ThunderSpy / Ramsey / Astaroth / Jak stracić 100 mln koron

Jak zhackować urządzenie wyposażone w porty Thunderbolt – nawet jeśli jest ono zablokowane, a dysk zaszyfrowany? Wygląda na to, że atakujący potrzebuje tylko dostęp do urządzenia (na bardzo krótko), śrubokręt i dodatkowo przenośny hardware. Jednak nie dajcie się zwieść, atak ThunderSpy – którego opracowanie zajęło lata – jest naprawdę elegancki. W tym tygodniu także… Ramsey, nowe zagrożenie dla sieci izolowanych. Trafił na Ciebie ransomware? – zapłacisz dwa razy. Do tego: infostealer Astaroth, norweski Norfund traci 100 mln koron i ransomware atakuje kancelarię prawną amerykańskich celebrytów.

1. Miliony urządzeń z Thunderbolt podatnych na atak „ThunderSpy”

Atak ThunderSpy umożliwia przestępcom kradzież danych z urządzeń z systemem Windows lub Linux wyposażonych w porty Thunderbolt pod warunkiem, że uda im się zdobyć fizyczny dostęp do urządzenia na 5 minut. Sprawa jest poważna – wrażliwe są miliony urządzeń wyposażonych w te złącza i wyprodukowane przed 2019 rokiem.

Thunderbolt to interfejs sprzętowy opracowany przez Intel (we współpracy z Apple), który pozwala użytkownikom skonsolidować przesyłanie danych, ładowanie i podłączanie urządzeń peryferyjnych w jednym złączu. Technologia ta została również powszechnie przyjęta w komputerach, takich jak Dell, HP i Lenovo.

Aby uruchomić atak nazwany “Thunderspy”, potrzebny jest fizyczny dostęp do urządzenia, 5 min wolnego czasu, śrubokręt i przenośny sprzęt. Atakujący może wówczas ominąć ekran logowania zablokowanego lub uśpionego komputera i uzyskać dostęp do danych nie pozostawiając po sobie żadnych śladów. 

ThunderSpy – 9 scenariuszy ataku

Björn Ruytenberg, badacz bezpieczeństwa, opracował dziewięć scenariuszy ataku z wykorzystaniem siedmiu wad technologii. Do nich należą: nieodpowiednie schematy weryfikacji oprogramowania układowego, schemat słabego uwierzytelniania urządzenia, użycie nieuwierzytelnionych metadanych urządzenia, atak downgrade przy użyciu kompatybilności wstecznej, wykorzystanie nieuwierzytelnionych konfiguracji kontrolera, niedoskonałości interfejsu flash SPI oraz brak zabezpieczeń Thunderbolt w Boot Camp.

Luki dotyczą wersji 1, 2 i 3 Thunderbolt i można je wykorzystać do tworzenia dowolnych tożsamości urządzeń, klonowania autoryzowanych urządzeń Thunderbolt, a także uzyskiwania łączności PCIe w celu przeprowadzania ataków DMA. Ataki oparte na DMA pozwalają atakującym na włamanie się na komputery w ciągu kilku sekund poprzez podłączenie złośliwych urządzeń typu hot-plug do portu Thunderbolt lub najnowszego USB-C. Nośnikiem ataku może być więc zewnętrzna karta sieciowa, mysz, klawiatura czy drukarka.

W poniższym wideo, Ruytenberg demonstruje jedną z możliwości włamania z wykorzystaniem ThunderSpy.

ThunderSpy, co zrobić jeśli dysponujesz podatnym urządzeniem

Badacz poinformował firmę Intel, która przyznała, że zdaje sobie sprawę z wad, ale nie będzie wprowadzała dalszych działań poza ochroną jądra DMA. Ze swojej strony zaleca użytkownikom portów sprawdzenie u producentów systemów, czy uwzględniono zabezpieczenia. Zdajmy się więc na własny rozsądek i unikajmy pozostawiania urządzeń bez nadzoru, wyłączajmy system lub przynajmniej używajmy hibernacji zamiast stanu uśpienia.

Źródło 12

2. Ramsey to nowe zagrożenie dla sieci izolowanych – szpieguje, gromadzi i wydobywa wartościowe dane

ESET trafił na jedną z pierwszych wersji Ramsey stosunkowo niedawno, bo na początku tego roku. Uwagę specjalistów przykuł jeden z przesłanych na VirusTotal plików. Obecnie z telemetrii wiemy, że jego ofiarą padła dotąd stosunkowo niewielka liczba podmiotów. Ale może być to spowodowane faktem, że zagrożenie jest nowe i nadal w fazie rozwoju.

