Ransomware WannaCry

Ransomware WannaCry

Ransomware jest zagrożeniem, które od dłuższego czasu spędza sen z powiek zarówno osobom odpowiedzialnym za bezpieczeństwo systemów, jak i zwykłym użytkownikom. Jego historia zaczyna się w 1989 roku od trojana AIDS napisanego przez biologa Józefa Poppa, który był dystrybuowany przez zarażone dyskietki. W 2006 pojawił się pierwszy ransomware, który używał słabej kryptografii symetrycznej i był łatwy do odszyfrowania. W 2012 w Polsce popularny był program, który wyświetlał komunikat, że na komputerze znaleziono pornografię lub nielegalne pliki. Był to tak zwany ransomware policyjny, bo wyświetlał logo Policji, FBI i żądał zapłaty w bonach Ukash. Od 2013 roku znowu pojawiły się ransomware szyfrujące używające mocnych kluczy: RSA, 3-DES, czy AES. Od tego czasu jest coraz gorzej.

Atakujący wykorzystują blokowanie MBR, częściowe i pełne szyfrowanie dysku, różne metody ukrywania wykrycia przez sandboxy, zmiany czasu wykonania programu w zależności od wykorzystywanej: rzeczywistej czy wirtualnej maszyny. Cyberprzestępcy używają różnych platform propagacji zagrożenia, czyli zmieniają wykorzystywane exploit kity od Anglera, poprzez Neutrino do RIG-a, wszystko po to, aby zmylić i utrudnić trop.

Pojawiły się oferty rozprowadzania ransomware w modelu ransomware-as-a-service, umożliwiające nabywcy oprogramowania wprowadzanie własnych celów ataku, wysokości opłaty itp. Cyberprzestępcy zaczęli też eksperymentować z żądaniami okupu. Wprowadzali limity czasowe po których pliki były usuwane, rosnące z czasem kwoty grzywny, kwoty okupu uzależnione od potencjalnych możliwości płatniczych ofiary, czy nawet oferty darmowego odszyfrowywania danych, jeśli ofiara zobowiązywała się zarazić ransomware kolejne dwie lub więcej osób.

Istotną zmianą było też – znacząco rosnące od 2016 roku, przekierowanie celów ataku z osób fizycznych na organizacje podatne na ataki. Zaczęto wykorzystywać ataki phishingowe na osoby zajmujące się na przykład kadrami albo księgowością, czyli takie, które mogły później łatwo zarazić kolejne osoby.

Na dużą skalę zaczęto też atakować podmioty związane ze służbą zdrowia, które z różnych powodów są bardzo podatne na ataki. Kampanie ransomware ukierunkowane na organizacje często charakteryzują się  dodatkowymi cechami, takimi jak np. kradzież danych do logowania, aby objąć atakiem jak największą część zaatakowanej firmy, opóźniony mechanizm szyfrowania, aby zainfekować jak najwięcej urządzeń do czasu wykrycia i wreszcie atakowanie nie tylko komputerów klienckich, ale też serwerów.

Stopniowo zagrożenie przeniosło się  na urządzenia mobilne. Patrząc tylko na ostatni okres czasu ciekawym przykładem jest SLocker ransomware, który od grudnia 2016 roku do lutego 2017 roku miał około 400 różnych mutacji ze zmienionymi ikonami, nazwami pakietów, zasobów i plików wykonywalnych. Wszystko po to, aby utrudnić wykrycie przez analizę sygnatur. Generalnie rzecz biorąc podstawowa funkcjonalność jest taka sama, jednak każdy kolejny wariant jest delikatnie zmodyfikowany, ulepszony pod względem kodu. Zmiany są też na poziomie komunikatów do ofiary ataku, czyli wyświetlane komunikaty napisane są lepszym – od strony gramatycznej – językiem i lepiej dopasowane językowo do lokalnej społeczności.

Opisywane wyżej przypadki zagrożeń typu ransomware są bardzo dolegliwe i powodują ogromne straty finansowe. Trudno podawać kwoty, ale są to rosnące miliony dolarów.

Piątek 12 maja 2017 roku był przełomowym dniem w rozwoju ransomware.

Od godziny 7.00 rano zaczął się rozpowszechniać robak WANNACRY, korzystający z błędu w protokole SMB (TCP: 445 i TCP: 139). Błąd ten był załatany przez Microsoft w marcu łatką MS17-010, ale Ci którzy tego przez dwa miesiące nie uczynili, mają teraz przypuszczalnie dziwne miny. Po zainfekowaniu komputera WANNACRY szyfruje pliki dodając rozszerzenia WINCRY i wyświetla komunikat z żądaniem okupu:

300 dolarów (w bitcoinach), po trzech dniach 600$, po siedmiu dniach brak możliwości odzyskania danych.

Skala infekcji na całym świecie jest ogromna. Pisze się, że objął swym zasięgiem ponad 100 krajów i 200 tysięcy komputerów z systemem operacyjnym Windows. Brak sukcesu finansowego (wpływy wyniosły około 55 tysięcy dolarów), oraz to, że opisany robak ransomware jest napisany z błędami (np. problemy z określeniem, kto zapłacił okup, a kto nie, problemy z odszyfrowaniem plików, po wpłacie okupu, „kill-switch-e”, tylko 3 portfele bitcoinowe)  może sugerować, że niedługo pojawią się nowe, poprawione wersje. Jak twierdzą badacze np. Lawrence Abrams w różnej fazie produkcji jest już 5 nowych wariantów. Najbardziej zaawansowany jest DarkoderCryptor, który obecnie potrafi szyfrować pliki. Ciekawym rozwiązaniem jest Aron WanaCryptor 2.0 Generator v1.0, który pozwala dopasowywać do własnych potrzeb ekran blokujący pod względem wyświetlanego tekstu, grafik, kolorów. Póki co nie generuje jeszcze plików wykonywalnych, ale pytanie jest, kiedy będzie?

Jak można się obronić?

Warto zrobić kopie swoich danych, na urządzeniu nie korzystającym z sieci.

Zaktualizować system operacyjny Windows. Wyłączyć SMBv1. Niestety, ale według najnowszych doniesień wersja SMBv2 również jest podatna.

Nie korzystać z WIFI na dworcach kolejowych, lotniskach itp.

Nie warto płacić. Nie ma żadnej pewności, że przy takiej skali kampanii ransomware i tylu błędach w kodzie dostaniemy klucz do odszyfrowania danych. Raczej nie.

Jeśli już nastąpiła infekcja, to warto przenieść dane na inny nośnik i poczekać na możliwość ich odszyfrowania bez konieczności płacenia okupu. Może się uda.

Dla zainteresowanych opis IOC zawiera alert US CERT. Dobry opis działania zawarty jest tutaj bleepingcomputer.com WannaCry Wana Descryptor WanaCryptor Info & Technical Nose Dive.