Η παγκόσμια πανδημία του NotPetya. Ανάλυση της CyberArk Labs
Τον Μάιο του 2017, εκμεταλλευόμενο μία ευπάθεια στο λειτουργικό σύστημα Windows, το WannaCry κατάφερε προς όφελος των δημιουργών του να προωθήσει μία πανδημία στο χώρο της κυβερνοασφάλειας – ένα ransomware που μπορούσε να εξαπλώσει τη μόλυνση του σαν ένα παραδοσιακό σκουλήκι.
Τα αποτελέσματα ήταν καταστροφικά, με ορισμένες εκτιμήσεις για τη ζημιά που προκάλεσε να κάνουν λόγο για περισσότερα από $4 δισεκατομμύρια.
Πρόσφατα, ένα νέο κακόβουλο λογισμικό που ονομάστηκε NotPetya ανακαλύφθηκε ότι είναι η κινητήρια δύναμη πίσω από ένα άλλο καταστροφικό παγκόσμιο περιστατικό – ένα περιστατικό που πιθανότατα θα ξεπεράσει το WannaCry όσον αφορά στις ζημιές που θα προκληθούν συνολικά. Ενώ δεν υπάρχουν πληροφορίες ή στοιχεία σχετικά με το ποιος εξαπέλυσε το κακόβουλο λογισμικό και ποια είναι τα κίνητρα του, η CyberArk Labs “κατέβασε” πολλά δείγματα του κακόβουλου λογισμικού για ανάλυση.
Παρακάτω μπορείτε να διαβάσετε ότι γνωρίζουμε μέχρι στιγμής για το κακόβουλο λογισμικό και πως έχει εξελιχθεί από την αρχική μόλυνση μέχρι την παγκόσμια πανδημία ransomware.
Σημείο μόλυνσης – Ουκρανία
Στις 27 Ιουνίου, μια μαζική επίθεση ransomware ξεκίνησε με συντονισμένο τρόπο σε μεγάλο αριθμό κυβερνητικών γραφείων και μεγάλων επιχειρήσεων στην Ουκρανία.
Αυτό το πρώτο κύμα ξεκίνησε από επιτιθέμενους που βρίσκονται ήδη εντός των στοχευμένων δικτύων. Οι επιτιθέμενοι βρισκόταν εντός δικτύων εδώ και αρκετό καιρό και χρησιμοποίησαν το χρόνο που είχαν στη διάθεση τους για να προγραμματίσουν και να συντονίσουν την επίθεση ώστε να χαρακτηριστεί από μέγιστη αποτελεσματικότητα.
Οι επιτιθέμενοι υποτίθεται ότι ανακάλυψαν ένα κενό ασφαλείας στο λογισμικό που χρησιμοποιείται ευρέως στις Ουκρανικές κυβερνητικές εγκαταστάσεις. Βάσει της αρχικής ανάλυσης από την CyberArk Labs, σε αυτό το αρχικό κύμα, η NotPetya φάνηκε να χτυπάει τερματικές συσκευές που χρησιμοποιούσαν πληκτρολόγιο ρυθμισμένη στην Αγγλική, US-only γλώσσα. Τέτοιοι αυτό-περιορισμοί συναντώνται γενικώς σε επιθέσεις που εξαπολύονται από κράτη εναντίων στόχων σε άλλα κράτη ή άλλων κρατικών συμφερόντων.
Ευπάθεια στην αλυσίδα εφοδιασμού: Αυτό ουσιαστικά υπογραμμίζει ότι οι επιτιθέμενοι εξακολουθούν να διεισδύουν σε οργανισμούς έχοντας πρώτα στοχεύσει τα δίκτυα τρίτων συνεργατών που συνδέονται δικτυακά με τον στόχο ή τους στόχους.
Η αρχική επίθεση ήταν εξαιρετικά καλά προγραμματισμένη και οργανωμένη – στη πλειονότητα τους τα συστήματα που αποτέλεσαν στόχο “κράσαραν” μέσα σε μία ώρα από την αρχή της επίθεσης.
