CyberArk Labs: Αναλύοντας το ransomware WannaCry. Τι είναι αυτό που το καθιστά ξεχωριστό;
- Το malware που έχει -μεταξύ άλλων- την ονομασία WannaCry συνεχίζει να εξαπλώνεται σε παγκόσμια βάση και υπάρχουν εταιρείες και οργανισμοί που διατρέχουν τον κίνδυνο να μολυνθούν.
- Η εγκατάσταση του patch της Microsoft που “κλείνει” το κενό ασφαλείας μπορεί να προλαμβάνει την μόλυνση μέσω του σκουληκιού SMB, αλλά δεν μπορεί να αντιμετωπίσει την απευθείας μόλυνση μέσω τεχνικών phishing
- Η CyberArk Labs δοκίμασε τεχνικές πρόληψης πάνω στο WannaCry κατά την διάρκεια του ξεσπάσματος του WannaCry (λίγο πριν τα μέσα του μήνα) και ανακάλυψε ότι ο συνδυασμός της επιβολής ελάχιστων προνομίων στις τερματικές συσκευές και το application greylisting control ήταν εκατό τοις εκατό αποτελεσματικά στην αποτροπή του WannaCryptor από το να κρυπτογραφήσει αρχεία.
Το ransomware πίσω από την επίθεση, γνωστό και ως WannaCryptor έχει επίσης της ονομασίες WannaCrypt και WannaCry και κατά την διάρκεια του Σαββατοκύριακου, στις 13 και στις 14 Μαΐου χτύπησε εκατοντάδες χιλιάδες υπολογιστές και συνεχίζει να “χτυπάει”. Κατά την διάρκεια των ημερών αυτών, η CyberArk Labs πραγματοποίησε έρευνες πάνω στο στέλεχος του ransomware, αναλύοντας τους φορείς της επίθεσης και συνέκρινε τον τρόπο επίθεσης με άλλες πρόσφατες επιθέσεις ransomware. Παρακάτω, υπάρχουν ορισμένα στοιχεία που κάθε οργανισμός θα πρέπει να γνωρίζει:
Μέχρι σήμερα, η CyberArk Labs έχει δοκιμάσει περισσότερα από 600 χιλιάδες δείγματα ransomware, συμπεριλαμβανομένου και του WannaCryptor, με σκοπό να κατανοήσει καλύτερα τα κοινά στοιχεία των μολύνσεων, της κρυπτογράφησης και των χαρακτηριστικών αφαίρεσης. Σε αντίθεση με άλλα στελέχη ransomware, το WannaCryptor διαφοροποιείται από ένα σκουλήκι (worm) που εξαπλώνει το ransomware όσο ταχύτερα γίνεται σε όσες περισσότερες μηχανές είναι δυνατόν.
Το σκουλήκι εξαπλώνεται χρησιμοποιώντας το exploit με την ονομασία “EternalBlue” του SMB σε συστήματα με λειτουργικό σύστημα Microsoft (κυρίως σε Windows 7). Η Microsoft διέθεσε τον Μάρτιο του 2017 σχετικό patch που διόρθωνε το κενό ασφαλείας, όμως πολλές λεπτομέρειες για την ευπάθεια είχαν διαρρεύσει στο Internet και ήταν διαθέσιμες στους επιτιθέμενους εξαιτίας μίας διαρροής της ομάδας hackers με την ονομασία The Shadow Brokers. Ακόμα και τώρα, κάθε μεμονωμένος χρήστης ή εταιρεία ή οργανισμός με κάποιο σύστημα που τρέχει λειτουργικό σύστημα της Microsoft στο οποίο δεν έχει εγκατασταθεί patch παραμένει ευάλωτος στο σκουλήκι του WannaCryptor.
- Σημαντική επισήμανση ασφαλείας: Το patch της Microsoft μπορεί να αποτρέψει την μόλυνση μέσω του SMB worm, δεν μπορεί όμως να αποτρέψει τη μόλυνση και την μη εξουσιοδοτημένη κρυπτογράφηση των αρχείων αν το ransomware μεταφέρθηκε στο σύστημα με απευθείας τρόπο, όπως μέσω του phishing.
