Jak najprawdopodobniej doszło do globalnej infekcji ransomare WannaCry

dodał 15 maja 2017 o 06:26 w kategorii Złośniki  z tagami:
Jak najprawdopodobniej doszło do globalnej infekcji ransomare WannaCry

W piątek 12 maja tysiące komputerów na całym świecie zostało zainfekowanych złośliwym oprogramowaniem WannaCry i zaszyfrowanych w celu wymuszenia okupu. Jak mogło dojść do takiego incydentu i jak uniknąć go w przyszłości?

Jeśli weekend spędziliście z dala od wszelkich ekranów, to krótko przypomnimy najważniejsze informacje. W piątek, około godziny 8 rano naszego czasu, na komputerach firmowych i prywatnych komputerów zaczęły się pojawiać komunikaty nowego wariantu ransomware, żądającego 300 dolarów okupu za odszyfrowanie plików. Choć podobne przypadki nie są użytkownikom obce, ten był dużo bardziej niepokojący – identyczne komunikaty pojawiały się na dziesiątkach i setkach komputerów znajdujących się w tych samych biurach. Wkrótce było jasne, że ransomware instalowany jest przez robaka, który potrafi sam rozmnażać się wewnątrz zainfekowanej sieci. Niektóre firmy, tak jak hiszpańska Telefonica, zostały dotknięte tak mocno, że musiały wysłać do domu wszystkich pracowników nie usuwających awarii. Inne, jak ok. 20% brytyjskich szpitali, musiały odsyłać klientów, których nie mogły obsłużyć na skutek niedostępności systemów. Problemy odczuwali tacy giganci jak FedEx, Renault, Nissan, koleje w Niemczech i Rosji, a także banki, firmy telekomunikacyjne i ministerstwa, głównie w Europie i Azji. Dzięki szczęśliwemu zbiegowi okoliczności skala infekcji powoli maleje, ponieważ jeden z badaczy zarejestrował domenę używaną przez złośliwy program do sprawdzenia, czy powinien się uruchomić, czy nie, nieświadomie w dużej mierze blokując dalsze rozprzestrzenianie się robaka. Powstały co prawda nowe warianty, jednak skala ich działania jest dużo mniejsza. Licznik połączeń do kilku domen wirusa wskazywał w szczytowym momencie ponad 230 tysięcy przypadków WannaCry w ciągu doby. Jak jednak robak dostał się do pierwszych ofiar?

Tajemnicza metoda infekcji

W świecie komputerowych wirusów, podobnie jak wśród wirusów biologicznych, istnieje pojęcie „pacjenta zero”, czyli miejsca, od którego zaczęła się infekcja. W ostatnich czasach komputerowe wirusy najczęściej dostarczane są ofiarom poprzez pocztę elektroniczną. Także w przypadku WannaCry spodziewanego się takiego wariantu. Wygląda jednak na to, że 3 doby od wykrycia infekcji nadal nikt nie znalazł kopii robaka wysłanej w piątek rano za pomocą poczty elektronicznej. Firmy antywirusowe dysponują świetnym monitoringiem sytuacji na komputerach milionów użytkowników, lecz mimo tego żadna nie wskazała do tej pory na metodę zainfekowania pierwszych ofiar. Przez chwilę pojawiały się informacje, że były to wiadomości z załącznikiem w formacie PDF zawierającym osadzony dokument Worda, jednak wkrótce okazało się, że była to kampania innego ransomware – Jaff. Do tej pory brak jednoznacznego potwierdzenia metody infekcji, co przybliża nas do wniosków opisanych poniżej.

Czy mógł to być tylko błąd w usłudze SMB?

Robak instalujący ransomware WannaCry wykorzystywał podatność systemu Windows w usłudze SMB do infekowania kolejnych komputerów (polecamy świetną analizę techniczną przebiegu całej infekcji). Po uruchomieniu swojego kodu podejmował próby skanowania zarówno sieci lokalnej jak i publicznej w poszukiwaniu otwartego portu 445. Jeśli taki znalazł, atakował nową ofiarę za pomocą exploita wykradzionego amerykańskiej NSA i opublikowanego w kwietniu tego roku. Co prawda Microsoft wypuścił odpowiednie łaty już w marcu, jednak nie wszystkie firmy od razu je zastosowały. Takie zachowanie tłumaczy ogromną skalę infekcji w niektórych organizacjach, gdzie większość komputerów była infekowana w ciągu kilkunastu minut. Wystarczyła jedna zainfekowana maszyna, by lawinowa infekcja przeszła po całej firmie. Czy jednak w ten sposób mogło także dojść do pierwszych infekcji, bez kampanii emailowej?

Częściową odpowiedź na to pytanie możemy znaleźć w wynikach skanowania internetu, przeprowadzanego przez Dana Tentlera, krótko po opublikowaniu informacji o atakach na usługę SMB.

27 kwietnia znalazł od 4,5 miliona adresów IP z dostępną usługą SMB, z których 1,7 miliona było podatnych na atak a 165 tysięcy już zainfekowanych. Nawet zakładając, że badanie mogło nie być doskonałe, trzeba przyznać, że potencjał do infekcji był niemały. Wystarczyło, by jeden z podatnych serwerów miał także interfejs do sieci lokalnej, by zainfekować całą firmę w której nie zastosowano odpowiednich aktualizacji dla systemu Windows. Co ciekawe, idea wykorzystania tego błędu do infekcji ransomware pojawiła się już 19 kwietnia w tweecie Luki Pusica:

W naszej ocenie jest zatem bardzo prawdopodobne, że do infekcji mogło dojść wyłącznie poprzez serwery i komputery podatne na błąd w usłudze SMB. Nawet jeśli dana firma nie miała żadnego podatnego serwera wystawionego do internetu, to wystarczył jeden zainfekowany laptop przyniesiony z zewnątrz i podłączony do firmowej sieci, by doprowadzić do katastrofy.

