27.01.2020 | 07:09

Wpis Gościnny

O ransomware w polskich gminach, czyli historie z happy endem i bez

Co szyfruje komputery w polskich gminach i firmach? Dlaczego z reguły danych nie można odzyskać, czasem jednak można i dlaczego jest to takie trudne? Na te pytania odpowie dzisiaj przedstawiciel zespołu CERT Polska.

 

 

Czytacie Wpis Gościnny
Jego autorem jest Anonimowa Kaczka z CERT Polska (tak, taki podpis otrzymaliśmy).

Ransomware nie trzeba większości Czytelników przedstawiać. Oprogramowanie to szyfruje dane i wymusza okup – opłatę za odszyfrowanie. Z roku na rok coraz więcej osób zdaje sobie sprawę z zagrożenia i z konieczności obrony. Mimo tego sytuacja się nie poprawia. Coraz więcej osób pada ofiarą ataku. Sytuacja jest szczególnie dramatyczna w małych firmach lub organizacjach, które nie mają środków na zapewnienie bezpieczeństwa IT na odpowiednim poziomie.

Jako CERT Polska często się z tym spotykamy – np. w przypadku gmin, szpitali, szkół itp. W miarę możliwości staramy się takim organizacjom pomagać, ale zazwyczaj jedyne, co można zrobić, to przywrócenie backupu. Gorzej, jeśli go nie ma… albo został zaszyfrowany razem z danymi. W tym artykule skupimy się na tym, dlaczego danych nie można odzyskać, czemu czasami się da oraz w jaki sposób przygotować się na atak ransomware.

Założenia działania ransomware

Przede wszystkim należy podkreślić jedną rzecz: poprawne użycie kryptografii gwarantuje, że zaszyfrowane dane nie będą mogły zostać odszyfrowane bez klucza deszyfrującego, znajdującego się w posiadaniu przestępców. Stosowane algorytmy są w tym momencie w 100% bezpieczne i bez względu na przypadek użycia (czy to bezpieczne połączenia z serwerem, czy szyfrowanie dysków ofiar) są odporne na wszelkie próby złamania.

Zazwyczaj nawet posiadając wszelkie materiały w postaci oryginalnej próbki złośliwego oprogramowania, wykonanej analizy powłamaniowej oraz z błogosławieństwem Shamira nie będziemy w stanie odzyskać zaszyfrowanych plików.

Detale techniczne

Ransomware regularnie chwali się, że używa różnych “wojskowych” (military grade) algorytmów szyfrowania – najczęściej są to AES i RSA. Można się zastanawiać, czemu jeden nie wystarczy?

Odpowiedzią jest natura ich działania. AES (Advanced Encryption Standard) jest przykładem algorytmu szyfrującego symetrycznie. W skrócie, oznacza to, że szyfrowanie i deszyfrowanie danych odbywa się za pomocą tego samego klucza. Jeśli więc przestępca chce szyfrować pliki tylko za pomocą AES, to musi wysłać wygenerowane klucze na swój serwer, aby móc potem żądać za nie okupu. To problematyczne dla przestępcy, bo musi utrzymywać infrastrukturę, za którą trzeba płacić i która może być w każdym momencie zdjęta albo przejęta. Dodatkowo infekcja nie uda się w przypadku problemów sieciowych.

Z pomocą przychodzi RSA. W przeciwieństwie do AES jest to szyfr asymetryczny. Do szyfrowania i deszyfrowania wykorzystywane są dwa matematycznie powiązane klucze – publiczny i prywatny. Jak sama nazwa wskazuje, jeden z nich jest publicznie znany, a drugi zna tylko właściciel. Dzięki matematycznym czarom właściwościom za pomocą klucza publicznego możemy dowolnie szyfrować dane, ale deszyfrować możemy je tylko za pomocą klucza prywatnego

Tak naprawdę w przypadku RSA to, który klucz nazywamy publicznym, a który prywatnym, to trochę kwestia umowna. Można też np. szyfrować dane kluczem prywatnym, a deszyfrować kluczem publicznym. Ma to nawet zastosowania praktyczne, np. w przypadku podpisów kryptograficznych.