Από τη στιγμή που η NotPetya κατάφερε να βρεθεί εντός των οργανισμών, εξαπλώθηκε χρησιμοποιώντας την ίδια απίστευτα αποτελεσματική μέθοδο του WannaCry – χρησιμοποιώντας την ευπάθεια “EternalBlue” στο πρωτόκολλο SMB (Server Message Block) σε συστήματα της Microsoft που δεν είχαν αναβαθμιστεί ή ενημερωθεί. Η CyberArk Labs επιβεβαίωσε επίσης ότι το ransomware NotPetya διαθέτει ένα ενσωματωμένο άρθρωμα Mimikatz, που σχεδιάστηκε για να κλέβει διαπιστευτήρια χρησιμοποιώντας “lateral movement” (πλευρική κίνηση) ώστε να μολύνει πρόσθετα μηχανήματα.
Το στοιχείο κλοπής διαπιστευτηρίων είναι σημαντικό – επειδή εξακολουθούν να είναι ευάλωτοι οι υπολογιστές οργανισμών ή εταιρειών που έχουν επιδιορθώσει την ευπάθεια “EternalBlue” του πρωτόκολλου SMB στα συστήματα του με λογισμικό της Microsoft.
Δημιουργία μίας πανδημίας παγκόσμιου επιπέδου
Αν και η αρχική επίθεση είχε στόχο κυβερνητικά γραφεία και επιχειρήσεις της ουκρανικής κυβέρνησης, τα επόμενα κύματα της επίθεσης φάνηκε να χτυπούν τη Ρωσία προτού ξεκινήσουν να χτυπούν στόχους σε όλη την υδρόγειο.
Μετά την αρχική μόλυνση, το κακόβουλο λογισμικό εξαπλώθηκε μέσω παραδοσιακών μέσων όπως για παράδειγμα μέσω του ηλεκτρονικού ταχυδρομείου και του ηλεκτρονικού “ψαρέματος” (phishing). Σε τυχαίους στόχους σε ολόκληρο τον κόσμο ξεκίνησαν να αποστέλλονται ηλεκτρονικά μηνύματα “phishing”. Οι παραλήπτες των μηνυμάτων, χωρίς να υποπτευθούν το παραμικρό έκαναν το λάθος να ανοίξουν τα συνημμένα αρχεία ή τους συνδέσμους στα μηνύματα που έλαβαν εκτελώντας ουσιαστικά το ransomware στον υπολογιστή τους και επομένως στο εσωτερικό των εταιρικών δικτύων τους.
Το ransomware διείσδυσε στα δίκτυα μέσω phishing – όπως σημειώθηκε παραπάνω, μολύνθηκαν ακόμα και οργανισμοί που είχαν προχωρήσει στην ενημέρωση των συστημάτων Windows τους, εκτελώντας το απαραίτητο patch που έκλεινε το κενό ασφαλείας “EternalBlue” στο πρωτόκολλο SMB. Το συγκεκριμένο ransomware λοιπόν είναι αδύνατον να αναχαιτιστεί στην περίμετρο του δικτύου.
Μόλις ένας παραλήπτης έκανε κλικ στο κακόβουλο μήνυμα ηλεκτρονικού ταχυδρομείου, έτρεχε κώδικας στο στοχευμένο μηχάνημα που ήλεγχε τη τερματική συσκευή για να εντοπίσει τοπικά δικαιώματα διαχειριστή.
Εάν δεν υπήρχαν δικαιώματα διαχειριστή στη συσκευή για να εκμεταλλευτεί και να εξαπλωθεί, το ransomware ουσιαστικά πέθαινε στο συγκεκριμένο σημείο.
