Czy rok 2020 zdominują newsy o hackerach publikujących w sieci dane niepokornych ofiar? Co jeśli faktycznie tak się stanie? Firmy będą musiały przestać chować głowę w piasek, a zacząć traktować atak ransowmare jak kradzież danych…. Którą faktycznie on jest. Nie oszukujmy się, że przed zaszyfrowaniem plików hackerzy nie zbierają wszystkich możliwych informacji, które można w jakikolwiek sposób zmonetyzować. Pokazują to liczne kampanie o których pisaliśmy w przeszłości. Tylko w tym zestawieniu donosimy wam o nowych działaniach twórców ransowmare Ryuk oraz REvil. Dowiecie się również o nowych metodach ochrony przez phishingiem (Google Chrome), o kradzieży danych dzięki manipulacji napięcia procesora, czy ostatniej aktualizacji od Microsoft.
Zestawienie rozpoczynany od informacji nt. ransomware Ryuk, a dokładnie…
1. Deszyfrator Ryuk uszkadza większe pliki, więc nawet jeśli zapłacisz nic nie zyskasz…
Ryuk jest dobrze znany organizacjom oraz firmom z sektora prywatnego od lat. To jeden z bardziej „udanych” ransomware, generujący przestępcom ogromne zyski. Zwykle atak odbywa się za pośrednictwem innego malware’a, który działa już w systemie ofiary. Po zainfekowaniu, Ryuk sieje spustoszenie szyfrując dane za pomocą kombinacji RSA i AES.
Analiza Ryuk pokazuje, że posiada on kilka bardzo interesujących funkcji. Jedną z nich jest możliwość tylko częściowego szyfrowania danych. W momencie kiedy zagrożenie natrafi na plik większy niż 57000,000 bajtów (lub 54.4 MB) szyfrowane są tylko niektóre jego części. Celem przestępców jest zaoszczędzenie czasu i maksymalne przyspieszenie procesu szyfrowania zasobów…. zanim ktokolwiek zorientuje się, że dzieje się coś podejrzanego.
Pliki tylko częściowo zaszyfrowane posiadają inne rozszerzenia. Obok standardowego znacznika _HERMES znajdują się również informacja jak wiele z 1 000 000 bajtów bloków zostało zaszyfrowanych. Jej brak jednoznacznie wskazuje, że plik został zaszyfrowany w całości.
Co z tego?
Wraz z wydaniem ostatnich wersji Ryuk, przestępcy zmienili mechanizm zliczający ilość zaszyfrowanych bloków pliku. Obecnie deszyfrator dostarczony przez jego twórców obcina zbyt wiele bajtów podczas odszyfrowywania. W zależności od wielkości oraz typu pliku może wywołać to dodatkowe problemy. W najlepszym wypadku odcięty bajt nie był używany – mamy wtedy do czynienia z wyrównywaniem pliku do określonych granic rozmiaru pliku. Jednak wiele formatów takich jak obrazy dysku VHD/VHDX lub bazy danych (np. Oracle) przechowują istotne dane w brakujących bajtach. W takiej sytuacji uszkodzenia uniemożliwiają poprawne zamontowanie lub otwarcie pliku po jego odszyfrowaniu.
Ryuk zaatakował, co może zrobić ofiara?
Odzyskać dane z backupu. Jest to najrozsądniejsze i najpewniejsze rozwiązanie. Nie warto pokładać nadziei w dobrej woli przestępców. Co jednak jeśli firma zdecyduje się na zapłacenie okupu? Specjaliści doradzają, aby organizacja, która padła ofiarą nowej wersji Ryuk zachowała kopie zaszyfrowanych przez ransowmare danych. Jest to ważne ponieważ dekryptor na zakończenie procesu odszyfrowywania, usuwa zaszyfrowane dane z urządzenia ofiary. Jeśli dojdzie do uszkodzenia plików – bez kopii zaszyfrowanych danych – niewiele można już z tym faktem począć.
2. Używasz danych logowania, które wypłynęły już do sieci? Od teraz Chrome cię o tym ostrzeże
Google Chrome ma nową funkcję. Teraz jeśli Twoje dane uwierzytelniające zostaną wykradzione, Chrome cię o tym poinformuje.
Za każdym razem, gdy użytkownik zaloguje się do dowolnej usługi za pomocą przeglądarki Chrome, sprawdzi ona dane uwierzytelniające w bazie rekordów pochodzących ze znanych wycieków. Co się stanie jeśli rekordy się pokryją? Chrome wyświetli komunikat, a użytkownik zyska trochę czasu na zabezpieczenie konta, zmianę hasła i (mamy nadzieję) ustawienie 2FA.
Wcześniej Chrome był w stanie identyfikować wykradzione dane za pomocą pluginu o nazwie Password Checkup. Teraz jednak jest to funkcja samej przeglądarki.
