W piątek 12 maja tysiące komputerów na całym świecie zostało zainfekowanych złośliwym oprogramowaniem WannaCry i zaszyfrowanych w celu wymuszenia okupu. Jak mogło dojść do takiego incydentu i jak uniknąć go w przyszłości?
Jeśli weekend spędziliście z dala od wszelkich ekranów, to krótko przypomnimy najważniejsze informacje. W piątek, około godziny 8 rano naszego czasu, na komputerach firmowych i prywatnych komputerów zaczęły się pojawiać komunikaty nowego wariantu ransomware, żądającego 300 dolarów okupu za odszyfrowanie plików. Choć podobne przypadki nie są użytkownikom obce, ten był dużo bardziej niepokojący – identyczne komunikaty pojawiały się na dziesiątkach i setkach komputerów znajdujących się w tych samych biurach. Wkrótce było jasne, że ransomware instalowany jest przez robaka, który potrafi sam rozmnażać się wewnątrz zainfekowanej sieci. Niektóre firmy, tak jak hiszpańska Telefonica, zostały dotknięte tak mocno, że musiały wysłać do domu wszystkich pracowników nie usuwających awarii. Inne, jak ok. 20% brytyjskich szpitali, musiały odsyłać klientów, których nie mogły obsłużyć na skutek niedostępności systemów. Problemy odczuwali tacy giganci jak FedEx, Renault, Nissan, koleje w Niemczech i Rosji, a także banki, firmy telekomunikacyjne i ministerstwa, głównie w Europie i Azji. Dzięki szczęśliwemu zbiegowi okoliczności skala infekcji powoli maleje, ponieważ jeden z badaczy zarejestrował domenę używaną przez złośliwy program do sprawdzenia, czy powinien się uruchomić, czy nie, nieświadomie w dużej mierze blokując dalsze rozprzestrzenianie się robaka. Powstały co prawda nowe warianty, jednak skala ich działania jest dużo mniejsza. Licznik połączeń do kilku domen wirusa wskazywał w szczytowym momencie ponad 230 tysięcy przypadków WannaCry w ciągu doby. Jak jednak robak dostał się do pierwszych ofiar?
Tajemnicza metoda infekcji
W świecie komputerowych wirusów, podobnie jak wśród wirusów biologicznych, istnieje pojęcie „pacjenta zero”, czyli miejsca, od którego zaczęła się infekcja. W ostatnich czasach komputerowe wirusy najczęściej dostarczane są ofiarom poprzez pocztę elektroniczną. Także w przypadku WannaCry spodziewanego się takiego wariantu. Wygląda jednak na to, że 3 doby od wykrycia infekcji nadal nikt nie znalazł kopii robaka wysłanej w piątek rano za pomocą poczty elektronicznej. Firmy antywirusowe dysponują świetnym monitoringiem sytuacji na komputerach milionów użytkowników, lecz mimo tego żadna nie wskazała do tej pory na metodę zainfekowania pierwszych ofiar. Przez chwilę pojawiały się informacje, że były to wiadomości z załącznikiem w formacie PDF zawierającym osadzony dokument Worda, jednak wkrótce okazało się, że była to kampania innego ransomware – Jaff. Do tej pory brak jednoznacznego potwierdzenia metody infekcji, co przybliża nas do wniosków opisanych poniżej.
Czy mógł to być tylko błąd w usłudze SMB?
Robak instalujący ransomware WannaCry wykorzystywał podatność systemu Windows w usłudze SMB do infekowania kolejnych komputerów (polecamy świetną analizę techniczną przebiegu całej infekcji). Po uruchomieniu swojego kodu podejmował próby skanowania zarówno sieci lokalnej jak i publicznej w poszukiwaniu otwartego portu 445. Jeśli taki znalazł, atakował nową ofiarę za pomocą exploita wykradzionego amerykańskiej NSA i opublikowanego w kwietniu tego roku. Co prawda Microsoft wypuścił odpowiednie łaty już w marcu, jednak nie wszystkie firmy od razu je zastosowały. Takie zachowanie tłumaczy ogromną skalę infekcji w niektórych organizacjach, gdzie większość komputerów była infekowana w ciągu kilkunastu minut. Wystarczyła jedna zainfekowana maszyna, by lawinowa infekcja przeszła po całej firmie. Czy jednak w ten sposób mogło także dojść do pierwszych infekcji, bez kampanii emailowej?