Αν όμως το ransomware κατάφερνε να εντοπίσει και να κλέψει δικαιώματα διαχειριστή, τροποποιούσε το Master Boot Record (MBR) και εγκαθιστούσε ένα νέο διαμέρισμα εκκίνησης. Το πρόσθετο στοιχείο Mimikatz στη συνέχεια ξεκινούσε τη λειτουργία του για να κλέψει πρόσθετα διαπιστευτήρια και με πλευρικές κινήσεις σάρωνε το δίκτυο για να μολύνει περισσότερους υπολογιστές.
Πρόκειται για μια κρίσιμη πτυχή της εξάπλωσης του ransomware, καθώς η NotPetya αναζητά πρόσθετες μηχανές για να μολύνει στο εσωτερικό των οργανισμών και εταιρειών. Εάν ο οργανισμός δεν είχε εγκαταστήσει το patch που έκλεινε το κενό ασφαλείας EternalBlue, το ransomware πολλαπλασιαζόταν χρησιμοποιώντας το συγκεκριμένο φορέα.
Αυτός ήταν και ο καλύτερος και ταχύτερος τρόπος για να εξαπλωθεί η NotPetya, διότι επέτρεπε στο ransomware να εκτελεστεί με τα προνόμια συστήματος στο επόμενο μηχάνημα, χωρίς την ανάγκη κλοπής διαπιστευτηρίων.
Αν και εξακολουθεί να θεωρείται βέλτιστη πρακτική, η εγκατάσταση του patch ΔΕΝ επαρκεί για να σταματήσει το ransomware σαν το NotPetya. Αν σε ένα σύστημα είχε εγκατασταθεί το patch, το ransomware χρησιμοποιούσε διαπιστευτήρια που είχαν κλαπεί από το άρθρωμα Mimikatz για να εντοπίσει ευάλωτα μηχανήματα και να χρησιμοποιήσει τα διαπιστευτήρια με ενσωματωμένο PSexec.
Αντίστροφη μέτρηση για το χάος
Μόλις το ransomware κατάφερνε να εξαπλωθεί σε μηχανές κατά μήκος ενός οργανισμού, ήταν σχεδιασμένο για να περιμένει ένα τυχαίο χρονικό διάστημα (10 με 60 λεπτά) πριν επανεκκινήσει τον υπολογιστή.
Αυτό ενεργοποιούσε τον boot loader που είχε δημιουργήσει, κρυπτογραφώντας τον Master Boot Loader του συστήματος αντί να ξεκινήσει την κρυπτογράφηση εγγράφων και εφαρμογών. Αυτός είναι και ο βασικός λόγος που το συγκεκριμένο κακόβουλο λογισμικό ήταν τόσο επιζήμιο – εμπόδιζε τους χρήστες να επανεκκινήσουν τους υπολογιστές τους.
Το αποτέλεσμα ήταν ένα οργανωτικό χάος κυριολεκτικά – διαταράσσοντας τη λειτουργία μεγάλων επιχειρήσεων στην Ουκρανία, στην Ινδία, στις ΗΠΑ, στη Ρωσία και σε πολλά άλλα μέρη του κόσμου.
Προστατεύοντας τον οργανισμό σας
Όπως έχει γίνει γνωστό από προηγούμενα ξεσπάσματα ransomware, ένας συνδυασμός πολιτικών ελάχιστων προνομίων και ελέγχου εφαρμογών σε τερματικές συσκευές και διακομιστές μπορεί να μετριάσει τον κίνδυνο να μολυνθεί το δίκτυο σας από κακόβουλο λογισμικό όπως το NotPetya που εξαπλώνεται από το αρχικό σημείο μόλυνσης.
Όταν δοκιμάστηκε στο εργαστήριο της CyberArk, ο συνδυασμός πολιτικής ελάχιστων προνομίων με κάποιο είδος greylisting των εφαρμογών αποδείχθηκε 100% αποτελεσματικός για την αποτροπή της εκτέλεσης του NotPetya.
