Witamy w kolejnym wydaniu Centrum Bezpieczeństwa Xopero! Tym razem rzucamy trochę światła na RegretLocker. Ten nowy ransomware jest w gruncie rzeczy dość wyrafinowanym zagrożeniem. Wykorzystuje zaawansowane techniki, aby najpierw włamać się na maszynę wirtualną Windows, a następnie zaszyfrować wirtualne dyski twarde. W jaki sposób dokładnie? Więcej przeczytacie poniżej.
1. Użytkownicy Windows mają nowy powód do strachu – RegretLocker
Nowy ransomware o nazwie RegretLocker wykorzystuje szereg zaawansowanych funkcjonalności, które umożliwiają nie tylko szyfrowanie wirtualnych dysków ale również zamykanie otwartych plików w celu ich zaszyfrowania.
RegretLocker jest w zasadzie dosyć prostym oprogramowaniem. Szyfrując pliki dodaje do nich rozszerzenie .mouse Jednak wszelkie „braki” nadrabia, kiedy przyjrzymy się zaawansowanym funkcjonalnościom dzięki którym szyfruje wirtualne dyski.
W momencie utworzenia maszyny wirtualnej Hyper-V, powstaje wirtualny dysk zapisany pod postacią pliku VHD lub VHDX. Ten nowo utworzony plik zawiera pełny, oryginalny obraz dysku – w tym tablicę partycji i same partycje. Tak jak tradycyjny dysk twardy, jego wielkość może wahać się od kilku GB do TB danych.
Szyfrowanie dużych plików jest mało efektywne, ponieważ wydłuża proces szyfrowanie całego urządzenia. RegretLocker wykorzystuje jednak bardzo interesującą technikę, dzięki czemu przestępcy poradzili sobie z tym problemem. Mianowicie, zagrożenie montuje pliki dysków wirtualnych w taki sposób, że mogą być one szyfrowane indywidualnie. Do tego celu RegretLocker wykorzystuje Windows Virtual Storage API OpenVirtualDisk, AttachVirtualDisk a także funkcje GetVirtualDiskPhysicalPath. W momencie kiedy taki dysk zostanie już zamontowany niczym dysk fizyczny, ransomware jest w stanie szyfrować każdy z nich pojedynczo, dzięki czemu prędkość szyfrowania całego urządzenia zostaje w zasadzie zachowana bez większych zmian.
RegretLocker wykorzystuje również Windows Restart Manager API do uśmiercania procesów lub usług systemu Windows, które odpowiadają za utrzymanie plików w postaci „otwartej”. Ale, jeśli nazwa procesu zawiera 'vnc’, 'ssh’, 'mstsc’, 'System’, lub 'svchost.exe’ RegretLocker nie przerwie ich działania. Najprawdopodobniej dlatego, że są one wykorzystywane w jakiś sposób przez atakujących do szyfrowania urządzenia.
Jak widać, sposób działania RegretLocker jest naprawdę innowacyjny – warto mieć go więc na oku.
2. Podatność w Git LFS pozwala na kompletne przejęcie systemu Windows
Git Large File Storage (Git LFS) to opensorce’owe rozszerzenie do popularnego Git’a, wykorzystywane do wersjonowania dużych plików.
Dawid Golunski – Security Research a także twórca ExploitBox – wykrył w Git LFS poważną podatność (CVE-2020-27955), która pozwala atakującym na zdalne wykonanie kodu, jeśli ich ofiara sklonuje złośliwego repozytorium podstawione przez atakujących. Oczywiście, musi to zrobić za pomocą podatnego na ataki narzędzia kontroli wersji Git.
Podatność może zostać wykorzystana w prawie wszystkich popularnych rozwiązaniach Git – przy zachowaniu domyślnych ustawień – m.in. GitHub CLI, GitHub Desktop, SmartGit, SourceTree, GitKraken, Visual Studio Code itp. Prawdopodobnie w grę wchodzą również niektóre dostępne na rynku IDE (o ile instalują usługę Git wraz z Git LFS).
Git LFS nie określa pełnej ścieżki do binariów git, w momencie wykonywania nowego procesu za pomocą funkcji exec.Command().
„Ponieważ implementacja exec.Command () w systemach Windows obejmuje bieżący katalog, osoby atakujące mogą być w stanie umieścić backdoora w złośliwym repozytorium, zwyczajnie dodając plik wykonywalny o nazwie: git.bat, git.exe, git.cmd lub każde inne rozszerzenie używane w systemie ofiary (zależne od środowiska PATHEXT) w głównym katalogu repozytorium. W rezultacie, zamiast oryginalnego pliku, zostanie wykonany złośliwy plik binarny”- wyjaśnia Dawid Golunski.
