szukaj

07.03.2016 | 21:54

avatar

Adam Haertle

Apokalipsa firmowej sieci czyli ransomware na każdym komputerze

Autorzy ransomware chyba mają już dosyć użerania się z każdym użytkownikiem pojedynczo i zabrali się za operacje hurtowe. Docierają do nas raporty o atakach, w których zaszyfrowane zostają wszystkie komputery w sieci firmowej.

Od kilku lat zagrożenie ransomware regularnie rośnie. Chyba każdy zna jakąś ofiarę takich ataków. Do osób fizycznych, które straciły zaszyfrowane pliki, zaczynają dołączać duże firmy. I nie chodzi tylko o pojedyncze komputery pracowników, a o całą infrastrukturę firmy.

Inna skala problemu

W ciągu ostatnich kilku tygodni natrafiliśmy na raporty wskazujące, że ataki na wszystkie komputery firmy naraz nie są już tylko koszmarem administratora, ale zdarzają się naprawdę. Pierwszy raz natrafiliśmy na opis takiego ataku w raporcie firmy Dell SecureWorks. Specjaliści tej firmy zostali wezwani do analizy trwającego ataku. W dużej infrastrukturze IT, rozciągającej się na kilka kontynentów, natrafili na ślady atakujących którzy spędzili już sporo czasu na zdobywaniu uprawnień i rozpoznawaniu architektury sieci. Dysponowali między innymi hasłem jednego z administratorów domeny i wykorzystywali je do przeglądania całej sieci.

Na licznych kontrolerach domeny znaleziono złośliwy plik wykonywalny, skrypt VBS oraz plik ScheduledTasks.xml. Plik ten odpowiadał za stworzenie polityki GPO, która na każdą stację podłączającą się w ciągu wskazanych dwóch dni do domeny wysyłała plik VBS, którego zadaniem było pobranie z kontrolera domeny pliku wykonywalnego i jego uruchomienie. Atak był zaplanowany na godzinę 17 lokalnego czasu a plik wykonywalny był egzemplarzem ransomware. Firmę od totalnej katastrofy uratowała mała literówka w pliku ScheduledTasks.xml dzięki której nie doszło do uruchomienia złośliwego kodu. Analitycy sugerują, że uruchomienie ransomware mogło być próbą odwrócenia ich uwagi od innych działań podejmowanych przez atakującego.

Destrukcja, wszędzie destrukcja

Firma Mandiant w swoim raporcie wspomina o kilku obserwowanych przypadkach, w których atakujący dążyli do całkowitego zniszczenia zawartości komputerów w zainfekowanych sieciach i maksymalizacji strat z tym związanych. Jeden z przykładów ataków opisuje sytuację identyczną jak opisana powyżej, lecz nie tylko ransomware było narzędziem przestępców. Inni przestępcy uruchomili na wszystkich komputerach procedurę kasowania folderu system32 takim oto zadaniem:

mkdir “C:\emptydir”
robocopy “C:\emptydir” “C:\windows\system32” /MIR | shutdown /s /t 1800

Inni zapewnili dedykowane skrypty destrukcyjne dla kazdego rodzaju serwerów. Poniższy skrypt miał uszkodzić serwery ESX

find / -type f -name “*.*” | grep -v “disks” | grep -v “\/dev” | awk ‘{print “ls
-l \”” $0 “\”” }’ |sh | awk ‘{if ($5>524288000) print “dd if=/dev/zero of=\”” $9
“\” bs=512k count=400 seek=400 conv=notrunc,noerror > /dev/null 2>&1 &”}’ | sh
sleep 1
rm -r -f /boot/* &
rm -r -f /vmfs/* &
rm -r -f /* &
rm -f /bin/* /sbin/* &
exit

Kolejny atak na środowisko Windows traktował inaczej każdy rodzaj komputera ze względu na jego funkcję. Stacje robocze dostały nowe sektory MBR, serwerom najpierw wyłączono usługi terminalowe a kontroler domeny został skasowany z opóźnieniem w stosunku do pozostałych maszyn by jak najdłużej dostarczać możliwość uwierzytelnienia złośliwych skryptów.