Η CyberArk προτρέπει ένθερμα κάθε οργανισμό να λάβει τα παρακάτω μέτρα άμεσα:
- Δημιουργία αντιγράφων ασφαλείας των σημαντικών δεδομένων σας, άμεσα: Αν και αποτελεί βέλτιστη πρακτική που βεβαίως θα πρέπει να ακολουθεί κάθε εταιρεία και οργανισμός, εξασφαλίστε ότι έχετε αντίγραφα ασφαλείας –και off-site – των κρίσιμης σημασίας δεδομένων της επιχείρησης.
- Ακολουθήστε την αρχή του ελάχιστου προνομίου: Να διαμορφώνετε πάντοτε τα στοιχεία ελέγχου πρόσβασης, συμπεριλαμβανομένων των δικαιωμάτων για την κοινή χρήση αρχείων, καταλόγων και δικτύου, με βάση την αρχή των ελάχιστων προνομίων. Οι περισσότεροι χρήστες δεν χρειάζονται δικαιώματα διαχειριστή για να κάνουν τις απαιτούμενες εργασίες τους στις εταιρικές τερματικές συσκευές τους, οπότε η πρόσβαση των χρηστών θα πρέπει να παραμείνει στο ελάχιστο δυνατό επίπεδο χωρίς να διαταράσσεται η φυσιολογική λειτουργία και εργασία.
- Σημείωση: Αυτό δεν σας καθιστά απρόσβλητους από το NotPetya και γενικότερα από στελέχη ransomware – ωστόσο σταματά αποτελεσματικά την εξάπλωση του ransomware και δεν του επιτρέπει την εκτέλεση κακόβουλων εργασιών. Οι τερματικές συσκευές μπορούν να αντικατασταθούν – η εξάπλωση της μόλυνσης στο εταιρικό δίκτυο μπορεί να σταματήσει τη λειτουργία της επιχείρησης.
- Εφαρμόστε application control: Ο έλεγχος των εκτελέσιμων που έχουν πρόσβαση στα αρχεία σας μπορεί επίσης να συμβάλει στις αμυντικές προσπάθειες σας. Για παράδειγμα, αν τοποθετήσετε το εκτελέσιμο αρχείο PowerPoint στη λευκή λίστα (whitelist) ως το μόνο εκτελέσιμο αρχείο που έχει πρόσβαση εγγραφής στα αρχεία παρουσιάσεων, τότε εάν το εκτελέσιμο του ransomware προσπαθήσει να κρυπτογραφήσει και να αντικαταστήσει τα αρχεία, θα απορριφθεί (καθώς δεν συμπεριλαμβάνεται στην “εγκεκριμένη” whitelist. Είναι σημαντικό επίσης να δημιουργήσετε πολιτικές που θα προστατεύουν αυτές τις “αξιόπιστες” ή “λευκές” εφαρμογές.
- Απενεργοποιήστε το SMB v1 και εφαρμόστε τα απαραίτητα patches: Οργανισμοί που απέτυχαν να επιδιορθώσουν το παλαιότερο κενό ασφαλείας παρέμειναν στόχοι του NotPeyta. Η μη εφαρμογή των απαραίτητων patches σε αυτό το σημείο είναι κάτι το ασυγχώρητο. Οι οργανισμοί και οι επιχειρήσεις θα πρέπει να απενεργοποιήσουν αμέσως την παρωχημένη έκδοση πρωτοκόλλου Microsoft SMB 1 ή απλώς να εφαρμόσουν το patch με την ονομασία MS17-010 που διέθεσε η Microsoft πριν από μερικούς μήνες.
- Αποκλεισμός πρόσβασης στο Διαδίκτυο: Το πρωτόκολλο Microsoft SMB προορίζεται να είναι εσωτερικό, οπότε το δίκτυό σας δεν πρέπει να είναι ανοικτό σε πακέτα SMB από το διαδίκτυο. Η εφαρμογή port filtering για τον αποκλεισμό όλων των εκδόσεων του SMB στα όρια του δικτύου είναι ένα εξίσου σημαντικό προληπτικό μέτρο.
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.