Częściową odpowiedź na to pytanie możemy znaleźć w wynikach skanowania internetu, przeprowadzanego przez Dana Tentlera, krótko po opublikowaniu informacji o atakach na usługę SMB.
27 kwietnia znalazł od 4,5 miliona adresów IP z dostępną usługą SMB, z których 1,7 miliona było podatnych na atak a 165 tysięcy już zainfekowanych. Nawet zakładając, że badanie mogło nie być doskonałe, trzeba przyznać, że potencjał do infekcji był niemały. Wystarczyło, by jeden z podatnych serwerów miał także interfejs do sieci lokalnej, by zainfekować całą firmę w której nie zastosowano odpowiednich aktualizacji dla systemu Windows. W naszej ocenie jest zatem bardzo prawdopodobne, że do infekcji mogło dojść wyłącznie poprzez serwery i komputery podatne na błąd w usłudze SMB. Nawet jeśli dana firma nie miała żadnego podatnego serwera wystawionego do internetu, to wystarczył jeden zainfekowany laptop przyniesiony z zewnątrz i podłączony do firmowej sieci, by doprowadzić do katastrofy.
Przykłady ofiar
W sieci nie brakuje przykładów zainfekowanych maszyn. Oto mała kolekcja najciekawszych fotografii.
A tymczasem w Polsce
Co prawda oficjalnie mowa o tym, ze atak nasz kraj ominął, to słyszeliśmy o wielu ofiarach w Polsce i to w całkiem poważnych instytucjach. Co ciekawe, mogą to być ofiary do tej pory nieświadome – ich serwery są zarażone robakiem, jednak nie doszło do uruchomienia ransomware, ponieważ działał już mechanizm uniemożliwiający jego funkcjonowanie. Jeśli zatem przyszliście dzisiaj do pracy i spotkaliście się z WannaCry, to dajcie znać – gwarantujemy anonimowość.
Ale dlaczego firmy nie aktualizowały swoich komputerów?
Wiele osób pyta, dlaczego skala infekcji była taka duża, skoro łata od Microsoftu usuwająca wykorzystywaną podatność była dostępna od marca. Powodów jest co najmniej kilka:
- do wczoraj aktualizacja była niedostępna dla. zwykłych użytkowników Windows XP, z którego nadal korzysta wiele firm (są instytucje, jak np. Departament Obrony, które otrzymują kluczowe aktualizacje dla XP, ale słono za to płacą),
- wiele komputerów działających pod kontrolą starych wersji Windowsa znajduje się np. w sprzęcie medycznym i nie otrzymuje aktualizacji, ponieważ producent woli sprzedać nowy sprzęt lub z innych powodów już nie obejmuje ich wsparciem (prawdziwym przykładem jest chociażby piętnastoletni tomograf, którego producent zbankrutował 10 lat temu),
- w wielu przypadkach komputer z Windows stanowi część całego produktu i jego samodzielna aktualizacji przez klienta może oznaczać utratę gwarancji, a na wersję od dostawcy trzeba czekać miesiącami,
- w niektórych branżach modyfikacja lub aktualizacja systemu może oznaczać utratę jego specyficznej certyfikacji.
Ostatecznym i najczęściej spotykanym argumentem jest to, że często koszt radzenia sobie z potencjalną infekcją jest mniejszy niż koszt migracji całej organizacji na nową wersję systemu operacyjnego – i jest to smutna rzeczywistość, w której funkcjonować muszą tysiące osób te systemy wspierające.