Dlaczego w takim razie używać dwóch algorytmów zamiast samego RSA? Odpowiedź jest prosta – kryptografia asymetryczna jest bardzo kosztowna obliczeniowo. Zaszyfrowanie całego dysku tym algorytmem zajęłoby dziesiątki godzin. Popularnym sposobem jest zatem szyfrowanie właściwych danych za pomocą AES z wygenerowanym losowo kluczem, a następnie zaszyfrowanie tego klucza za pomocą publicznego klucza RSA. Działa tak większość programów szyfrujących większe ilości danych, w tym na przykład GPG.

Case study 1: Szczęście sprzyja lepszym szczęśliwym

Z drugiej strony, poprawne użycie algorytmów kryptograficznych przez programistę nie jest takie proste, jak się wydaje. AES i RSA to tylko niskopoziomowe bloki, które trzeba umieć odpowiednio połączyć, aby stworzyć kompletny program. Na szczęście (dla nas) twórcy ransomware to też ludzie i zdarza im się pomylić. Dzięki temu czasami udaje się stworzyć narzędzie deszyfrujące pliki bez płacenia (tzw. dekryptor). Pokaźną kolekcją takich dekryptorów zarządza organizacja NoMoreRansom.

Kilka tygodni temu trafił nam się właśnie taki przypadek. Otrzymaliśmy z gminy Kościerzyna próbkę złośliwego oprogramowania i komplet zaszyfrowanych plików. W toku analizy okazało się, że ta próbka należy do mało znanej odmiany ransomware (rodzina Mapo). Był to pierwszy dobry znak – im starsza i bardziej popularna rodzina, tym większa szansa, że patrzyła na nią wcześniej już rzesza analityków i nasza kolejna analiza nic nie da. I odwrotnie – nowe i mało znane rodziny są wdzięcznym tematem do analizy i dają nadzieję na odzyskanie plików.

Tak też było w tym przypadku – udało się napisać dekryptor i odszyfrować gminę (a także parę innych prywatnych podmiotów, które się do nas zgłosiły – to niekoniecznie standard na świecie, ponieważ CERT-y poziomu krajowego często nie przyjmują zgłoszeń od prywatnych podmiotów). Trzeba jednak zaznaczyć, że to wyjątek, a nie reguła i zazwyczaj nie można liczyć na to, że komuś uda się napisać dekryptor.

Case study 2: Kiedy wyszło jak zwykle

Trochę inna sytuacja miała miejsce parę tygodni później (tym razem nie możemy niestety podać nazwy gminy). Był to ciekawy przypadek. Rodzina złośliwego oprogramowania, która zaszyfrowała zasoby, była już badaczom dobrze znana. Konkretna próbka użyta w ataku miała jednak dosyć dziwny sposób generowania klucza. Zamiast skorzystać z losowych danych dostarczanych przez system, autor postanowił opracować własny sposób generowania losowych kluczy do szyfrowania plików. Generowanie klucza zależało od stanu kilku różnych zegarów systemowych. Z pomocą dobrze przeprowadzonej analizy powłamaniowej istniałaby możliwość odzyskania kluczy do szyfrowania plików… Niestety podczas obsługi incydentu po stronie gminy wykonano kilka pochopnych działań. Najgorszym z nich było zrestartowanie komputera, przez co:

  • stracony został dokładny stan zegarów systemowych (które mogłyby pomóc w odzyskaniu klucza),
  • klucze szyfrujące, które ciągle mogły być w pamięci procesu, zostały wymazane,
  • ransomware zadbało o ponowne uruchomienie się przy restarcie systemu i zaczęło szyfrować kolejne pliki za pomocą nowo wygenerowanych kluczy.

Co zrobić lepiej

Oczywiście, jak w przypadku większości zagrożeń, najlepszą metodą jest atak profilaktyka. O wiele lepiej jest w ogóle nie doprowadzić do zaszyfrowania naszych dysków, niż liczyć na szczęście i szukać dziur w algorytmie szyfrowania.

Jak ustrzec się przed ransomware:

  1. Stale edukuj swoich użytkowników. Nawet najlepsze techniczne zabezpieczenia nie pomogą, jeśli Twoi użytkownicy nie będą przestrzegać podstawowych zasad bezpieczeństwa.
  2. Wykonuj regularnie kopię zapasową istotnych danych. Zadbaj o to, by co najmniej jedna kopia zapasowa była przechowywana na odizolowanym systemie, niedostępnym z maszyn, których kopie przechowuje.
  3. Zadbaj o odpowiednią architekturę sieci. Wyodrębnij odpowiednie segmenty, zwróć szczególną uwagę na to, jakie usługi dostępne są pomiędzy poszczególnymi maszynami oraz z internetu.
  4. Na bieżąco aktualizuj system operacyjny oraz oprogramowanie.
  5. Używaj aktualnego oprogramowania antywirusowego na serwerze poczty oraz stacjach roboczych.