Το WannaCryptor είναι σε θέση να εκτελείται σε έναν μολυσμένο υπολογιστή χωρίς να είναι απαραίτητα τα δικαιώματα διαχειριστή. Ωστόσο, για να διαδοθεί μέσω του εταιρικού δικτύου, το WannaCryptor χρειάζεται να κλιμακώσει ή να αυξήσει τα προνόμια χρησιμοποιώντας μιας ευπάθεια της Microsoft που του επιτρέπει να εκτελεί κώδικα σε SYSTEM user context (ανεξάρτητα από τα προνόμια, άδειες). Το WannaCryptor είναι σε θέση να λειτουργεί σε περιβάλλον εκτός σύνδεσης, κρυπτογραφώντας τα αρχεία του χρήστη χρησιμοποιώντας ένα ζευγάρι κλειδιών RSA-2048. Μετά τη διαδικασία κρυπτογράφησης, το ransomware απαιτεί $300 με $600 σε bitcoin –ώστε να μην ανιχνευτεί η συναλλαγή- για να αποκρυπτογραφήσει τα αρχεία.
Και ενώ το ο ενσωματωμένο σκουλήκι διαφοροποιεί το WannaCryptor από άλλες εκδόσεις χαρίζοντας του την ικανότητα να εξαπλώνεται ταχύτατα, δεν υπάρχει τίποτα που να το καθιστά μοναδικό, που να σχετίζεται με τις τεχνικές κρυπτογράφησης και εκβιασμού. Όπως και τα περισσότερα ransomware, το WannaCryptor καταφέρνει και ξεφεύγει από τις παραδοσιακές λύσεις κατά των ιών.
- Σημαντική επισήμανση ασφαλείας: Οι οργανισμοί θα πρέπει άμεσα να ενσωματώσουν ένα συνδυασμό ελάχιστων προνομίων καθώς και πολιτικές ελέγχου εφαρμογών στις τερματικές συσκευές και στους διακομιστές τους κατά μήκος των δικτύων τους.
Αυτή η προορατική προσέγγιση είναι ανεξάρτητη από την ικανότητα ανίχνευσης προηγμένου malware. Αντιθέτως, αντιμετωπίζει όλες τις άγνωστες εφαρμογές ως δυνητικά ύποπτες και προστατεύει αναλόγως τα δεδομένα. Έτσι, αποτρέπει κάποια μολυσμένη τερματική συσκευή από το να προκαλέσει πανδημία στο εταιρικό δίκτυο του οργανισμού.
Όταν δοκιμάστηκε στα εργαστήρια της CyberArk Labs, ο συνδυασμός των ελάχιστων προνομίων με τα application greylisting controls αποδείχτηκε 100% αποτελεσματικός στην πρόληψη ενάντια στο WannaCryptor και ενάντια σε δεκάδες άλλες οικογένειες ransomware από το να κρυπτογραφούν αρχεία.
Η τεράστια μαζική επίθεση, θα πρέπει να λειτουργήσει ως υπενθύμιση, ότι από μόνα τους τα back-ups (αντίγραφα ασφαλείας) δεν επαρκούν πια για να προστατεύουν τις εταιρείες από την απώλεια δεδομένων, ειδικά μάλιστα αν οι οργανισμοί εκθέτουν διαπιστευτήρια προνομιούχων λογαριασμών στους επιτιθέμενους. Αυτό σημαίνει ότι οι οργανισμοί ενδέχεται να χρειαστεί να επιλέξουν μεταξύ της πλήρους απώλειας δεδομένων και της πληρωμής των λύτρων. Εξαλείφοντας την δυνατότητα του επιτιθέμενου να έχει πρόσβαση σε προνομιούχα διαπιστευτήρια που διευκολύνουν την διάδοση του ransomware πέρα από το μηχάνημα που ήταν το πρώτο που μολύνθηκε είναι μία απαραίτητη και βασική ενέργεια ενάντια σε μελλοντικές επιθέσεις ransomware καθώς και για να περιοριστούν οι ζημιές.
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.