Mogło być dużo gorzej
Co prawda Wiadomości TVP wspominały wczoraj o największym cyberataku w historii, lecz ten na pewno największy nie był. Conficker zaraził kilkanaście milionów komputerów, podczas kiedy w przypadku WannaCry mówimy na razie o ponad 200 tysiącach skutecznie zaatakowanych (chociaż niekoniecznie zaszyfrowanych) komputerów. Dużo większą od WannaCry skalę osiągnęły takie robaki jak Code Red, Melissa, SQL Slammer, Sasser czy Nimda. Warto jednak zauważyć, że prawdopodobnie była to najszybsza infekcja ransomware w ciągu 24h.
Czy można było tego uniknąć
O komentarz poprosiliśmy Marcina Ludwiszewskiego, szefa zespołu Cybersecurity i Red Team Deloitte Polska, który jako pierwszy zwrócił naszą uwagę na piątkowe wydarzenia w Hiszpanii:
W przypadku tego ataku (nie znając jeszcze skali zdarzenia), miałem okazję uczestniczyć w całej sytuacji na miejscu w Hiszpanii i jednocześnie obserwować jak działa centrum ds. cyber i kryptologii wywiadu hiszpańskiego (CCN CNI), z którym blisko kiedyś współpracowałem jeszcze w ramach tzw. Club de Berne. Bardzo szybko wysłano do wszystkich IoC, skoordynowano działania służb z firmami, które padły ofiarą ataku, podjęto decyzję o konkretnych działaniach w celu ograniczenia skutków ataku i zapewniono spójną komunikację do mediów – wydaje się, że zrobiono co trzeba (przynajmniej w ramach reakcji)
Niestety nie zawsze tak to wygląda. Powoli sytuacja się zmienia, ale ignorancja, brak świadomości, „pudełkowe security” – czyli zakup danego rozwiązania i tym samym oznajmienie najwyższego stanu bezpieczeństwa :), to wciąż nasza rzeczywistość. Jeśli dodamy do tego brak regularnych testów bezpieczeństwa lub sprowadzanie bezpieczeństwa tylko do testu penetracyjnego bez zrozumienia profilu ryzyka organizacji, zdefiniowania spójnego podejścia od zabezpieczenia po reagowanie, to odpowiedź na to pytanie nasuwa się sama.
Trudno się z Marcinem nie zgodzić. Obecnie wiemy o trzech wariantach robaka opartego o kod WannaCry, a wkrótce mogą pojawić się kolejne. Jeśli właśnie przyszliście po weekendzie to pracy to zastanówcie się, czy Wasza sieć jest gotowa na to, że któryś z pracowników w tej chwili może podłączać do niej zainfekowanego notebooka…
Komentarze
Tutaj mamy z sytuacja gdzie jest wykorzystany blad znamy od 3 miesiexy. Co bedzie gdy nastepnym razem ktos uzyje 0day-a (i patcha nie bedzie)??
Mysle ze nadchodzi czas aby zaczac powaznie myslec o budowie „Internet 2”, ktory bedzie „secured by designe”. Temat ciezki, ciekawy ale to jedyna droga. Obecnie kazdy moze podlaczyc cokolwiek do internetu i to „cos” moze robic cokolwiek. To sie musi zmienic.
w jaki sposob stworzenie internetu2 ma zapobiegac temu ze ktos wystawia do niego maszyne w domyslnej (dosc glupiej) konfiguracji?
problemem jest tutaj fakt ze typowy uzytkownik nie potrzebuje zadnego nie zainicjowanego ze swojej strony polaczenia przychodzacego „z internetu” CHYBA ze recznie skonfiguruje cos inaczej i takie powinny byc domyslne ustawienia wbudowanych firewalli
Ano w takiej, że końcówki są np rejestrowane jak dzisiejsze prepaidy przed włączenie w sieć, a operator sieci/nadzorca infrastruktury może wyłączyć szkodliwą końcówkę (końcówki) jednym kliknięciem, przynajmniej do czasu aż jej właściciel nie upora się z bałaganem u siebie.
i co to daje w kontekscie jakiegos szyfrowania? czy zamierzasz zakazac? :D
Ale co ma do tego szyfrowanie? Szyfrować nawet powinieneś.
Może prościej będzie jak przeprowadzisz się do Chin lub jeszcze lepiej do Korei Północnej. Chociaż z tego co wiem to najlepszy internet mają na Kubie, bo jest na dyskietkach.