Phishing vs. użytkownik
Google usprawnił także dotychczasową ochronę przed atakami typu phishing. Do tej pory wykorzystywał on do tego celu bazę aktualizowaną co 30 minut. Hakerzy jednak wielokrotnie udowadniali, że potrafią tworzyć strony phishingowe wystarczająco szybko, by zmieścić się 30-minutowym oknie Google. Celem firmy stało się więc wprowadzenie monitoringu w czasie rzeczywistym – który zdaniem ekspertów – pozwala zmniejszyć ilość ataków o 30%. Cała operacja przebiega dwuetapowo. Najpierw Chrome sprawdza, czy adres strony na którą chce wejść użytkownik znajduję się na liście tysięcy witryn, które cieszą się pozytywną renomą. Jeśli nie znajdzie na niej tego konkretnego adresu, w kolejnym kroku Chrome sprawdza adres URL w Google (po usunięciu nazwy użytkownika lub hasła osadzonego w adresie URL) by określić, czy nie jest ona przypadkiem niebezpieczna.
Nowe narzędzie debiutuje wraz z Chrome 79.
Nie tylko Google…
Mozilla oferuje zbliżone rozwiązanie. Firefox Monitor pozwala sprawdzać, czy Twój adres email oraz powiązane z nim dane nie padły łupem przestępców. Dodatkowo użytkownik może ustawić monitoring interesujących go adresów mailowych i otrzymywać ostrzeżenia, jeśli któryś z nich wycieknie w przyszłości.
3. Hackerzy od REvil informują, że będą wrzucać do sieci dane niepokornych ofiar… naprawdę
Twórcy REvil Ransomware (znanego również pod nazwą Sodinokibi) ogłosili, że zaczynają wykorzystywać skradzione dane jako tzw. argument siłowy do tego by skłonić ofiary do zapłacenia okupu.
Trend 2020?
Twórcy ransomware przyjmują nową taktykę. Jest nią ujawnianie danych, jeśli firma nie zapłaci okupu. Dotąd przestępcy grozili w ten sposób swoim ofiarom, ale zawsze kończyło się tylko na… groźbach. Idą jednak nowe czasy. Niekoniecznie lepsze.
Swoje groźby spełnili już twórcy ransomware Maze. Pod koniec listopada ich ofiarą padło Allied Universal. Firma odmówiła zapłacenia pieniędzy, w efekcie czego przestępcy opublikowali na jednym z forów 700MB wykradzionych danych.
Teraz także autorzy REvil informują, że będą wrzucać do sieci dane niepokornych ofiar. Jeden z hackerów występujący pod nickiem UNKN (oficjalny “rzecznik” grupy) twierdzi, że to właśnie oni stoją za głośnym atakiem na CyrusOne. Zanim jednak ransomware zaszyfrował całą sieć, przestępcy wykradli dane. Teraz grożą, że jeśli firma nie zapłaci okupu, dane albo zostaną upublicznione albo zwyczajnie sprzedane konkurencji. Całość kwitują stwierdzeniem: RODO. Nie chcesz płacić nam – zapłać x10 razy więcej swojemu rządowi. Żaden problem.
Potencjalnie może dojść do ujawnienia dokumentacji medycznej pracowników, danych osobowych, list płac, itp. Ponadto trzeba się liczyć z tym, że skradzione mogły zostać także dane firm trzecich… Jeśli właśnie tak będzie wyglądać najbliższa przyszłość, firmy będą musiały zacząć traktować ataki ransowmare jak kradzieże danych.
4. Hakerzy mogą kraść dane z Intel SGX modyfikując napięcie procesora
Wykorzystując lukę Plundervolt i manipulując napięciem procesorów Intel korzystających z SGX można wydobywać poufne dane z pamięci, w tym klucze szyfrowania RSA.
Zacznijmy od początku. Intel Software Guard Extensions (SGX) to technologia obecna w nowoczesnych procesorach Intel, pozwalająca układom Intel Core na stworzenie bezpiecznej enklawy w pamięci, gdzie przechowywane są m.in. klucze kryptograficzne. Producent zapewnia, że jest to rozwiązanie o najwyższym stopniu kontroli i ochrony, choć nieraz słyszeliśmy o możliwości przełamania tej izolacji. Nigdy jednak, nie było to wykonalne w tak prosty sposób…
Zespół naukowców z uniwersytetów w Wielkiej Brytanii, Austrii i Belgii opracował nowy atak o nazwie Plundervolt, który może zagrozić tajemnicom Intel SGX.
Przebieg ataku
Atak Plundervolt wykorzystuje funkcję dynamicznego skalowania napięcia, którą posiadają procesory Intela wyposażone w tzw. rejestry MSR (Model Specific Registers). Umożliwiają one sterowanie specyficznymi funkcjami czipu. Pozwalają m.in. na przekazanie programom trybu użytkownika kontroli nad napięciem zasilającym i regulację nim z poziomu systemu operacyjnego czy też lepsze skalowanie zegara do konkretnych aplikacji.
