Apokalipsa firmowej sieci czyli ransomware na każdym komputerze

dodał 7 marca 2016 o 21:54 w kategorii Złośniki  z tagami:
Apokalipsa firmowej sieci czyli ransomware na każdym komputerze

Autorzy ransomware chyba mają już dosyć użerania się z każdym użytkownikiem pojedynczo i zabrali się za operacje hurtowe. Docierają do nas raporty o atakach, w których zaszyfrowane zostają wszystkie komputery w sieci firmowej.

Od kilku lat zagrożenie ransomware regularnie rośnie. Chyba każdy zna jakąś ofiarę takich ataków. Do osób fizycznych, które straciły zaszyfrowane pliki, zaczynają dołączać duże firmy. I nie chodzi tylko o pojedyncze komputery pracowników, a o całą infrastrukturę firmy.

Inna skala problemu

W ciągu ostatnich kilku tygodni natrafiliśmy na raporty wskazujące, że ataki na wszystkie komputery firmy naraz nie są już tylko koszmarem administratora, ale zdarzają się naprawdę. Pierwszy raz natrafiliśmy na opis takiego ataku w raporcie firmy Dell SecureWorks. Specjaliści tej firmy zostali wezwani do analizy trwającego ataku. W dużej infrastrukturze IT, rozciągającej się na kilka kontynentów, natrafili na ślady atakujących którzy spędzili już sporo czasu na zdobywaniu uprawnień i rozpoznawaniu architektury sieci. Dysponowali między innymi hasłem jednego z administratorów domeny i wykorzystywali je do przeglądania całej sieci.

Na licznych kontrolerach domeny znaleziono złośliwy plik wykonywalny, skrypt VBS oraz plik ScheduledTasks.xml. Plik ten odpowiadał za stworzenie polityki GPO, która na każdą stację podłączającą się w ciągu wskazanych dwóch dni do domeny wysyłała plik VBS, którego zadaniem było pobranie z kontrolera domeny pliku wykonywalnego i jego uruchomienie. Atak był zaplanowany na godzinę 17 lokalnego czasu a plik wykonywalny był egzemplarzem ransomware. Firmę od totalnej katastrofy uratowała mała literówka w pliku ScheduledTasks.xml dzięki której nie doszło do uruchomienia złośliwego kodu. Analitycy sugerują, że uruchomienie ransomware mogło być próbą odwrócenia ich uwagi od innych działań podejmowanych przez atakującego.

Destrukcja, wszędzie destrukcja

Firma Mandiant w swoim raporcie wspomina o kilku obserwowanych przypadkach, w których atakujący dążyli do całkowitego zniszczenia zawartości komputerów w zainfekowanych sieciach i maksymalizacji strat z tym związanych. Jeden z przykładów ataków opisuje sytuację identyczną jak opisana powyżej, lecz nie tylko ransomware było narzędziem przestępców. Inni przestępcy uruchomili na wszystkich komputerach procedurę kasowania folderu system32 takim oto zadaniem:

Inni zapewnili dedykowane skrypty destrukcyjne dla kazdego rodzaju serwerów. Poniższy skrypt miał uszkodzić serwery ESX

Kolejny atak na środowisko Windows traktował inaczej każdy rodzaj komputera ze względu na jego funkcję. Stacje robocze dostały nowe sektory MBR, serwerom najpierw wyłączono usługi terminalowe a kontroler domeny został skasowany z opóźnieniem w stosunku do pozostałych maszyn by jak najdłużej dostarczać możliwość uwierzytelnienia złośliwych skryptów.

Ransomware dla każdego

Firma Intel Security przedstawia z kolei wycelowany atak w firmy, którego celem jest wyłącznie zaszyfrowanie wszystkich komputerów. Działanie przestępców rozpoczyna się atakiem na serwery dostępne w internecie i prowadzi do przejęcia kontroli nad komputerami w sieci wewnętrznej. Atakujący wykorzystują popularne narzędzia (np. Sysinternals) by zminimalizować szansę wykrycia. Na komputery wgrywają skrypty kasujące kopie bezpieczeństwa oraz klucze publiczne które zostaną wykorzystane w szyfrowaniu plików. W ostatnim kroku na komputerach ląduje plik wykonywalny oraz uruchamiający go skrypt BAT. Po zaszyfrowaniu plików wykorzystane narzędzia są kasowane z dysków.

Co ciekawe autorzy ransomware kontaktują się z ofiarami poprzez strony w serwisie WordPress.com. Dla każdego klienta tworzony jest osobny „blog”, gdzie ma zgłosić się z dowodem wpłaty okupu. Blogi są często kasowane, ale trafiliśmy na dwa jeszcze żywe przypadki. W jednym z nich widać nawet fragment korespondencji ofiary z szantażystą.

Przykład serwisu przestępców

Przykład serwisu przestępców

Podsumowanie

Nie da się ukryć, że jeżeli przestępca ma dostęp do Twojego serwera AD, to masz poważny problem. Trzeba jednak pamiętać, ze ten problem może stać się dużo poważniejszy gdy wszystkie komputery w sieci zostaną zaszyfrowane. Włamania trudno uniknąć – ale próbujcie przynajmniej je wykryć zanim zaczną się poważne problemy, by nie skończyć jak ten hollywoodzki szpital.