Na rynku cyberzagro\u017ce\u0144 pojawi\u0142 si\u0119 nowy gracz. LockBit jest oferowany w modelu RaaS (Ransomware as a Service) i jest wyj\u0105tkowo szybki. Aby zaszyfrowa\u0107 ca\u0142\u0105 firmow\u0105 sie\u0107 potrzebuje zaledwie kilku godzin. W tym tygodniu r\u00f3wnie\u017c piszemy nt. botnetu Kaiji oraz nowego spyware, kt\u00f3ry ukryty w aplikacji 2FA atakuje u\u017cytkownik\u00f3w macOS. Znale\u017ali\u015bmy tak\u017ce gor\u0105c\u0105 ciekawostk\u0119 [a w zasadzie przestrog\u0119] dla fan\u00f3w Tesli (i ich posiadaczy) oraz newsa, kt\u00f3ry zainteresuje fan\u00f3w Anime (ach, m\u0142odo\u015b\u0107 si\u0119 przypomina). Zaczynamy.<\/p>\n\n\n\n\n\n\n\n
Na rynku Ransomware-as-a-Service (RaaS) pojawi\u0142 si\u0119 w\u0142a\u015bnie nowy gracz. Na ka\u017cdej operacji tw\u00f3rcy ransomware LockBit zyskuj\u0105 zwykle 25-40% warto\u015bci okupu. Co ciekawe, w ramach czego\u015b na wz\u00f3r biznesowych program\u00f3w afiliacyjnych s\u0105 w stanie ugra\u0107 du\u017co wy\u017csze stawki \u2013 nawet 60-75%.<\/p>\n\n\n
Zw\u0142aszcza gdy stawk\u0105 jest by\u0107 albo nie by\u0107… tzn. zosta\u0107 lub nie zosta\u0107 wykrytym w por\u0119. A wi\u0119c jak szybko LockBit jest w stanie szyfrowa\u0107 dane? 25 serwer\u00f3w i 225 komputer\u00f3w w oko\u0142o 3 godziny. Tak szybko. Wed\u0142ug Patricka Van Looya, specjalisty ds. cyberbezpiecze\u0144stwa w Northwave, hakerzy uzyskali dost\u0119p do sieci korporacyjnej poprzez atak brute force na konto administratora za po\u015brednictwem nieaktualnej us\u0142ugi VPN. Po uzyskaniu dost\u0119pu atakuj\u0105cy niemal natychmiast uruchomi\u0142 oprogramowanie ransomware. Oko\u0142o 1:00 rano mia\u0142o miejsce pierwsze zalogowanie, po kt\u00f3rym ransomware rozpocz\u0105\u0142 szyfrowanie danych, a oko\u0142o 4:00 atakuj\u0105cy wylogowali si\u0119 z systemu.<\/p>\n\n\n\n
Po uruchomieniu, opr\u00f3cz szyfrowania danych, LockBit wykonuje r\u00f3wnie\u017c \u017c\u0105dania ARP w celu wyszukania innych aktywnych host\u00f3w w ramach firmowej sieci. Nast\u0119pnie pr\u00f3buje po\u0142\u0105czy\u0107 si\u0119 z nimi za pomoc\u0105 protoko\u0142u SMB. Je\u015bli udaje si\u0119 mu nawi\u0105za\u0107 po\u0142\u0105czenie, program wysy\u0142a polecenie pobrania ransomware i uruchomienia go.<\/p>\n\n\n\n
Stopniowo coraz wi\u0119cej urz\u0105dze\u0144 w ramach sieci zostaje zainfekowanych, one z kolei znacz\u0105co pomagaj\u0105 przyspieszy\u0107 wdro\u017cenie ransomware na innych urz\u0105dzeniach. Szybko przeprowadzane ataki maj\u0105 najwi\u0119ksze szanse na pe\u0142ne powodzenie. Im d\u0142u\u017cej atakuj\u0105cy przemieszczaj\u0105 si\u0119 w ramach sieci, tym wi\u0119ksze szanse \u017ce zostan\u0105 w ko\u0144cu wykryci.<\/p>\n\n\n\n