W naturze tez sa drapiezniki np. wilki dlatego ze zawsze znajda pozywienie zeby przezyc.
Mowisz ze jak zbudujemy nowe miejsce i uniemozliwimy wilkom istnienie to bedzie bezpieczniej. Ja sadze ze moze tym wilkom uniemozliwimy cos, ale znajda sie szybko nowe zagrozenia.
Zasady minimalne tej gry sa znane, paczuje sie szybko + uzywa sie tylko aktywnie wspieranych przez vendora apek/infy + robimy chociaz podstawowe security.
Czekam na krytyke :)
U mnie czysto :) Ale…na kogo wypadnie na tego bęc..
Tak sie zastanawiam po co szukac wektora infekcji jak wektor infekcji jest banalny: WannaCry to robak (internet worm) i sie roprzestrzenia sam.
Ktos zapewne uzywajac TORa odpalil go z jeden z podanych maszyn i tyle – dalej juz lawinowo sie rozprzestrzenial.
Z ktorej? Zapewne z takiej, ktora nie miala AV lub slabego AV aby nie mozna bylo wykryc zadnych statystyk.
A co ciebie interesuje co dorośli ludzie robią za swoje lub czyjeś pieniądze? Chcą to szukają, ty nawet gdybyś chciał, to nie byłbyś w stanie, ignorancie.
Tak z ciekawości, po co włączona samba w tomografie? Lub po co taki tomograf jest podłączany do sieci bez NAT’a ?
Ciekaw jestem o ile więcej problemów by było gdyby ten gość nie wykupił tej domeny która wyłączała tego robaka..
to tylko skutki niedoplaconych adminow z lapanki ktorzy nie maja zadnych faktycznych mozliwosci zrobienia czegokolwiek a ich praca sprowadza sie do resetowania sprzetu i wymiany tonerow w drukarkach
przychodzi zewnetrzna firma, stawia tomograf za guba kase podlacza wtyczke zeby dalo sie z kompa za sciana z olowiu skany ogladac i tyle
jaki admin w publicznej sluzbie zdrowia dostanie pozwolenie od szefa placowki na grzebanie w takim sprzecie ktory wlasnie przyjechal i jest na gwarancji? potem temat robi sie stary, producent plajtuje i kazdy sie modli zeby jeszcze chwile pociagnal bez awarii
To jest pokłosie przetargów.
I chorego systemu gwarancyjnego.
Admin nie ma nic do gadania bo wygrywa ta a ta firma.
Przynosi sprzęt i podłącza do sieci.
Admin nie może ruszyć. Bo gwarancja i nawet nie ma dostępu do świństwa. Spece od dostawcy patrzą na admina jak na śmiecia bo oni są z wielkiej firmy za wielkie pieniądze dostarczającej wielkie rozwiązania.
Niby admin mógłby na firewallu powalczyć ale…. Sprzęt mus mieć dostęp do sieci. Bo nie będzie wysyłał raportów i padnie.
Jak się wytnie komunikację po 8 porcie całkiem to połowa urządzeń w biurze przestaje działać :D A dowiedzenie się adresów z jakimi urządzenia się muszą łączyć czasem graniczy z cudem.
Nawet od eseta nie dostałem listy adresów ip… Owszem jest lista ale nie ip. To komplikuje sprawę.
A przy np niektórych drukarkach w ogóle jest kaplica.
Łączy się takie bydle sporadycznie z jakimś kosmicznym adresem i co mu zrobisz? Siedź i szukaj albo odblokuj port…
Jak podłączam terminale płatnicze w firmach i każę podać serwery i porty to zawsze jest zdziwienie i że zadziwiam.
Ile razy usłyszałem że jestem popier.. podczas montażu różnych badziewi u moich klientów to moje… bo nikt takich jaj nie robi .
Całe to bezpieczeństwo to jest jakaś taka utopia….
Szczęście od boga, że ludzie z twoim poziomem wiedzy nie maja możliwości grzebania w tomografie, bo byś pewnie kilku chorych wysłał na tamten świat.
Ps.
