Na rynku cyberzagrożeń pojawił się nowy gracz. LockBit jest oferowany w modelu RaaS (Ransomware as a Service) i jest wyjątkowo szybki. Aby zaszyfrować całą firmową sieć potrzebuje zaledwie kilku godzin. W tym tygodniu również piszemy nt. botnetu Kaiji oraz nowego spyware, który ukryty w aplikacji 2FA atakuje użytkowników macOS. Znaleźliśmy także gorącą ciekawostkę [a w zasadzie przestrogę] dla fanów Tesli (i ich posiadaczy) oraz newsa, który zainteresuje fanów Anime (ach, młodość się przypomina). Zaczynamy.
1. LockBit potrzebuje zaledwie kilku godzin aby zaszyfrować setki urządzeń podpiętych do firmowej sieci
Na rynku Ransomware-as-a-Service (RaaS) pojawił się właśnie nowy gracz. Na każdej operacji twórcy ransomware LockBit zyskują zwykle 25-40% wartości okupu. Co ciekawe, w ramach czegoś na wzór biznesowych programów afiliacyjnych są w stanie ugrać dużo wyższe stawki – nawet 60-75%.
LockBit – czas to pieniądz
Zwłaszcza gdy stawką jest być albo nie być… tzn. zostać lub nie zostać wykrytym w porę. A więc jak szybko LockBit jest w stanie szyfrować dane? 25 serwerów i 225 komputerów w około 3 godziny. Tak szybko. Według Patricka Van Looya, specjalisty ds. cyberbezpieczeństwa w Northwave, hakerzy uzyskali dostęp do sieci korporacyjnej poprzez atak brute force na konto administratora za pośrednictwem nieaktualnej usługi VPN. Po uzyskaniu dostępu atakujący niemal natychmiast uruchomił oprogramowanie ransomware. Około 1:00 rano miało miejsce pierwsze zalogowanie, po którym ransomware rozpoczął szyfrowanie danych, a około 4:00 atakujący wylogowali się z systemu.
Po uruchomieniu, oprócz szyfrowania danych, LockBit wykonuje również żądania ARP w celu wyszukania innych aktywnych hostów w ramach firmowej sieci. Następnie próbuje połączyć się z nimi za pomocą protokołu SMB. Jeśli udaje się mu nawiązać połączenie, program wysyła polecenie pobrania ransomware i uruchomienia go.
Stopniowo coraz więcej urządzeń w ramach sieci zostaje zainfekowanych, one z kolei znacząco pomagają przyspieszyć wdrożenie ransomware na innych urządzeniach. Szybko przeprowadzane ataki mają największe szanse na pełne powodzenie. Im dłużej atakujący przemieszczają się w ramach sieci, tym większe szanse że zostaną w końcu wykryci.
2. Nowe zagrożenie: botnet Kaiji groźny dla urządzeń IoT oraz serwerów Linux
Nowe zagrożenie, które specjaliści nazwali Kaiji, wyróżnia przede wszystkim fakt, że zostało napisane w Go. Dlaczego jest to takie ciekawe? Obecnie większość zagrożeń tworzonych pod IoT pisze się albo w C albo w C++.
Według badaczy z Intezer botnet nie jest jeszcze w stanie wykorzystywać exploitów do infekowania podatnych urządzeń. Zamiast tego Kaiji wykonuje ataki brute force na urządzenia IoT i serwery Linux, które posiadają niezabezpieczony port SSH. Atakującym zależy na przejęciu kontroli nad kontem root. Wynika to z faktu, że botnet potrzebuje dostępu root do zainfekowanych urządzeń, aby manipulować pakietami sieciowymi w celu przeprowadzenia ataków DDoS. Gdy Kaiji uzyska już dostęp do głównego konta urządzenia, wykorzystuje to na trzy sposoby: do prowadzenia ataków DDoS, do prowadzenia kolejnych ataków brute force na otwarte porty SSH pozostałych urządzeń oraz kradnie wszystkie lokalne klucze SSH i szybko rozprzestrzenia się na urządzenia, którymi konto root zarządzało w przeszłości.
3. Cereals, botnet który wydaje się mieć tylko jeden cel – pobieranie anime
Przez prawie osiem lat haker stopniowo i niezauważenie przejmował routery NVR D-Link oraz urządzenia NAS i wciągał je do bardzo nietypowego botneta.
Cereals został po raz pierwszy wypatrzony w 2012 r. Swój szczyt osiągnął w 2015 r., kiedy zgromadził ponad 10 000 botów. Obecnie powoli zanika. Co jest tego powodem? Podatne urządzenia D-Link już się zestarzały i są stopniowo wycofywane z eksploatacji. Śmierć botnet’a przyspieszył również ransomware o nazwie Cr1ptT0r, który usunął Cereals z wielu systemów D-Link zimą 2019 roku.
Ciekawostka. W całym swoim ośmioletnim życiu Cereals wykorzystywał tylko jedną lukę. Dotyczyła ona funkcji powiadamiania SMS oprogramowania wewnętrznego D-Link, zasilającego linię urządzeń NAS i NVR. Błąd umożliwiał przesyłanie zniekształconego żądanie HTTP do wbudowanego serwera podatnego urządzenia i następnie wykonywać polecenia z uprawnieniami administratora.
Cereals utrzymywał kilka mechanizmów backdoor: w celu uzyskania dostępu do zainfekowanych urządzeń, do przeprowadzania aktualizacji chroniących urządzenie przed przejęciem przez inne zagrożenie, do zarządzania zainfekowanymi botami w ramach 12 mniejszych podsieci. Co ciekawe, pomimo wykorzystywania dosyć zaawansowanych rozwiązań, botnet jest najprawdopodobniej hobbystycznym projektem.
