RANSOMWARE – UN PERICOL REAL CARE POATE FI CONTROLAT PRIN CONFORMITATEA GDPR

La sfîrșitul lunii iunie am avut ocazia să particip la o întâlnire organizată de ESET Romania, unde am discutat cu Righard Zwienenberg – Senior Research Fellow la laboratoarele ESET, unul dintre cei mai experimentați specialiști europeni în domeniul criminalității cibernetice. Temele discutate au vizat multiplicarea critică a atacurilor rău intenționate în contextual evoluției tehnologice și ce ar trebui să facem pentru a reduce riscul de expunere în fața unor astfel de pericole, ținând cont de cerințele tot mai severe de conformitate impuse de GDPR, precum și de nevoia de continuitate în business.

eset-righard.jpg
Righard Zwienenberg

Righard Zwienenberg are o experiență de peste  30 de ani în domeniul securității cibernetice, activând în prezent ca Senior Research Fellow la laboratoarele ESET, dar și ca Advisor la Virus Bulletin și la Europol European Cyber Crime Center, precum și ca vicepreședinte al comitetului executiv  ICSG (Internet Connections Security Group).

RANSOMWARE, O AMENINȚARE MAI VECHE

Una dintre principalele teme discutate s-a referit la Ransomware, considerat ca unul dintre cele mai recente metode de atac malițios, dar cu efecte comparabile cu ale altor tehnici rău intenționate. Așa cum știm, Ransomware este acel tip de software malițios care prin diferite metode obține acces la fișiere sau sisteme, pe care le blochează, solicitând utilizatorilor o răscumpărare în schimbul redării accesului. Deoarece marea majoritate a fișierelor sau dispozitivelor de stocare sunt blocate prin criptare, metoda mai este cunoscută și ca crypto-ransomware. După ce victimele plătesc o răscumpărare – de regulă în cryptomonedă – primesc și cheia de decriptare, care ar trebui să permită accesul la fișierele sau sistemele criptate.

”Puțini știu că primul atac de ransomware cunoscut a avut loc în 1989 și a vizat industria medicală. 30 de ani mai târziu, industria medicală rămâne o țintă de top pentru atacurile de ransomware,” spune Righard Zwienenberg. Primul autor ransomware cunoscut a fost un cercetător SIDA, care cu ocazia unei conferințe internaționale și prin intermediul unei reviste de specialitate a trimis cca 20.000 de dischete către întreaga comunitate de cercetători SIDA din peste 90 de țări, susținând că discurile conțineau un program de analiză a riscurilor. Pe lângă acesta, discul conținea și un program malware care inițial rămânea inactiv în computer până la a 90-a bootare. La re-pornirea cu numărul 91, programul malware afișa un mesaj care cerea o plată de 189 USD și încă 378 USD pentru un contract de închiriere de software, având ca adresă o cutie poștală din Panama. Acest atac ransomware a devenit cunoscut sub numele de Troianul SIDA

Cu timpul, metodele de răscumpărare au devenit din ce în ce mai avansate privind puterea de răspândire, sustragerea detectării, criptarea fișierelor și obligarea utilizatorilor la răscumpărare. Atacurile Ransomware de ultimă generație implică o combinație de eforturi avansate de distribuție, cum ar fi infrastructurile pre-construite, folosite pentru distribuirea cu ușurință și pe scară largă a capcanelor malware, precum și tehnici avansate de dezvoltare, cum ar fi utilizarea criptării.

Dacă ransomware-ul se menține constant ca una dintre cele mai semnificative amenințări cu care se confruntă întreprinderile și indivizii astăzi, nu este de mirare că atacurile devin din ce în ce mai sofisticate, mai dificile de prevenit și mai dăunătoare victimelor lor.

O metodă comună de înșelăciune folosită pentru distribuirea ransomware-ului este trimiterea unui motiv convingător pentru întreprinderi de a deschide un malware deghizat ca atașament de e-mail urgent: o factură, un document oficial, un ghid de utilizare, etc. Un alt mijloc de înșelăciune folosit de atacanții ransomware este social media, Facebook Messenger fiind recunoscut ca unul dintre cele mai populare canale folosite în această abordare.

Atacurile crypto-ransomware (sau filecoderele) au evoluat continuu din 2013, atunci când a apărut secvența malware CryptoLocker. De atunci, infractorii cibernetici au colectat milioane de dolari, extorcând bani de la victime, în schimbul deblocării datelor criptate. O serie de estimări bazate pe constatări ale FBI au sugerat că la nivelul anului 2016 ransomware-ul a generat venituri de peste 1 miliard de dolari pe an pentru atacatori.

În prezent, documentele trimise victimelor ca atașamente reprezintă programe executabile (cripto-ransomware-ul în sine). Primirea e-mailului în sine nu declanșează o infecție; fișierul atașat sau legat ar trebui să fie în continuare descărcat sau deschis. Atacatorii trimit deseori mesaje de e-mail folosind trucuri de inginerie socială pentru a-i atrage pe destinatari să acceseze linkurile sau să deschidă fișierele atașate.