Nie wiem ile zarabiasz miesięcznie, ale o 30% za dużo.
Nie wiem czy będziesz tak zachwycony że takie kmioty jak ja nie mogą „grzebać” jak kiedyś twoje dane medyczne powędrują w świat bo mądrale od pudełek mają bezpieczeństwo w D.
Albo jak w czasie kiedy ktoś z twoich bliskich będzie pod tomografem w sytuacji zagrożenia życia a lekarz zobaczy komunikat że mu zaszyfrowali dysk i za jedyne 600euro….
Problem w tym że teraz większość urządzeń podłączamy do internetu.
W tym aparatury medycznej. Tam są gromadzone dane a jej działanie jest kluczowe dla życia i zdrowia.
Większość tego sprzętu jest w kiepsko zabezpieczonej infr.
Co gorsza sam sprzęt obsługiwany jest przez komputery do których nie wolno wtykać pazurów i nagle się okazuje że są to nieaktualizowane wingrozy.
W wielu wypadkach nie ma mowy o instalacji głupiego antywirusa a sprzęt działa w sieci z dostępem do internetu.
Dane medyczne są udostępniane w sieci bez haseł :D
Są udostępniane czasem wprost na komputerach podpiętych do aparatury medycznej.
Oczywiście wszechobecny TV musi być… Niby fajnie ale mówimy o danych wrażliwych…
Więc @ John Sharkrat chyba jednak W D byłeś i G widziałeś.
A kim ty jesteś, John Sharkrat, że się tak wywyższasz i plujesz jadem? Krzysztof Kozłowski ma absolutną rację, i przynajmniej merytorycznie argumentuje, w przeciwieństwie do twojego żenującego wywyższania się i plucia jadem. Kto twoim zdaniem ma zajmować się administracją tymi maszynami, jeśli nie specjalnie zatrudniony do tego pracownik? Jeśli producent urządzenia nie zapewnia żadnego serwisu ani pomocy, to twoim zdaniem lepiej pozostawić sytuację samej sobie? A jeśli uważasz izolację krytycznych części infrastruktury od dostępu do sieci za głupotę, to chyba pomyliłeś serwisy z wp.pl czy innym faktem. Jak to powiedział kiedyś pewien znany koneser mocnego fulla – Nie kompromisuj się pan
@Krzysztof Kozłowski
>> Nawet od eseta nie dostałem listy adresów ip… Owszem jest lista ale nie ip.
Po co takie herezje pisać?
http://support.eset.com/kb332/?locale=en_US
Inna sprawa, że wymaganie przez ESET-a aktywacji końcówek przez Internet to już w ogóle rzeźnia. Fakt, jest możliwość aktywacji offline, ale trzeba to robić ręcznie poprzez wygenerowany offline’owy plik licencji. Wszytko to pod przykryciem „anty-piracy”. Tak się szanuje klienta, który kupuje kilka tysięcy licencji rocznie.
Kaspersky robi to zdecydowanie lepiej, bo końcówki aktywują się z centralnego lokalnego serwera, który nie musi gadać przez Internet z serwerami producenta.
Ale sprawdzałeś po całkowitym wyblokowaniu 80 i wpisaniu tych ip w wyjątki adresów że działa wszystko?
Pytam zupełnie poważnie bo ja jakiś czas temu sprawdzałem i niestety nie było tak różowo.
Zresztą puść ping kilka razy na ts.eset.com i zobacz czy na liście masz wszystkie ip :D No niestety nie.
I to jest norma.
Masz podane adresy ale z punktu widzenia filtra to nie jest rozwiązanie idealne. Oczywiście da się ale to wymaga zabawy.
nie ma tam wypisanych wszystkich ip z którymi komunikuje się eset.
Pominę że forma podania też jest mało strawna
Jeśli masz link do listy (najlepiej w formie pliku a nie strony) wszystkich ip/port potrzebnych do pracy rozwiązań eseta to chętnie skorzystam. Jak nie to proszę nie zarzucaj komuś ze pisze herezje.
Co do reszty Twojej wypowiedzi @KBKBKB pozwolę sobie nie skomentować.