Ratunku, zaszyfrowałem się

Zdarza się nawet najlepszym. Co zrobić, żeby zwiększyć szanse na odzyskanie danych?

W przypadku ataku ransomware:

  1. Jak najszybciej odizoluj zarażone maszyny od reszty sieci – odłącz je od wszelkich połączeń sieciowych (przewodowych i bezprzewodowych) oraz urządzeń do przechowywania plików (dyski przenośne i podobne).
  2. W celu zmaksymalizowania szans odzyskania danych nie wyłączaj komputera. Hibernacja systemu to też dobra (i ekologiczna) opcja.
  3. Zrób zdjęcie ekranu z komunikatem wyświetlanym przez ransomware. Upewnij się, że wszystkie informacje są na zdjęciu czytelne. Przegraj plik z notatką okupu (ransom note) i przykładowe zaszyfrowane pliki na czysty przenośny nośnik danych (np. pendrive) – będą jeszcze potrzebne. Jeśli jesteś biegły w obsłudze komputera, spróbuj też znaleźć próbkę złośliwego oprogramowania na dysku (wskazówka: ransomware bardzo często dopisuje się do autostartu).
  4. Odwiedź stronę nomoreransom.org, gdzie znajdziesz narzędzie pozwalające określić, do jakiej rodziny należy dany ransomware, a także dowiesz się, czy są znane metody odszyfrowania danych bez płacenia okupu. Prawdopodobnie przyda się tutaj ransom note albo zaszyfrowany plik.
  5. Jeżeli NoMoreRansom ma odpowiedni dekryptor, postępuj ściśle według instrukcji dla danego narzędzia. Jeśli się uda, gratulacje: trafiłeś na ten ułamek ransomware, który dało się zdeszyfrować. Jeśli nie, czytaj dalej.
  6. Rozważ zgłoszenie incydentu do CERT Polska – najlepiej zaraz po wykryciu zdarzenia. W tym celu skorzystaj z https://incydent.cert.pl. W zgłoszeniu przekaż informacje o podjętych do tej pory krokach oraz inne informacje, o które zostaniesz poproszony w formularzu, według najlepszej wiedzy na moment zgłoszenia.
  7. Jeśli dysponujesz kopią zapasową, sformatuj dysk, zainstaluj system od nowa i przywróć dane z backupu.
  8. Jeśli nie dysponujesz kopią zapasową i zgłosiłeś incydent do CERT Polska albo innego zespołu bezpieczeństwa, poczekaj na wynik analizy. Nie ma co robić sobie za dużych nadziei, w >95% przypadków ofierze nie da się pomóc. UWAGA: Większość „firm od odzyskiwania danych” to oszustwo. Danych zazwyczaj nie da się odzyskać bez płacenia, więc takie firmy działają tylko jako pośrednicy między przestępcami a ofiarami (negocjują zniżkę, a później biorą swoją prowizję). Nie warto się na to nabierać – jak już dawać się okraść, to tylko raz na infekcję ;)
  9. Po usunięciu skutków ataku spróbuj ustalić, w jaki sposób do niego doszło oraz podejmij działania zapobiegawcze, by uniemożliwić powtórzenie się sytuacji (edukacja użytkowników, zabezpieczenia fizyczne, aktualizacja oprogramowania).

Powrót

Komentarze

  • 2020.01.27 09:02 John Sharkrat

    „Case study 1: Szczęście sprzyja szczęśliwym” – raczej „Case study 1: Szczęście sprzyja SZCZĘŚCIARZOM”

    Odpowiedz
  • 2020.01.27 12:50 Nism0

    Super post i super pomysł na post kogoś z zewnątrz (tym bardziej, że to CERT Polska). Więcej ;)

    Odpowiedz
  • 2020.01.27 16:48 Dan

    Na koniec powinien byc punk 10: Daj sobie w koncu spokoj z windowsem

    Odpowiedz
    • 2020.02.01 09:47 observator

      Przeciez sam naczelny Z3S uzywa windows 10 i go zachwala.