Nie ulega wątpliwości, że Ramsey to zupełnie nowa forma złośliwego oprogramowania. Przestępcy są zainteresowani tzw. sieciami air-gapped, czyli sieciami izolowanymi. Framework będzie mieć więc zastosowanie w bardzo ograniczonych środowiskach i systemach, które jednak zwykle chronią cenne informacje.

Cel: air-gapped network. Zagrożenie stworzono w taki sposób, aby mogło działać bez połączenia z internetem. Nie posiada więc protokołu sieciowego do komunikacji z serwerami C&C. Nie próbuje również komunikować się ze zdalnym hostem. Zagrożenie skanuje wszystkie udziały sieciowe i dyski wymienne w poszukiwaniu potencjalnie wartościowych plików kontrolnych. Jak dotąd specjaliści zweryfikowali trzy wersje Ramsay. Wszystkie są w stanie wyszukiwać i gromadzić pliki MS Word. Jednak nowsze „wydania” wyszukują już także pliki PDF oraz archiwa ZIP.

Najpierw dobry plan, atak później. Dotychczasowe ustalenia specjalistów z ESET potwierdzają jedno – operatorzy Ramsey wypróbowują różne taktyki ataku. Najczęściej jednak sięgają po exploity do systemów Windows (jednak nie te najnowsze) oraz dobry i sprawdzony phishing. Wiele sugeruje, że atakujący posiadają jakąś wiedzę na temat środowiska, które obrali sobie na cel – ponieważ pod tym kątek wybierają wektory ataku.

Źródło: DarkReading

3. Padłeś ofiarą ransomware? Teraz przestępcy żądają dwóch płatności – za dekryptor oraz za usunięcie wykradzionych danych

Hakerzy zmienili taktykę biznesową. Teraz nie tylko żądają okupu za odszyfrowanie danych, ale także dodatkowej płatności za usunięcie (lub nieopublikowanie) skradzionych w czasie ataku danych.

Świat się zmienia, przestępcy za to bardzo szybko dostosowują się do nowych realiów. Kiedyś atakujący żądali pieniędzy za odszyfrowanie danych i tylko straszyli ich upublicznieniem. Dopiero w listopadzie 2019 r. operatorzy ransomware Maze faktycznie spełnili te pogróżki i opublikowali dane skradzione miastu Pensacola. Dziś przestępcy idą o krok dalej. Grupa rozwijająca ransomware Ako zażądała właśnie dodatkowej opłaty za niejako „usługę” polegającą na wykasowaniu wykradzionych plików. Jako przestrogę przestępcy upublicznili dane jednej ze swoich ofiar, która zapłaciła za dekryptor (350 tys. USD) ale już nie za wykasowanie danych.

Na ten moment nowa taktyka jest wykorzystywana wyłącznie w sytuacji gdy przestępcy mają do czynienia z dużymi (bogatymi!) podmiotami. Decyduje wielkość firmy i rodzaj wykradzionych danych. Kosz drugiego „wymuszenia” waha się w granicach od 100 tys. do 2 mln dolarów. Ot taki dodatek do podstawowej ceny za odszyfrowanie danych.

Źródło: Bleeping Computer

4. Infostealer Astaroth ukrywa serwery C&C w opisach kanałów YouTube

W ciągu ostatniego roku infostealer Astaroth ewoluował w kierunku jednego z najbardziej tajemniczych rodzajów złośliwego oprogramowania. Wszystko za pomocą nowego pakietu narzędzi anti-analytics oraz anti-sandbox, które uniemożliwiają jego wykrywanie i analizowanie oraz nowy sposób dystrybucji. 

To złośliwe oprogramowanie zostało po raz pierwszy zauważone we wrześniu 2018 r. Od tej pory stale ewoluuje, a jego metamorfozie przyglądał się już m.in. Microsoft czy IBM.

Nowy pakiet kontroli antywirusowych i sandbox pozwala mu jeszcze przed uruchomieniem upewnić się, że działa na prawdziwym komputerze, a nie w środowisku sandbox, w którym może zostać przeanalizowany przez analityków bezpieczeństwa.

