„Płać za zwrot danych” już nieaktualne – teraz jest „Płać albo publikujemy”

dodał 6 stycznia 2020 o 19:25 w kategorii Włamania, Złośniki  z tagami:
„Płać za zwrot danych” już nieaktualne – teraz jest „Płać albo publikujemy”

Autorzy ransomware najwyraźniej zauważyli możliwość zwiększenia konwersji swoich przymusowych klientów – oprócz szyfrowania danych zaczęli je wykradać i grozić upublicznieniem. Jedna grupa nawet założyła w tym celu własny serwis WWW.

Rok 2019 przyniósł istotne zmiany w krajobrazie ataków ransomware. Coraz częściej widzimy na polskim rynku i poza nim ataki wycelowane w przedsiębiorstwa. Nazwy takie, jak Ryuk, LockerGoga, MegaCortex, Maze czy RobbinHood, budzą niemiłe wspomnienia niejednego prezesa. W ostatnim roku część przestępców porzuciła szyfrowanie dysków osób prywatnych i skoncentrowała się na działalności b2b. Rozpoznają biznes ofiary, szacują potencjalne straty, zdobywają uprawnienia administratora domeny i uruchamiają procedury szyfrowania jednocześnie na setkach lub tysiącach stacji roboczych i serwerów. Odpowiednio do większego wysiłku, który wkładają w swoją działalność, zwiększyli także kwoty oczekiwanych okupów. Stawki zaczynają się od 100 000 – 200 000 PLN, ale widzieliśmy też takie po kilka milionów. Cześć organizacji płaci, część odzyskuje z backupów – i ta druga grupa jest głównym problemem przestępców. Przestępcy postanowili ten problem zaadresować w ciekawy, choć niepokojący sposób.

Mamy backupy, ale co z tego

Załóżmy, że w waszej firmie doszło do skutecznego ataku ransomware. Problem jest spory, ale na szczęście macie kopie bezpieczeństwa przechowywane offline, które się uchowały. Czeka was spory wydatek i kilkanaście dni przestoju, ale firma nie musi płacić okupu. To godne pochwały podejście. Niestety okazuje się, że padliście ofiarą grupy Maze, a ta ma inne zdanie na temat waszej decyzji i manifestuje je na swojej stronie.

Obecnie nieaktywna strona mazenews.top

Grupa Maze założyła kilka tygodni temu swój własny serwis WWW, na którym regularnie ogłaszała nazwy firm, których infrastrukturę skutecznie zaatakowała. Wpisy były aktualizowane najrzadziej co kilka dni. Każdemu towarzyszyła lista zaszyfrowanych serwerów.

Lista zaszyfrowanych serwerów jednej z ofiar

Szczególnie smutno na takiej liście wyglądają serwery ze słowem „backup” w nazwie. Przestępcy podawali także pojemność dysków serwerów wraz z ilością danych. Oprócz tego dla każdej ofiar zamieszczali przykłady wykradzionych plików, a dla niektórych przypadków całe obszerne, wielogigabajtowe archiwa.

Na liście znajdowały się firmy, które odmówiły zapłacenia okupu za odszyfrowanie danych. Groźba upublicznienia danych miała zapewne wpłynąć na decyzję osób nimi zarządzających, by jednak nawiązać współpracę z włamywaczami. Ujawnienie nazw firm mogło także być formą dodatkowej presji – klienci tych podmiotów mogli dołączyć do życzeń przestępców.

Sposób działania grupy Maze potwierdza także analiza zespołu Talos. Napastnicy po uzyskaniu dostępu do sieci ofiary korzystali z narzędzia Cobalt Strike i poświęcali tydzień na penetrację infrastruktury i zbieranie danych. Napastnicy używali także protokołu RDP oraz zdalnego uruchamiania PowerShella przez WMIC. Eksfiltracja danych po ich spakowaniu 7-Zipem odbywała się za pomocą skryptu PowerShella na serwer FTP.

Fragment skryptu ujawniony przez Talosa

Stronę przestępców publikującą listę ofiar oraz ich dane po kilku tygodniach udało się w końcu zablokować. Co ciekawe, przyczyniła się do tego najwyraźniej jedna z poszkodowanych firm,  Southwire Company LLC, która zamiast zapłacić 6 milionów dolarów okupu nie tylko pozwała anonimowych napastników, ale także właściciela firmy hostingowej, w której funkcjonowała witryna mazenews.top. Jak donoszą irlandzkie media, pozew wymienia dwóch Polaków – właściciela firmy World Hosting Farm Limited, Artura Grabowskiego ze Słupska oraz Janusza Dybko, figurującego jako osoba kontaktowa dla klasy adresowej zawierającej adres IP 185.234.219.190, pod którym działała strona przestępców. Przedstawiciele Southwire podobno bezskutecznie próbowali kontaktować się z firmą hostingową i jej pracownikami, by doprowadzić do zablokowania witryny – sukces udało się osiągnąć dopiero po tym, jak odpowiednie postanowienie wydał sąd. Co ciekawe, firma WHFL została formalnie rozwiązana w kwietniu 2019 roku, ale strona sugeruje, że nadal prowadzi działalność. Sama firma hostingowa, jeśli wierzyć wpisom w internecie, nie ma zbyt chlubnej historii.

Do tej pory ofiary ransomware stały tylko przed dylematem „płacić za odzyskanie czy nie”. Sytuacja ulega jednak zmianie. Możliwa publikacja danych ofiary oraz szantaż wyciekiem stanowią bardzo niepokojący trend, który warto wziąć pod uwagę podczas analizy ryzyka ataków ransomware.

O nowych trendach ataków ransomware opowiadamy na naszych gościnnych wykładach. W oparciu o case study firm takich jak Norsk Hydro, Pilz, Everis czy historyczne ataki WannaCry i NotPetya (case study Merck i Maersk) pokazujemy, jak przestępcy dostają się do sieci ofiar, jak zdobywają uprawnienia administracyjne, wyłączają systemy bezpieczeństwa i doprowadzają do awarii o niezwykle poważnych skutkach. Interesuje was taki wykład? Odezwijcie się do nas, a podeślemy propozycję.