Przychodzi zewnętrzna firma, stawia komputer, nie podaje hasła administratora i żąda udostępnienia internetu na firewallu. Sukcesem admina będzie, jeśli uda mu się wyszarpać informację, że dostęp ma być dla serwera TeamViewer. Dostęp do komputera, na którym jest dokumentacja medyczna.
Po co? A może po to by móc „zrzucać” zdjęcia/filmy z tegoż tomografu na lokalną sieć? Poza tym SMB to jest usługa, która domyślnie jest włączona w MS i zwykły user nie ma wiedzy, jak się zabezpieczyć – zwykły user uważa, że jak ma avasta, mcaffee (darmowego), avg to go nic nie ruszy.
uważam że jednym z wektorów ataku była usługa RDP, mam zainfekowane dwa serwerki które łączność maiły tylko przez ten protokół
Nokia Wrocław leży.
Chyba tylko te działy które miały TL na Windows’ach :D W naszym dziale 100% linux :P
Windows 10 też jest infekowany?
Jeżeli nie, to wiadomo po co ten wirus.
Nie po 300 $, tylko po to by kupić W 10 w ilości 10 mld sztuk.
Vista, 7, 8.1 też dostały łaty na tę podatność w marcu. Vista jeszcze wtedy była wspierana, więc to normalne.
W piątek wieczorem Microsoft wydał darmowe łaty nawet na niewspierane systemy XP, 2003 i 8.
Ktoś wie czy ten robak szyfruje tylko lokalne pliki czy może też pomapowane lokalizacje sieciowe?
Trick polega wlasnie na tym ze ma w nosie czy lokalne czy nie, co wiecej przenosi sie na te zdalne lokalizacje infekując kolejne maszyny.
http://blog.talosintelligence.com/2017/05/wannacry.html
Ja na szczęście bezpieczny ;)
Pierwszy atak na port 445, odnotowaliśmy w logach na naszej bramce już 11.05 o 3:41 z Chińskiego adresu IP.
Huh. Thomas się chowa. ;)
swietny pomysl, jest czym sie chwalic…
Tak przegladam i widze raport z soboty (MBAM)
Inbound zablokowany: 119.1.109.84
Port: 445
IP Chiny tak wiec tego … :)
w krakowie 2x windows xp zostawione z przyczyn technicznych wydają się być czyste, dopiero dziś udało się dograć patche do ms, nie mam pewności, czy maszyny są czyste, czy tylko np. zarażone, ale kill switch zabił działanie. robię skana tym co mam, czyli NOD-em, jeśli ktoś ma jakieś pomysły, to słucham :)
Masz wszystko co potrzebne choćby tutaj (jest w artykule) https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis
Poszukaj jakichkolwiek IoC, sprawdź logi firewalla, sprawdź logi/cache zapytań dns w poszukiwaniu killswitchującej domeny (co wskazywałoby na próbę komunikacji podjętą przez ransomware).
Ja mam pomysł. Usuń powody techniczne dla których są to XPki i postaw tam 7 albo linuxy. Bo teraz Ci się udało ale za pół roku możesz już nie mieć tyle szczęścia.
Streszczenie jest już dostępne w wikipedii.
Myślicie, że gdybym poszedł z zainfekowanym laptopem do jakiejś otwartej sieci, to zaraziłbym jej użytkowników? Część ludzi twierdzi, że to ware rozprzestrzenia się również w ten sposób.
http://securityaffairs.co/wordpress/59139/apt/wannacry-ransomware-lazarus-group.html
Tu piszą, że WannaCry może być bardziej widoczny niż jeszcze inny szkodnik:
https://arstechnica.com/security/2017/05/massive-cryptocurrency-botnet-used-leaked-nsa-exploits-weeks-before-wcry/
spierbank – a czym zajmuje się ten bank? Dlaczego był podatny na WannaCry?
Małe firmy są lepiej zabezpieczone jak duże. W dużych instytucjach security to zwykle dziadki leśne.
A tkniecie przez admina gotowej czarnej skrzynki kupionej przez szefostwo oznacza utratę wsparcia.