Un crypto-ransomware poate fi livrat și prin kituri de exploatare, care sunt seturi de unelte care sunt plantate de atacatori pe site-uri. ”Câștigurile infractorilor cibernetici demonstrează impactul acestei tendințe exponențiale și reprezintă principalul motiv pentru care crypto-ransomware a devenit malware-ul preferat de atacatori,” afirmă Righard Zwienenberg. ”Nu ar trebui să fie o surpriză faptul că cele mai multe campanii ransomware folosesc kituri de exploatare și e-mailuri cu inginerii sociale drept vectori de infectare, fapt ce contribuie, de asemenea, la creșterea prevalenței lor. Din păcate, marea majoritate a victimelor nu sunt pregătite nici cu cel mai elementar backup și sunt nevoite să plătească răscumpărarea solicitată…Trist ”

SOLUȚII DE PREVENIRE OFERITE DE ESET

Prin multiplele sale programe de cercetare, ESET monitorizează în permanență scena ransomware și caută răspunsuri viabile la evoluția rapidă a acestui tip de atac. Deși este una dintre cele mai grave tipuri de malware, ransomware este doar una dintre multele amenințări. Să nu uităm celelalte amenințări cybernetice precum virușii (Brain Virus din 1986 conținea câteva elemente specific ransomware), amenințările malware fileless (Rozena B, un vechi malware backdoor reapărut în 2018 în format fileless), amenințări rootkit de tip Kernel, User mode, Bootloader, Memory, Hardware sau Virtualized, precum și mult-răspânditele atacuri de tip phishing capabile să simuleze introducerea elementelor de identificare pentru conectarea la aplicații mobile sau conturi social-media. Pentru toate aceste motive, strategia abordată de ESET în lupta împotriva acestor amenințări este dezvoltarea de soluții bazate pe multiple straturi de protecție, care pot adresa orice amenințare potențială.

Majoritatea atacurilor ransomware sunt blocate de tehnologia multistratificată ESET chiar înainte ca infectarea propriu-zisă cu ransomware să comunice în vreun fel cu computerele victimelor. Este cazul detectării mesajelor de e-mail care conțin droppers sau a încercărilor de exploatare care ar permite atacatorilor să preia controlul de la distanță asupra dispozitivelor victimelor și care, în multe cazuri, conduc la extorcare via ransomware.

  • Funcția ESET Network Detection este proiectată să prevină astfel de tentative prin vizarea vulnerabilităților de rețea și a kiturilor de exploatare.
  • În plus, ESET Exploit Blocker monitorizează procesele de funcționare ale aplicațiilor și caută anomalii în comportamentul lor.
  • Designul permite soluțiilor ESET să detecteze și să blocheze exploatarea vulnerabilităților, în mod eficient chiar și a celor necunoscute anterior, așa-numitele amenințări “zero-days”, care ar putea fi utilizate de către crypto-ransomware pentru a se infiltra în sistemul vizat.
  • Cu scopul de a întări suplimentar protecția sistemelor utilizatorilor, ESET Advanced Memory Scanner este proiectat pentru a descoperi adevărata natură a proceselor puternic disimulate, detectând în mod constant secvențele crypto-ransomware înainte ca acestea să cripteze fișierele valoroase. Un astfel de malware disimulat constituie o parte semnificativă a traficului malițios de astăzi, mai ales din cauza serviciilor automatizate de reîmpachetare/disimulare disponibile pe piața neagră.
  • Dar chiar și cel mai disimulat cod din lume, trebuie să se dezvăluie la un moment dat, pentru a fi executat. Acela este punctul în care este descoperit de Scannerul Avansat de Memorie, declanșat prin sistemul ESET Host-Based Intrusion Prevention System (HIPS) la momentul potrivit.

Pe scurt, fiecare nivel al tehnologiei multi-stratificate ESET utilizează diferite mijloace pentru a lua parte la blocarea efectivă a crypto-ransomware-ului. Mai mult decât atât, metadatele din fiecare strat pot fi trimise către sistemele cloud ESET LiveGrid sporind inteligența algoritmilor de învățare automatizată. În plus, ESET Ransomware Shield ESET Ransomware Shield monitorizează și evaluează aplicațiile executate folosind euristica. Este configurat să detecteze și să blocheze comportamentul asemănător cu cel ransomware.

Toate aceste sisteme automate, în combinație cu expertiza cercetătorilor și inginerilor ESET permit reducerea timpului de reacție față de noile amenințări emergente, la doar câteva minute.