Trojan nadal rozprowadzany jest poprzez kampanie e-mailowe, ale w ostatnim tygodniu odnotowano również nowy sposób – opisy kanałów na YouTube. Po zainfekowaniu ofiary Astaroth łączy się z kanałem YouTube, skąd pobiera pole opisu kanału. Zawiera ono zaszyfrowany i zakodowany w standardzie base64 tekst z adresami URL serwera C&C. Po odkodowaniu tekstu Astaroth łączy się z tymi adresami URL, aby otrzymywać nowe instrukcje i wysyłać skradzione informacje. Nawet jeśli YouTube usunie kanały, Astaroth przechodzi na inny system, aby uzyskać dostęp do serwerów kontroli.

Ta metoda ukrywania lokalizacji serwera C&C na YouTube nie jest nowa. Była już używana przez autorów Janicab i Statinko. Astaroth na razie jest aktywny tylko w Brazylii. Jeśli zostanie rozpowszechniony na cały świat, możemy spodziewać się poważnej liczby infekcji ze względu na jego złożoność i szybkie tempo ewolucji. 

Źródło: ZDNet

5. Norweski Norfund padł ofiarą przekrętu na 100 mln koron [10 mln USD]

Norfund* to jeden z największych na świecie państwowych funduszy majątkowych. Powstał z dochodów pochodzących ze sprzedaży ropy naftowej Morza Północnego i jest wart obecnie ponad 1 bilion dolarów. Jest także tylko jednym z funduszy powołanych do życia przez norweski rząd. Wszystkie one czerpią kapitał ze sprzedaży ropy i wszystkie są bardzo bogate. Idealny cel ataku.

Bardzo mało szczegółów jest znane. Przestępca przejął konto pracownika należącego do jednego z beneficjentów Funduszu. Analiza wiadomości pokazała, że był bardzo dobrze przygotowany. Szablon maili, ich treść oraz sposób w jaki operował językiem były na tyle przekonujące, że nikt nie nabrał najmniejszych podejrzeń. Można by powiedzieć „Przekręt stary jak świat” – jednak bardzo skuteczny. W takich atakach mamy zwykle do czynienia z planowanymi płatności, które dodatkowo są autoryzowane wewnętrznie. Ofiary zwykle bardzo późno uzmysławiają sobie, że doszło do kradzieży. W tym wypadku mówimy o ponad 2 miesiącach.

Norfund współpracuje z policją, Ministerstwem Spraw Zagranicznych i DNB – największą norweską instytucją finansową. Fundusz zwrócił się także do PwC o przeprowadzenie audytu i ocenę zabezpieczeń infrastruktury IT. A co stało się z pieniędzmi? Potwierdzono już, że zostały przesłane dalej – do Meksyku. Szanse na ich odzyskanie są raczej niewielkie.

* Norweski Fundusz Inwestycyjny dla Krajów Rozwijających się

Źródło: The Register

6. Ransomware atakuje kancelarię prawną Madonny, Drake’a, Lady Gagi i innych celebrytów

Popularna firma prawnicza, która współpracuje z długą listą celebrytów padła ofiarą ataku ransomware REvil. Hakerzy grożą teraz opublikowaniem 756 gigabajtów skradzionych danych. Na dowód część z nich upublicznili już na Torze.

Nowojorska firma Grubman Shire Meiselas & Sacks oferuje usługi prawne dla branży rozrywkowej i medialnej. Wśród ich klientów są Madonna, Drake, Lady Gaga, Nicki Minaj, Bruce Springsteen, Christina Aguilera, Mariah Carey, Jessica Simpson i wiele innych. Nic dziwnego, że w moment sprawa przybrała medialnego charakteru. 

Według badaczy, cyberprzestępcy uderzyli w kancelarię przy użyciu oprogramowania ransomware REvil (znanego również jako Sodinokibi). Informacje, które rzekomo zostały skradzione, obejmują numery telefonów klientów, adresy e-mail, korespondencję osobistą, kontrakty z klientami oraz umowy o zachowaniu poufności zawarte z firmami reklamowymi i modelingowymi.

Nie wiadomo dokładnie, w jaki sposób firma została zainfekowana, ale w portfolio REvil są m.in. ataki RDP i malspam.  

Przestępcy żądają 1 mln dolarów! Poza dwoma oczywistymi powodami do zapłaty jak zdobycie klucza deszyfrującego i powstrzymanie przestępców przed publikowaniem informacji, pozostaje trzeci – kwestie wizerunkowe. Niewątpliwie oczy Hollywood będą bacznie obserwować tę sprawę. 

Źródła: 1 |2