Do sieci trafiła lista 500 tys. rekordów, pozwalająca namierzyć źle zabezpieczone (lub niezabezpieczone) urządzenia IoT, serwery i domowe routery. Czy to przepis na botnet doskonały? Jeśli tak, opiszemy Wam ten przypadek jako pierwsi. W tym tygodniu również: TrickBot wykrada bazy Active Directory, cyberprzekręt na ofertę pracy oraz wpadka Microsoft – wyciekło 14 lat z życia działu ich supportu. Dodatkowo, BitPayLock oraz atak Chameleon.
1. W sieci właśnie pojawiło się 500 tys. haseł urządzeń IoT
W mediach co chwila bombardują nas kolejne sztampowe hasła promujące super produkt. Co myślicie o „Przepisie na botnet doskonały” lub „Botnet w kilka minut”? Absurdalne? Tak, ale niektórzy naprawdę pomagają przestępcom niejako odnieść sukces. Niespełna tydzień temu mieliśmy na to kolejny dowód. W internecie ujawniono listę danych uwierzytelniających zawierającą ponad 515 tys. rekordów. Wypłynęły dane serwerów, domowych routerow oraz urządzeń Internetu Rzeczy.
Lista zwiera adres IP urządzenia wraz z loginem i hasłem do usługi Telnet. Czy to kolejny przykład wycieku danych? Tym razem nie. Baza powstała w oparciu o skan internetu w poszukiwaniu urządzeń z niezabezpieczonym portem Telnet. W momencie gdy przestępca natrafił na takie urządzenie w pierwszej kolejności sprawdzał czy pasują dane uwierzytelniające nadane jeszcze przez producenta, a jeśli nie – wpisywał kolejno proste do odgadnięcia kombinacje haseł.
W ten prosty sposób powstała lista botów. Przestępcy zwykle jednak nie mają w zwyczaju upubliczniać takich baz. Dziennikach z serwisu ZDnet dotarł do jej autora i dowiedział się, że ten zmienia model prowadzenia operacji. Zrezygnował z urządzeń IoT. Od teraz będzie wynajmować serwery – o dużo większej wydajności – od dostawców usług chmurowych.
2. TrickBot wykrada dane uwierzytelniające Active Directory
Nowa wersja trojana TrickBot jest zagrożeniem dla baz Active Directory przechowywanych na przejętych kontrolerach domeny Windows.
TrickBot to nie początek problemów. Zagrożenie jest instalowane na komputerze poprzez inny malware. W większości przypadków jest to Emotet, dystrybuowany za pomocą złośliwych plików MS Office.
Po zakończeniu instalacji TrickBot zbiera z urządzenia wszystkie interesujące dla przestępców dane oraz rozprzestrzenia się w ramach firmowej sieci… i zbiera kolejne informacje. Jest to możliwe ponieważ trojan pobiera dodatkowe moduły, które odpowiadają za wykonywanie konkretnych akcji – kradzież plików cookies, wykradanie danych przeglądarki, kluczy OpenSSH itd. Nowo odkryty moduł o nazwie ADll umożliwia wykradanie baz Windows Active Directory.
W jaki sposób TrickBot kradnie dane Active Directory
Zanim przejdziemy do samej kradzieży, zatrzymajmy się na chwilę przy pliku ntds.dit. W momencie gdy serwer staje się kontrolerem domeny, w lokalizacji C:\Windows\NTDS zostaje zapisana baza AD. Wewnątrz folderu NTDS znajduje się plik ntds.dit, który zawiera wszystkie informacje o usłudze Active Directory – użytkownicy, hasła, grupy, komputery itd. Windows szyfruje te dane za pomocą BootKey przechowywanego w rejestrze systemu. Ponieważ ntds.dit jest zawsze używanene przez kontrolera domeny aby administrator był w stanie wprowadzać zmiany w bazie, korzysta on z narzędzia o nazwie ntdsutil i jego podpolecenia ifm. Install from Media służy do tworzenia nośników instalacyjnych, które pozwalają na szybką konfigurację nowego kontrolera domeny, bez konieczności replikacji usługi Active Directory.
Wróćmy do TrickBot. Wspomniany wcześniej moduł ADll wykorzystuje polecenie Install from Media do tego aby wrzucić bazę AD oraz liczne RegistryHive do %Temp% folder. Następnie pliki zostają skompresowane i przesłane na serwery C&C atakujących. Kiedy przestępcy dysponują już danymi, nic nie stoi na przeszkodzie aby przejść do finalnego stadium ataku, czyli wpuszczenia programu szyfrującego. W większości przypadków jest to owiany złą sławą ransomware Ryuk.
3. Cyber-przekręt na ofertę pracy
Współpracujące ściśle z FBI, Internet Crime Complaint Center (IC3) ostrzega przed nowym typem oszustw. Przestępcy wykorzystują nieprawdziwe ogłoszenia o pracę do wykradania danych – osobowych oraz finansowych. Są również w stanie [o dziwo] nakłonić swoje ofiary do przesyłania im znacznych sum pieniędzy.
Tego typu przekręty nie są niczym nowym. Jednak w ostatnim czasie mechanizm w oparciu o który działają przestępcy znacząco ewoluował. Dlaczego oferty pracy? Z jednej strony dla zwiększenia wiarygodności w oczach ofiary. Z drugiej, ponieważ w ten sposób atakujący docierają do bardzo zróżnicowanej grupy osób, z różnym poziomem umiejętności oraz… zarobków.
Ile można stracić? Jak się okazuje, bardzo dużo. Średnio na jednym oszustwie przestępcy są w stanie zyskać nawet 3000 USD. Dodatkowo przejęte zostają dane kart kredytowych oraz PII, czyli informacje umożliwiające identyfikację osoby.
