zapłaty", "Postępowanie komornicze", "Nieodebrana przesyłka" itp. Oczywiście ransomware ma inny cel, jakim jest uzyskanie okupu za odzyskanie zaszyfrowanych (skradzionych) danych, jednak nie sposób nie zauważyć podobieństwa. 

Czy jest nadzieja? Ktoś powie - oczywiście - wystarczy skończyć z kryptowalutami i automatycznie pewne działania staną się nieopłacalne. Po części to prawda, jednak rozwój technologii otworzy nowe drogi "popytu" na kradzież i znów sytuacja się powtórzy. Jedynym wspólnym mianownikiem jest człowiek, i tak jak kiedyś, dosowe wirusy rozchodziły się na dyskietkach 3,5'' po giełdach komputerowych, tak być może nowe zagrożenia będą rozprzestrzeniać się przez trójwymiarowe filmiki, za pomocą portali społecznościowych przyszłości lub kryć się jako "fejkowe" długopisy, kupowane w sklepie GoogleMS, dla biurek widzianych w rozszerzonej rzeczywistości... 

No właśnie człowiek... Uważam, że sama metodologia działania ransomware nie powiedziała ostatniego słowa. Z pewnym lękiem i niedowierzaniem przyglądam się ostatnim zmianom w zakresie przepisów RODO. Na wielu stanowiskach komputerowych zawitało oprogramowanie do szyfrowania, ponadto ludzie zaczęli się oswajać z "zaszyfrowaną" wiadomością i monit o podanie hasła do pliku nie zapala czerwonej lampki, a wręcz utwierdza w przekonaniu, że to coś "ważnego". Szczególnie jest to widoczne w kancelariach adwokackich, które współpracują z towarzystwami ubezpieczeniowymi, gdzie nacisk na szyfrowanie wszelkiej informacji jest bardzo duży... 

I na zakończenie, jakiś czas temu prowadząc szkolenie z bezpieczeństwa IT, po godzinie omawiania zagrożeń łączących się z załącznikami w poczcie, od słuchacza z pierwszego rzędu, usłyszałem: 

"A ja właśnie uruchomiłam załącznik i teraz mi coś tutaj kursor tak dziwnie miga..."