6 RECOMANDĂRI ESET PE CARE ORICINE LE POATE APLICA

Printre victimele Ransomware se numără numeroase instituții publice care dețin baze de date uriașe sau operatori ce prelucrează date personale cu caracter special precum spitalele sau instituțiile de învățământ. Odată cu apariția GDPR și a noilor cerințe obligatorii de raportare a breșelor de Securitate, o amenințare de răscumpărare pentru un operator de date personale poate atrage multiplicarea pierderilor prin valoarea sporită a penalităților, precum și pierderile de imagine aferente, care pot reprezenta o amenințare mult mai mare pentru business.

Să nu uităm însă că ransomware-ul este doar una dintre familiile de malware care constituie o amenințare reală pentru datele personale. Primele surse de date personale amenințate sunt fișierele, iar ca vectori de atac sunt în majoritatea cazurilor e-mailuri și kituri de exploatare.

Pentru a limita vectorii de atac, ESET recomandă următoarele acțiuni:

  1. Configurarea corectă a endpoint-urilor și software-ul de securitate.
  2. Actualizarea și implementarea regulată a patch-urilor sistemului de operare și ale aplicațiilor software.
  3. Configurarea corespunzătoare a soluțiilor de securitate pentru endpoint și perimetru.
  4. Utilizarea facilităților de securizare oferite de sistemul de operare:
  • eliminarea posibilității de a rula codul untrusted cu AppLocker sau cu Software Restriction Policie;
  • dezactivarea scriptingului în sistemele de operare și browsere web;
  • dezactivarea serviciilor inutile, cum ar fi RDP;
  • setarea afișării extensiei fișierelor de către sistemul de operare;
  • luarea în considerare a implementării unui serviciu de System Restore;
  • dezactivarea Windows Script Host;
  • setarea funcției “Open with …” pentru extensiile care de cele mai multe ori sunt folosite pentru infectare cu un reader (cum ar fi Notepad);
  • blocarea executării aplicațiilor din %LocalAppData% și %AppData%;
  1. Dezactivarea accesului inutil la share-urile din rețea.
  2. Serverele nu trebuie utilizate într-un mod similar cu sistemele desktop standard (ex. pentru navigarea pe internet).

Pe lângă toate eforturile pe care le depunem pentru a fi protejați, trebuie să dispunem în mod esențial de o politică de back-up implementată efcient, care să ofere capacitatea de recuperare sau restaurare rapidă a datelor.

Sursă imagini: ESET

Advertisements

Exploit Windows pentru atacuri direcționate descoperit de ESET

Exploit-ul abuzează de o vulnerabilitate de tip privilege escalation în Microsoft Windows

Cercetătorii ESET au descoperit și au analizat recent un exploit de tip zero day, utilizat într-un atac direcționat în Europa de Est. Exploit-ul a folosit o vulnerabilitate locală care escaladează privilegiile în Microsoft Windows. ESET a raportat imediat problema la Microsoft Security Response Center, care a reparat vulnerabilitatea și a lansat un patch pentru aceasta.

Vulnerabilitatea afectează următoarele versiuni de Windows:

  • Windows 7 pentru sistemele de 32 de biți Service Pack 1
  • Windows 7 pentru sistemele bazate pe 64 de biți Service Pack 1
  • Windows Server 2008 pentru sistemele de 32 de biți Service Pack 2
  • Windows Server 2008 pentru sistemele bazate pe Itanium Service Pack 2
  • Windows Server 2008 pentru sistemele bazate pe 64 de biți Service Pack 2
  • Windows Server 2008 R2 pentru sistemele bazate pe Itanium Service Pack 1
  • Windows Server 2008 R2 pentru sistemele bazate pe 64 de biți Service Pack 1

Această vulnerabilitate specifică Windows win32k.sys utilizează meniul pop-up pentru implementare. „De exemplu, exploitul de escaladare a privilegiilor locale folosit de grupul Sednit, analizat în 2017, a folosit obiecte de meniu și tehnici de exploatare, care sunt foarte asemănătoare exploit-ului curent“, explică Anton Cherepanov, cercetătorul ESET care a descoperit această vulnerabilitate.

Exploit-ul funcționează numai în cazul versiunilor mai vechi de Windows, întrucât de la versiunea Windows 8 încoace un proces de utilizator nu are permisiunea de a mapa pagina NULL. Microsoft a retro dotat această rezolvare și la Windows 7 pentru sistemele x64.

Persoanele care utilizează în continuare Windows 7 pentru sistemele pe 32 de biți Service Pack 1 ar trebui să aibă în vedere actualizarea la sisteme de operare mai noi, deoarece suportul extins al Windows 7 Service Pack 1 se încheie la data de 14 ianuarie 2020, ceea ce înseamnă că utilizatorii Windows 7 nu vor primi actualizări critice de securitate. Astfel, vulnerabilitățile precum aceasta vor rămâne persistente pentru totdeauna.

Pentru mai multe detalii tehnice despre acest exploit zero-day, citiți articolul semnat de Anton Cherepanov pe blogul ESET despre vulnerabilitatea CVE-2019-1132 folosită în acest atac direcționat.