Przykłady ofiar

W sieci nie brakuje przykładów zainfekowanych maszyn. Oto mała kolekcja najciekawszych fotografii.

A tymczasem w Polsce

Co prawda oficjalnie mowa o tym, ze atak nasz kraj ominął, to słyszeliśmy o wielu ofiarach w Polsce i to w całkiem poważnych instytucjach. Co ciekawe, mogą to być ofiary do tej pory nieświadome – ich serwery są zarażone robakiem, jednak nie doszło do uruchomienia ransomware, ponieważ działał już mechanizm uniemożliwiający jego funkcjonowanie. Jeśli zatem przyszliście dzisiaj do pracy i spotkaliście się z WannaCry, to dajcie znać – gwarantujemy anonimowość.

Ale dlaczego firmy nie aktualizowały swoich komputerów?

Wiele osób pyta, dlaczego skala infekcji była taka duża, skoro łata od Microsoftu usuwająca wykorzystywaną podatność była dostępna od marca. Powodów jest co najmniej kilka:

  • do wczoraj aktualizacja była niedostępna dla. zwykłych użytkowników Windows XP, z którego nadal korzysta wiele firm (są instytucje, jak np. Departament Obrony, które otrzymują kluczowe aktualizacje dla XP, ale słono za to płacą),
  • wiele komputerów działających pod kontrolą starych wersji Windowsa znajduje się np. w sprzęcie medycznym i nie otrzymuje aktualizacji, ponieważ producent woli sprzedać nowy sprzęt lub z innych powodów już nie obejmuje ich wsparciem (prawdziwym przykładem jest chociażby piętnastoletni tomograf, którego producent zbankrutował 10 lat temu),
  • w wielu przypadkach komputer z Windows stanowi część całego produktu i jego samodzielna aktualizacji przez klienta może oznaczać utratę gwarancji, a na wersję od dostawcy trzeba czekać miesiącami,
  • w niektórych branżach modyfikacja lub aktualizacja systemu może oznaczać utratę jego specyficznej certyfikacji.

Ostatecznym i najczęściej spotykanym argumentem jest to, że często koszt radzenia sobie z potencjalną infekcją jest mniejszy niż koszt migracji całej organizacji na nową wersję systemu operacyjnego – i jest to smutna rzeczywistość, w której funkcjonować muszą tysiące osób te systemy wspierające.

Mogło być dużo gorzej

Co prawda Wiadomości TVP wspominały wczoraj o największym cyberataku w historii, lecz ten na pewno największy nie był. Conficker zaraził kilkanaście milionów komputerów, podczas kiedy w przypadku WannaCry mówimy na razie o ponad 200 tysiącach skutecznie zaatakowanych (chociaż niekoniecznie zaszyfrowanych) komputerów. Dużo większą od WannaCry skalę osiągnęły takie robaki jak Code Red, Melissa, SQL Slammer, Sasser czy Nimda. Warto jednak zauważyć, że prawdopodobnie była to najszybsza infekcja ransomware w ciągu 24h.

Prawdziwy największy atak ransomware w historii (zdjęcie z Bangkoku)

Czy można było tego uniknąć

O komentarz poprosiliśmy Marcina Ludwiszewskiego, szefa zespołu Cybersecurity i Red Team Deloitte Polska, który jako pierwszy zwrócił naszą uwagę na piątkowe wydarzenia w Hiszpanii:

To pytanie z kategorii, czy można się w 100% zabezpieczyć ;)

W przypadku tego ataku (nie znając jeszcze skali zdarzenia), miałem okazję uczestniczyć w całej sytuacji na miejscu w Hiszpanii i jednocześnie obserwować jak działa centrum ds. cyber i kryptologii wywiadu hiszpańskiego (CCN CNI), z którym blisko kiedyś współpracowałem jeszcze w ramach tzw. Club de Berne. Bardzo szybko wysłano do wszystkich IoC, skoordynowano działania służb z firmami, które padły ofiarą ataku, podjęto decyzję o konkretnych działaniach w celu ograniczenia skutków ataku i zapewniono spójną komunikację do mediów – wydaje się, że zrobiono co trzeba (przynajmniej w ramach reakcji)

Niestety nie zawsze tak to wygląda. Powoli sytuacja się zmienia, ale ignorancja, brak świadomości, „pudełkowe security” – czyli zakup danego rozwiązania i tym samym oznajmienie najwyższego stanu bezpieczeństwa :), to wciąż nasza rzeczywistość. Jeśli dodamy do tego brak regularnych testów bezpieczeństwa lub sprowadzanie bezpieczeństwa tylko do testu penetracyjnego bez zrozumienia profilu ryzyka organizacji, zdefiniowania spójnego podejścia od zabezpieczenia po reagowanie,  to odpowiedź na to pytanie nasuwa się sama.

Trudno się z Marcinem nie zgodzić. Obecnie wiemy o trzech wariantach robaka opartego o kod WannaCry, a wkrótce mogą pojawić się kolejne. Jeśli właśnie przyszliście po weekendzie to pracy to zastanówcie się, czy Wasza sieć jest gotowa na to, że któryś z pracowników w tej chwili może podłączać do niej zainfekowanego notebooka…