\u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Nowe zagro\u017cenie, kt\u00f3re specjali\u015bci nazwali Kaiji, wyr\u00f3\u017cnia przede wszystkim fakt, \u017ce zosta\u0142o napisane w Go. Dlaczego jest to takie ciekawe? Obecnie wi\u0119kszo\u015b\u0107 zagro\u017ce\u0144 tworzonych pod IoT pisze si\u0119 albo w C albo w C++.<\/p>\n\n\n\n Wed\u0142ug badaczy z Intezer botnet nie jest jeszcze w stanie wykorzystywa\u0107 exploit\u00f3w do infekowania podatnych urz\u0105dze\u0144. Zamiast tego Kaiji wykonuje ataki brute force na urz\u0105dzenia IoT i serwery Linux, kt\u00f3re posiadaj\u0105 niezabezpieczony port SSH. Atakuj\u0105cym zale\u017cy na przej\u0119ciu kontroli nad kontem root. Wynika to z faktu, \u017ce botnet potrzebuje dost\u0119pu root do zainfekowanych urz\u0105dze\u0144, aby manipulowa\u0107 pakietami sieciowymi w celu przeprowadzenia atak\u00f3w DDoS. Gdy Kaiji uzyska ju\u017c dost\u0119p do g\u0142\u00f3wnego konta urz\u0105dzenia, wykorzystuje to na trzy sposoby: do prowadzenia atak\u00f3w DDoS, do prowadzenia kolejnych atak\u00f3w brute force na otwarte porty SSH pozosta\u0142ych urz\u0105dze\u0144 oraz kradnie wszystkie lokalne klucze SSH i szybko rozprzestrzenia si\u0119 na urz\u0105dzenia, kt\u00f3rymi konto root zarz\u0105dza\u0142o w przesz\u0142o\u015bci.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n Przez prawie osiem lat haker stopniowo i niezauwa\u017cenie przejmowa\u0142 routery NVR D-Link oraz urz\u0105dzenia NAS i wci\u0105ga\u0142 je do bardzo nietypowego botneta.<\/p>\n\n\n\n Cereals zosta\u0142 po raz pierwszy wypatrzony w 2012 r. Sw\u00f3j szczyt osi\u0105gn\u0105\u0142 w 2015 r., kiedy zgromadzi\u0142 ponad 10 000 bot\u00f3w. Obecnie powoli zanika. Co jest tego powodem? Podatne urz\u0105dzenia D-Link ju\u017c si\u0119 zestarza\u0142y i s\u0105 stopniowo wycofywane z eksploatacji. \u015amier\u0107 botnet\u2019a przyspieszy\u0142 r\u00f3wnie\u017c ransomware o nazwie Cr1ptT0r, kt\u00f3ry usun\u0105\u0142 Cereals z wielu system\u00f3w D-Link zim\u0105 2019 roku.<\/p>\n\n\n\n Ciekawostka<\/strong>. W ca\u0142ym swoim o\u015bmioletnim \u017cyciu Cereals wykorzystywa\u0142 tylko jedn\u0105 luk\u0119. Dotyczy\u0142a ona funkcji powiadamiania SMS oprogramowania wewn\u0119trznego D-Link, zasilaj\u0105cego lini\u0119 urz\u0105dze\u0144 NAS i NVR. B\u0142\u0105d umo\u017cliwia\u0142 przesy\u0142anie zniekszta\u0142conego \u017c\u0105danie HTTP do wbudowanego serwera podatnego urz\u0105dzenia i nast\u0119pnie wykonywa\u0107 polecenia z uprawnieniami administratora.<\/p>\n\n\n\n Cereals utrzymywa\u0142 kilka mechanizm\u00f3w backdoor: w celu uzyskania dost\u0119pu do zainfekowanych urz\u0105dze\u0144, do przeprowadzania aktualizacji chroni\u0105cych urz\u0105dzenie przed przej\u0119ciem przez inne zagro\u017cenie, do zarz\u0105dzania zainfekowanymi botami w ramach 12 mniejszych podsieci. Co ciekawe, pomimo wykorzystywania dosy\u0107 zaawansowanych rozwi\u0105za\u0144, botnet jest najprawdopodobniej hobbystycznym projektem.<\/p>\n\n\n\n2. Nowe zagro\u017cenie: botnet Kaiji gro\u017any dla urz\u0105dze\u0144 IoT oraz serwer\u00f3w Linux<\/strong><\/h2>\n\n\n
3. Cereals, botnet kt\u00f3ry wydaje si\u0119 mie\u0107 tylko jeden cel – pobieranie anime<\/strong><\/h2>\n\n\n