Ransomware dla każdego

Firma Intel Security przedstawia z kolei wycelowany atak w firmy, którego celem jest wyłącznie zaszyfrowanie wszystkich komputerów. Działanie przestępców rozpoczyna się atakiem na serwery dostępne w internecie i prowadzi do przejęcia kontroli nad komputerami w sieci wewnętrznej. Atakujący wykorzystują popularne narzędzia (np. Sysinternals) by zminimalizować szansę wykrycia. Na komputery wgrywają skrypty kasujące kopie bezpieczeństwa oraz klucze publiczne które zostaną wykorzystane w szyfrowaniu plików. W ostatnim kroku na komputerach ląduje plik wykonywalny oraz uruchamiający go skrypt BAT. Po zaszyfrowaniu plików wykorzystane narzędzia są kasowane z dysków.

Co ciekawe autorzy ransomware kontaktują się z ofiarami poprzez strony w serwisie WordPress.com. Dla każdego klienta tworzony jest osobny „blog”, gdzie ma zgłosić się z dowodem wpłaty okupu. Blogi są często kasowane, ale trafiliśmy na dwa jeszcze żywe przypadki. W jednym z nich widać nawet fragment korespondencji ofiary z szantażystą.

Przykład serwisu przestępców

Przykład serwisu przestępców

Podsumowanie

Nie da się ukryć, że jeżeli przestępca ma dostęp do Twojego serwera AD, to masz poważny problem. Trzeba jednak pamiętać, ze ten problem może stać się dużo poważniejszy gdy wszystkie komputery w sieci zostaną zaszyfrowane. Włamania trudno uniknąć – ale próbujcie przynajmniej je wykryć zanim zaczną się poważne problemy, by nie skończyć jak ten hollywoodzki szpital.

Powrót

Komentarze

  • avatar
    2016.03.07 22:50 o

    Analitycy sugerują, że uruchomienie ransomware mogło być próbą odwrócenia ich uwagi od innych działań podejmowanych przez atakującego.

    Lol co za wyobraźnia, podobno pierwsza myśl jest najcelniejsza a to jest moja pierwsza .

    Odpowiedz
  • avatar
    2016.03.08 13:14 darek

    Warto pomyśleć o sensowym backupie (taki, który nawet przy całkowitej kompromitacji maszyny uniemożliwia usunięcie/nadpisanie danych). Od jakiegoś czasu używam tarsnapa, wygląda bardzo rozsądnie – umożliwia wygenerowanie kluczy dla konkretnych operacji: zapis, odczyt, usuwanie.

    Odpowiedz
  • avatar
    2016.03.08 15:03 Mały Miś

    Jeśli w małej sieci firmowej wszystkie stacje pracują z uprawnieniami zwykłego usera to czy jest jakieś zagrożenie dla sieci (i serwera plików) gdy sekretarka odpali jakąś nową wersję cryptolockera? Stacje regularnie patchowane….

    Odpowiedz
    • avatar
      2016.03.09 09:14 Duży Miś

      Zagrożenie (ryzyko) jest zawsze. Kwestia tego jakie luki zostaną wykorzystane w najnowszej kampanii.

      Odpowiedz
    • avatar
      2016.03.09 09:52 sand

      Oczywiście, że zagrożenie jest. Wybraź sobie, że te komputery w małej sieci mają zamapowane dyski sieciowe, a użytkownik ma uprawnienia „change” na wszystkich plikach. I cryptowall szyfruje zawartość tych udziałow sieciowych :) U klienta, dla którego obecnie pracuję taki scenariusz zdarzył sie już kilka razy, w różnych lokalizacjach, na różnych serwerach plików. Jedyny ratunek to wyłapanie, która stacja sieje, odcięcie jej od sieci (i przeoranie do czystego systemu) oraz odtworzenie danych z backupu.

      Odpowiedz
  • avatar
    2016.03.09 18:23 iksde

    Adam, prosba o update, niech sie wiecej osob posmieje.

    http://hostingnews.pl/wywiad-bartek-juszczyk-adweb/

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Apokalipsa firmowej sieci czyli ransomware na każdym komputerze

Komentarze