      Odpowiedz
  • 2020.01.27 18:29 Obserwator

    Może zamiast bawić się w „pomaganie” CERT zajmie się jakąś sensowniejszą robotą?

    Może zrobi na bazie solidniejszych systemów operacyjnych uniwersalny system dla administracji?

    W USA np NSA zrobiło system operacyjny, potem ten system skomercjalizowało i dziś tego systemu używają nie tylko agendy US Gov, ale np giełdy, banki i domy maklerskie na całym świecie.
    W Polsce GPW i domy maklerskie też.

    Więc może zamiast pieprzyć o ransomware, ruszycie tyłki i zrobicie coś na miarę RED-HAT, co będzie miało certyfikaty ABW i CERT mogło pracować w całej polskiej administracji państwowej.

    A z czasem też pójdzie do banków, ubezpieczalni, firm i może
    też zaprzyjaźnionych krajów.
    Spory kawał internetu w Polsce fruwa u ISP na sprzęcie łotewskiego Microtica, a tymczasem w Polsce nikt nie kazał ruszyć doopy, pomyśleć trochę i zrobić czasem coś sensownego?

    Pozdro

    Odpowiedz
    • 2020.01.28 12:38 Nism0

      Nie wiem na ile śledzisz pracę polskiego CERT-u, ale zespół już stworzył kilka narzędzi, które są ogólnodostępne i unikatowe na runku, np WOMBAT albo SOPAS. Polecam poczytać:
      https://www.cert.pl/projekty/

      A co do systemu od NSA – nie wiem czy to dobry pomysł, żeby polskie służby/instytucje tego używały. Nie widzę także sensu żeby CERT coś takiego robił, bo akurat już jest na polskim runku takie rozwiązanie od specjalistów w tej dziedzinie (patrz. Qubes OS).
      CERT to zespół reagowania na incydenty, analizy i monitorowania kampanii a nie tworzenia softu, który ma chronić użyszkodników. Nawet jak będziesz miał „najbezpieczniejszy” OS na świecie, ale najgłubszych jego użytkowników, nic cię nie uchroni… System jest tak bezpieczny jak świadomi są jego użytkownicy.

      Odpowiedz
    • 2020.01.29 19:59 Agent Tomasz

      Komunikatora nie potrafią zrobić a chcesz żeby zrobili OS

      Odpowiedz
    • 2020.02.04 04:42 Andronicus

      Jaja sobie robisz? Porównujesz nakłady finansowe na NSA i Cert???

      Odpowiedz
  • 2020.01.27 18:43 sdasd3

    Bardzo rozsądnie artykuł.

    Odpowiedz
  • 2020.01.27 21:44 Rodwald

    Tylko dzisiaj koniecznie należy sprawdzić czy przed zaszyfrowanie dane nie zostały wykradzione. Backupy na nic! Dzisiaj chcą okupu za … brak publikacji w sieci – jak będziesz fisiował – data publish!

    Odpowiedz
    • 2020.02.11 21:58 Wicher

      I ta groźba publikach niech niektórych otrzeżwi: backupy to ŻADNE rozwiązanie. Należy włamaniom ZAPOBIEGAĆ, a nie szykować się na odtwarzanie danych po fakcie.

      Odpowiedz
  • 2020.01.28 09:51 Bartosz

    Bardzo interesujący artykuł. Czekam na więcej takich.
    Dzięki takim artykułom, CERT powoli wychodzi z ukrycia i jego praca jest bardziej doceniana.
    Jestem za tym aby powstał artykuł wyjaśniający, jakie są rzeczywiste role CERT-u oraz CSIRT (NASK, GOV, MON). Nadal dużo osób błędnie odczytuje ich role.