Luka CVE-2020-27955 jest w zasadzie trywialna. Jak już pisaliśmy, może zostać wywołana, jeśli ofiara sklonuje złośliwe repozytorium osoby atakującej za pomocą podatnego na ataki narzędzia kontroli wersji Git.
Co w tej sytuacji można zrobić? Wszyscy, których może dotyczyć ten problem, powinni jak najszybciej zaktualizować Git LFS do najnowszej wersji (v2.12.1). Git dla systemu Windows również otrzymał już stosowną aktualizację.
3. Gang REvil ransomware kupuje malware KPOT na hakerskiej aukcji – 6,5 tys. $ po raz pierwszy, drugi i…trzeci!
Gang REvil ransomware kupił kod źródłowy trojana kradnącego informacje KPOT za 6500 dolarów na hakerskiej aukcji.
Sprzedaż została zorganizowana jako publiczna aukcja na prywatnym podziemnym forum hakerskim dla rosyjskojęzycznych cyberprzestępców. Jedynym licytującym był UNKN, dobrze znany członek gangu ransomware REvil (Sodinokibi), twierdzi specjalista bezpieczeństwa Pancak3. UNKN zapłacił jedynie cenę wywoławczą w wysokości 6,500 dolarów. Inni członkowie forum odmówili udziału w licytacji powołując się na zbyt wysoką wycenę złośliwego kodu.
Pancak3, który w połowie października po raz pierwszy odkrył aukcję sprzedaży KPOT, jest przekonany, że gang REvil kupił malware w celu „dalszego rozwoju” i dodania go do swojego znacznego arsenału narzędzi hakerskich, których gang używa w celu ukierunkowanych włamań do sieci korporacyjnych.
Po raz pierwszy zauważony w 2018 roku KPOT jest klasycznym „złodziejem informacji”, który może wyodrębniać i kraść hasła z różnych aplikacji na zainfekowanych komputerach. Obejmuje to przeglądarki internetowe, komunikatory, pocztę elektronicznej, sieci VPN, usługi RDP, aplikacje FTP, portfele kryptowalut i oprogramowanie do gier.
Wielu członków forum uznało wycenę kodu KPOT za zawyżoną, ale UNKN I gang REvil nie narzekają na brak pieniędzy i mogli pozwolić sobie na taką inwestycję. Członek grupy powiedział ostatnio w wywiadzie, że gang zarabia na REvil ransomware i żądaniach okupu ponad 100 milionów dolarów rocznie!
4. GrowDiaries – wyciek danych 1,4 mln hodowców konopi indyjskich
Specjalista ds. bezpieczeństwa znalazł niezabezpieczoną bazę danych GrowDiaires – internetowej społeczności hodowców konopi indyjskich. W bazie znalazło się 3,4 miliona rekordów dotyczących 1,4 mln użytkowników – w tym adresy e-mail, hasła, adresy IP i posty.
GrowDiaries to społeczność internetowa entuzjastów uprawy konopi z całego świata. Służy do dzielania się wskazówkami, radami i zdjęciami swoich postępów. 10 października badacz Volodymyr „Bob” Diachenko znalazł bazę danych połączoną z GrowDiaries, która zawierała 1,4 miliona adresów e-mail i adresów IP, a także dodatkowe 2 miliony postów użytkowników.
Posty były chronione hasłami, ale Diachenko odkrył, że platforma używała MD5 do hashowania haseł. Generator ten jest łatwy do złamania i tym samym naraża ofiary na złośliwe działania.
„Wielu użytkowników pochodzi z miejsc, w których uprawa i palenie marihuany jest nielegalne” – napisał Diachenko – „Mogą oni spotkać się z konsekwencjami prawnymi, jeżeli ich aktywność wyjdzie na jaw” – dodaje.
Członkowie społeczności powinni zwracać teraz szczególną uwagę na ataki phishingowe i zaktualizować hasła na wszystkich platformach i serwisach, z których korzystają. Wykradzione dane uwierzytelniające mogą zostać wykorzystane w dalszych atakach i tzw. stuffingu, który angażuje zautomatyzowane boty by włamać się do innych aplikacji i witryn z użyciem ujawnionych danych uwierzytelniających.