4. Aplikacja 2FA ze spyware od Lazarus Group atakuje użytkowników macOS
Grupa Lazarus dodała do swojego zestawu narzędzi nowy wariant trojana zdalnego dostępu (RAT), Dacls, stworzonego z myślą o użytkownikach macOS. Rozprzestrzenia się on za pośrednictwem aplikacji uwierzytelniania dwuskładnikowego (2FA) o nazwie MinaOTP.
Szkodliwy plik wykonywalny znajduje się w katalogu „Contents / Resources / Base.lproj /” fałszywej aplikacji i udaje, że jest plikiem nib. Po uruchomieniu tworzy plik listy właściwości (.plist), który określa aplikację do otworzenia po ponownym uruchomieniu. Zawartość pliku .plist jest na stałe zakodowana w aplikacji co zapewnia trwałość zagrożeniu. Złośliwe oprogramowanie zawiera również plik konfiguracyjny szyfrowany za pomocą AES, który udaje plik bazy danych związany z Apple Store – “Library/Caches/Com.apple.appstore.db.”. Funkcja „IntializeConfiguration” inicjuje ten plik konfiguracyjny z listą zakodowanych serwerów C2.
Po połączeniu się z C2 i zaktualizowaniu pliku konfiguracyjnego złośliwe oprogramowanie kradnie dane i przesyła zebrane informacje z komputera ofiary. Kody poleceń są dokładnie takie same, jak poprzednio zaobserwowana wersja systemu Linux. Ładowane jest również siedem modułów, z których sześć jest także obecnych w wariancie Linux.
5. Jedne z bezpieczniejszych komputerów zhakowane z użyciem…zasilacza
Air-gapped PC’s, czyli komputery fizycznie odseparowane od sieci to obecnie jedno z najbardziej bezpiecznych rozwiązań systemowych. Są to urządzenia oddzielone od świata sieciowego tzw. “powietrzną śluzą”.Okazuje się jednak, że są momenty, w których również je można złamać. Jakiś czas temu wyszło na jaw, że kilka z tych sposobów wymaga użycia jedynie głośników komputera i fal dźwiękowych. W odpowiedzi producenci usuwają głośniki z wyposażenia sprzętu. W lutym tego roku ogłoszono, że hakerzy mogą kraść dane z tych komputerów przy użyciu jasności ekranu. Teraz okazuje się, że to samo można zrobić poprzez ich zasilanie.
Mordechai Guri, uniwersytecki badacz bezpieczeństwa z Izraela, przeprowadził eksperyment, który pokazuje, w jaki sposób można wykorzystać jednostki zasilające (PSU) do wydobywania informacji z komputera “air-gapped” nie korzystając jednocześnie z głośnika.
Malware nazwany POWER-SUPPLaY wykorzystuje zasilacz jako „pozapasmowy głośnik pomocniczy o ograniczonych możliwościach”.
Dane, które można w ten sposób wykraść obejmują pliki i informacje o naciśnięciach klawiszy przesyłane z odległości do 1 metra oraz hasła i klucze szyfrujące, które atakujący może zdobyć z użyciem urządzenia oddalonego o pięć metrów, np. smartfona.
Niepokojące może być to, że do przeprowadzenia ataku nie są potrzebne podwyższone uprawnienia a atakujący nie musi fizycznie uzyskać dostępu do sprzętu. Musi znajdować się jednak w maksymalnej odległości 6 metrów.
Jeśli chodzi o środki, które mogą podjąć osoby korzystające z takich komputerów, to np. wyznaczenie pobliskich im stref, w których nie można korzystać z urządzeń elektronicznych. Można również zastosować system wykrywania włamań hosta, który będzie monitorował uruchomione procesy w celu wykrycia wszelkich anomalii. Może to jednak powodować fałszywe alarmy przy zaawansowanych, ale uzasadnionych procesach.
6. Kupujący części do Tesli na eBay otrzymali dostęp do cudzych kont Netflix czy Spotify
Wygląda na to, że Tesla zapomniała usunąć dane osobowe klientów z wcześniej używanego systemu audio-nawigacyjnego i sprzętu Autopilot. Odkrył to white hat hacker po tym, jak sam zakupił cztery używane elementy do swojego pojazdu.
Posiadacze Tesli, w których został wymieniony komputer z systemem informacyjno-rozrywkowym (np. poprzez aktualizację model3 FSD, modernizację mcu2, emcu mcu1 lub innej poprawki wymagającej wymiany komputera) powinni jak najszybciej zmienić hasła do kont, na które logowali się z samochodu.
Podczas gdy normalne systemy informacyjno-rozrywkowe pojazdów mogą przechowywać numery telefonów, nośniki audio i adresy, komponenty Tesli umożliwiają również dostęp do platform do streamingowych wideo i audio, takich jak Netflix i Spotify.
W niektórych systemach badacz znalazł pliki cookie sesji Netflix, które można wykorzystać do uzyskania dostępu do konta właściciela. Inne zawierały zapisane pliki cookie Gmaila, hasła WiFi i hasła Spotify w postaci zwykłego tekstu.
Centra serwisowe powinny niszczyć używany sprzęt lub przynajmniej usuwać istniejące dane osobowe. Tesla została poinformowana o błędzie, ale nie wydała jeszcze oświadczenia i nie powiadomiła klientów, których mogło to dotyczyć.