    Odpowiedz
  • 2020.01.28 13:27 Tomasz Klim

    Reprezentuję jedną z wspomnianych „firm od odzyskiwania danych” i mogę zapewnić, że nigdy nie braliśmy nawet pod uwagę płacenia przestępcom – aczkolwiek przyznaję, że niektórzy klienci sami chcą iść w tę stronę, gdy się dowiadują, że akurat im nie jesteśmy w stanie pomóc. Nie zgodzę się również, że „danych zazwyczaj nie da się odzyskać bez płacenia” – owszem, najczęściej nie da się odzyskać pełnego systemu plików. Jednocześnie mamy ponad 70% (!) skuteczności w odzyskiwaniu konkretnych danych, np. konkretnych baz MSSQL czy dokumentów stanowiących niezbędne minimum, aby firma klienta mogła kontynuować działalność. Kaczka z CERT zapomniała bowiem wspomnieć, że odszyfrowywanie to nie jedyna droga do odzyskania danych, nawet jeśli nie ma się backupu – autorzy ransomware często zapominają o dokładnym wyczyszczeniu wszystkich możliwych miejsc, gdzie mogą znajdować się różne szczątkowe kopie danych, idą na skróty przy szyfrowaniu dużych plików, czy wreszcie słabo sobie radzą z plikami zablokowanymi, np. przez MSSQL czy Outlooka. I to często wystarcza, jeśli tylko się wie, czego i gdzie szukać, oraz jak to potem poskładać do kupy.

    Odpowiedz
    • 2020.02.08 19:33 nikt

      fakt, słyszałem o przypadkach ransomware które w dużych plikach szyfruje tylko pierwsze X bajtów :D

      Odpowiedz
    • 2020.03.24 17:57 Kaleron

      Tak – to pójście na skróty wynika z pewnego ustalenia priorytetów. Celem przestępców jest uszkodzenie jak największej liczby plików w jak najkrótszym czasie. Dlatego w przypadku dużych baz danych są one jedynie uszkadzane. Jeśli się dobrze rozumie struktury logiczne, można uratować ok. 80-90 % zawartości takich baz. Ale fakt – są firmy, które ogłaszają się z odzyskiwaniem zaszyfrowanych danych, przy czym tak naprawdę jedynie pośredniczą w płaceniu okupu. Nie będę podawał przykładów, ale myślę, że patrząc na dorobek zawodowy tych firm łatwo je odróżnić od firm zajmujących się odzyskiwaniem danych od lat i na poważnie.

      Odpowiedz
  • 2020.01.31 15:13 HardwareBased

    Zamrażaliscie kiedyś kosci DRAM by zrobic dumpa z kluczami szyfrowania ?

    Odpowiedz
    • 2020.02.03 09:36 pocnor

      Czy zamrażanie radioodtwarzaczy samochodowych celem odzyskania kodu się liczy ?

      Odpowiedz
    • 2020.03.24 17:58 Kaleron

      Dumpa robisz na działającym systemie programami do informatyki śledczej. Możesz też analizować pliki wymiany i hibernacji.

      Odpowiedz
  • 2020.02.06 17:33 Art. 269c.

    Nie podlega karze za przestępstwo określone w art. 267 bezprawne uzyskanie informacji § 2 lub art. 269a zakłócanie pracy systemu informatycznego, teleinformatycznego lub sieci teleinformatycznej, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej albo opracowania metody takiego zabezpieczenia i niezwłocznie powiadomił dysponenta tego systemu lub sieci o ujawnionych zagrożeniach, a jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody

    Odpowiedz
  • 2020.02.06 21:31 Jaro

    w Kościerzynie to chyba jednak Kasperski dostarczył decryptor a nie CERT który wspólnie z ABW ręce załamywał…. warto jednak podawać pełną prawdę a nie przypisywać sobie działania, których się nie zrobiło…

    Odpowiedz
    • 2020.02.07 23:30 Ekspert Wydziału VIII

      ABW zajmuje się komputerami zaszyfrowanymi przez zwykłe ransomware?

      Odpowiedz
    • 2020.02.08 23:14 Adam Haertle

      Obie instytucje/firmy wyprodukowały dekryptor w odstępie kilku godzin. Warto jednak poznawać fakty przed ich komentowaniem…

      Odpowiedz
  • 2020.02.11 01:40 Patryk

    Najlepszą radą jest zrobienie kopii zapasowych i sprawdzenie ich odtwarzalności.
    Często są wykonywane, a nie sprawdza się, czy można je przywrócić.
    Często przydają się też aplikacje typu Acronis Ransomware Protection Free, czy inne. Chociaż bez edukacji i to nie pomoże, bo wystarczy kliknąć ALLOW/TRUST i ransomware robi, co chce.

    Odpowiedz

Zostaw odpowiedź do Nism0

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

O ransomware w polskich gminach, czyli historie z happy endem i bez

Komentarze