Jak nawigować w gąszczu ofert, aby nie dać się złapać na haczyk? IC3 namawia do kierowania się zdrowym sceptycyzmem. Zawsze warto sprawdzić w sieci informacje nt. potencjalnego pracodawcy (przydadzą się podczas rozmowy kwalifikacyjnej!). Jeśli po wpisaniu nazwy w wynikach otrzymujemy kilka różnych domen (abccompany.com, abccompanyllc.com itd.) warto zachować ostrożność. Pamiętajmy również o tym, że przestępcy celowo podmieniają litery w nazwach aby móc zarejestrować domenę w formie jak najbardziej zbliżonej do oryginału. Nasz mózg bardzo często nie dostrzega różnicy w porę. Nie powinno się również podawać wrażliwych danych jak PESEL, PII czy informacji o zarobkach na etapie rekrutacji. Kolejna wskazówka przemawiająca za tym, że dana oferta może być nieprawdziwa jest fakt, że pomimo tego iż znajduje się ona w serwisach internetowych nie ma o niej wzmianki na stronie firmy „poszukującej” pracownika.
4. Wyciek Microsoft – 14 lat z życia działu supportu dostępnych online
Microsoft przyznał się do wycieku bazy danych swojego Customer Support. Skala tego incydentu to około 250 milionów rekordów.
Do sieci przedostały się logi rozmów działu supportu z użytkownikami z okresu…14 lat! A dokładnie od 2005 roku do grudnia 2019.
Wśród upublicznionych informacji znalazły się adresy e-mail użytkowników i przedstawicieli Microsoft, numery spraw, rozwiązania oraz uwagi i poufne wewnętrzne notatki.
Microsoft pracował nad załataniem luki od Sylwestra. Niedawno szczegóły dotyczące incydentu udostępniły osoby na najwyższych stanowiskach, w tym General Manager Microsoft Security Response Center. Jak przyznali, baza ta nie była w odpowiedni sposób zabezpieczona. Jednocześnie deklarowali, że incydent dotyczył wyłącznie wewnętrznej bazy danych wykorzystywanej w celach analitycznych i nie ujawnił szczegółów dotyczących komercyjnych usług cloudowych.
Jednocześnie wyjaśnili, że w bazie mogły znajdować się niektóre dane osobowe (np. źle sformatowane adresy e-mail) i obiecali poinformować osoby, których problem dotyczy.
To jak, dostałeś już maila od Microsoftu?
5. BitPayLock – zapłacisz, aby Twoje dane nie trafiły do sieci?
Ransomware BitPyLock zmienia swoją strategię. Odchodzi od celowania w pojedyncze stacje robocze w kierunku rozprzestrzeniania się w sieci celem kradzieży plików. Odkryty na początku miesiąca przez MalwareHunterTeam, prawie codziennie zyskuje nowe ofiary.
Tradycyjne podejście do lokalnego szyfrowania plików co prawda się sprawdza, ale przestępcy idą krok dalej. Notatki o okupie odzwierciedlają ich ambitne cele. Przed zaszyfrowaniem urządzeń, wykradają dane ofiar i grożąc ich ujawnieniem argumentują konieczność wniesienia opłaty. W ten sposób nie tylko wywierają presję, ale zwiększają szanse na powodzenie złośliwej kampanii.
Jeżeli ten rodzaj oprogramowania ransomware trafi na urządzenia osób na wyższych stanowiskach dużych przedsiębiorstw, które przetwarzają wrażliwe informacje biznesowe, zespoły ds. bezpieczeństwa będą musiały poradzić sobie ze scenariuszem eksfiltracji danych. W gotowości staną również specjaliści ds. PR i prawnicy, którzy będą musieli tłumaczyć się nie tylko z wycieku, ale i charakteru ujawnionych informacji.
Ewolucja Bit PyLock i podobnych jemu zagrożeń powinna być sygnałem dla przedsiębiorstw, że czas dokonać solidnego audytu swoich zabezpieczeń i przygotować się na nową erę zagrożeń.
6. Chameleon może manipulować Twoimi lajkami w social media
Najnowszy atak Chameleon pozwala niepostrzeżenie zmienić content, który polubiłeś lub skomentowałeś w social mediach. Jeżeli się powiedzie, zaczniesz zastanawiać się dlaczego polubiłeś konkretne zdjęcie, film lub video na Facebooku, Instagramie czy Twitterze.
Te najpopularniejsze media społecznościowe umożliwiają bowiem publikowanie linków przekierowujących i obsługują aktualizację ich podglądu. To pozwala zmienić sposób wyświetlania posta bez wskazania, że zmieniono docelową treść linkowanego URL. Atak wykorzystuje więc nie tyle lukę bezpieczeństwa, co raczej wadę projektową mediów społecznościowych.
Korzystając z tej techniki, atakujący mogą na przykład uniknąć cenzury, ukrywając prawdziwą treść w momencie poddawania jej inspekcji, zdobyć kapitał społeczny promując rzekomo popularne treści zmieniając je później na niedozwolone, czy powodować zakłopotanie pokazując, że polubiłeś treści, których nigdy nie widziałeś na oczy. Jak to działa? Atak kameleona najlepiej obrazuje poniższy film:
Na razie nie ma żadnej niezawodnej strategii łagodzenia tego ataku. Pozostaje nam zachowanie ostrożności i wstrzemięźliwości w “lajkowaniu” postów na Facebooku czy Instagramie, jeżeli nie chcemy być posądzani o sprzyjanie niekoniecznie legalnym czy pozytywnym treściom.