Wydaje się, że manipulacja napięciem nie może nikomu zaszkodzić – bo nawet gdy ustawimy zbyt wysoką lub niską wartość, zabezpieczenie przepięciowe po prostu odetnie komputer od zasilania. Ale co w sytuacji, gdy jest ono wystarczająco wysokie, aby utrzymać jednostkę, jednocześnie uniemożliwiając jej uzyskanie pełni stabilności? Wtedy wkracza Plundervolt…
Okazuje się, że zbyt niskie napięcie prowadzi do błędów obliczeniowych w obrębie enklawy SGX, a następnie analizy różnicowej ataku z tekstem jawnym. Efekt? Ujawnienie kluczy prywatnych i innych danych w niej przechowywanej. Zobaczcie jak wygląda ten atak:
Zagrożenie? Raczej możesz spać spokojnie. Luka występuje w desktopowych i mobilnych procesorach Intel Core 6., 7., 8., 9. i 10. generacji oraz w modelach serwerowych Xeon E3 v5 i v6 oraz Xeon E-2100 i E-2200 z funkcją SGX. Warto jednak zauważyć, że nie jest ona zagrożeniem dla użytkowników domowych, a serwerowych. Producent wydał również łatkę, która wyłącza dostęp do konkretnego interfejsu skalowania napięcia MSR.Niebawem trafi do nowych BIOS-ów płyt głównych.
5. Czy wiesz, co stanie się z Twoim Windows 7 po 14 stycznia?
2020 nie będzie dobrym rokiem dla Windowsa 7. Ten popularny system operacyjny za kilka tygodni zostanie uśmiercony. 14 stycznia otrzyma jeszcze ostatnie aktualizacje i po tym dniu, Microsoft zakończy wsparcie techniczne systemu. Tyczy się to również poprawek związanych z bezpieczeństwem. Wraz z upływem czasu wycofane zostaną również powiązane usługi systemu Windows 7 (np. gry, programy, Microsoft Security Essentials). Odliczanie już się rozpoczęło…
Firma już od dłuższego czasu informuje użytkowników Windows 7 o zbliżającym się terminie zakończenia wsparcia poprzez notyfikacje pop-up. 15 stycznia na pełnym ekranie wyświetli im jeszcze powiadomienie o tym, że z brakiem wsparcia i aktualizacji zabezpieczeń wiąże się większe narażenie na wirusy i złośliwe oprogramowanie.
Na swojej oficjalnej stronie Microsoft radzi: “Aby skorzystać z najnowszych możliwości sprzętu, lepiej jest kupić nowy komputer z systemem Windows 10. Alternatywnie, zgodne komputery z systemem Windows 7 można uaktualnić przez zakupienie i instalację pełnej wersji oprogramowania”.
Jest jeszcze jedna możliwość. Wykupienie Extended Security Updates (ESU), czyli płatnego wydłużonego wsparcia dla Windows 7 na kolejne trzy lata – maksymalnie.
To ostatni moment, aby pomyśleć nad scenariuszem dla naszych komputerów z Windows 7. Nie zalecamy korzystania ze sprzętu bez wsparcia i aktualizacji – dla hakerów nie ma nic bardziej kuszącego.
6. Usługi Microsoft do pilnej aktualizacji
Microsoft ostrzega użytkowników przed nową luką zero-day w zabezpieczeniach systemu Windows. Atakujący wykorzystując ją w połączeniu z exploitem Chrome mogą przejąć kontrolę nad zagrożonymi komputerami.
Błędny zawrót głowy. Grudniowe aktualizacje Microsoft zawierają łaty dla 36 luk w zabezpieczeniach – 7 krytycznych, 27 ważnych, 1 umiarkowanej i 1 o niewielkim stopniu ważności.
Operation WizardOpium. Oznaczona jako CVE-2019-1458 luka w Win32k związana z eskalacją uprawnień zero-day została wykorzystana w atakach Operation WizardOpium w celu uzyskania wyższych uprawnień na docelowych systemach poprzez ucieczkę z sandboxa Chrome’a.
Chociaż Google usunęło błąd w Chrome 78.0.3904.87, wydając aktualizację awaryjną w zeszłym miesiącu, hakerzy nadal atakują użytkowników korzystających z podatnych wersji przeglądarki.
Według naukowców z Kaspersky Lab, exploit Chrome można połączyć ze świeżo załataną luką EoP, która istnieje w sposobie, w jaki składnik Win32k obsługuje obiekty w pamięci. Dotyczy najnowszych wersji Windows 7 oraz kilku wersji systemu Windows 10 i wykorzystany może pozwolić atakującemu na uruchomienie dowolnego kodu w trybie jądra.
Gdzie czyha zagrożenie? 7 krytycznych luk w zabezpieczeniach, które Microsoft załatał w tym miesiącu, dotyczą Git for Visual Studio, Hyper-V Hypervisor i składnika Win32k Graphics systemu Windows. Udane wykorzystanie ich wszystkich może prowadzić do zdalnego wykonania kodu.
Co do pozostałych (m.in. w Microsoft Operating System, Kernel, Word, Excel, SQL, Media Player…) – większość umożliwia ujawnienie informacji, podniesienie uprawnień, ataki ze zdalnym wykonywaniem kodu czy cross-site scripting (XSS), pomijanie funkcji zabezpieczeń, fałszowanie, manipulowanie oraz ataki typu DoS. Zalecamy pilną aktualizację systemów i wszystkich najnowszych poprawek bezpieczeństwa. Tym bardziej, że jest tego sporo.