2017. bila je godina ransomwarea, šta nas čeka u 2018.

Vesti, 03.01.2018, 10:00 AM

2017. godinu obeležio je ransomware. Tri epidemije bez presedana promenile su sliku o ransomwareu verovatno zauvek. Ti napadi su bili usmereni na kompanije i u njima su korišćeni crvi i procureli exploiti za samoširenje ransomwarea koji su šifrovali podatke i zahtevali otkupninu koja im zapravo nije bila cilj, bar ne primarni. Počinioci ovih napada verovatno nisu bili obični lopovi koji se obično skrivaju iza napada ransomwarea. Troškovi žrtva ovih napada mere se stotinama miliona dolara.

2017. godina bila je godina kada su se globalne kompanije i industrijski sistemi našli na sve dužem spisku žrtava. Bila je ovo godina kada je broj napada bio konstatno visok, ali i godina u kojoj nije bilo većih inovacija.

Evo kako izgleda retrospektiva godine iz perspektive stručnjaka Kaspersky Laba.

Sve je počelo 12. maja, kada su stručnjaci za sajber bezbednost primetili nešto što se nije moglo videti skoro jednu deceniju: sajber napad sa crvom koji se nekontrolisano širio. Crv je imao zadatak da instalira kripto-ransomware na zaražene računare.

WannaCry ransomware inficirao je na stotine hiljada računara širom planete. Da bi se širio, crv je koristio exploit EternalBlue i backdoor DoublePulsar, koje je objavila grupa Shadow Brokers mesec dana pre izbijanja epidemije. Crv je automatski napadao na sve računare koji dele istu lokalnu mrežu kao i zaraženi računar, kao i nasumične opsege IP adresa izvan lokalne mreže, šireći se brzo širom sveta.

Da bi inficirao računar, WannaCry je koristio ranjivost u Windowsovoj implementaciji SMB protokola. Microsoft je objavio ažuriranje kako bi popravio ovu ranjivost još u martu 2017. godine, ali je broj neažuriranih sistema ostao toliko veliki da to nije ometalo širenje WannaCry ransomwarea.

Nakon inficiranja računara i obavljanja onoga što je bilo neophodno za dalje širenje, WannaCry je šifrovao neke vredne fajlove koji su pripadali žrtvama i zatim prikazivao obaveštenje o otkupnini. Potpuno dešifrovanje šifrovanih fajlova bilo je nemoguće bez plaćanja otkupnine - iako su analitičari Kaspersky Laba otkrili nekoliko propusta u kodu ransomwarea koji su možda mogli omogućiti nekim žrtvama da vrate neke svoje podatke bez plaćanja otkupnine.

Žrtve su uglavnom bile organizacije sa umreženim sistemima.

Žrtve su dobijale zahteve da plate otkupninu bitcoinima. Broj žrtava prema nekim procenama mogao bi biti veći od 750000.

Francuski proizvođač automobila kompanija Renault morala je da zatvori svoju najveću fabriku, a bolnice u Velikoj Britaniji da otpuste pacijente. Nemački transportni gigant Deutsche Bahn, španska kompanija Telefónica, FedEx, Hitachi i rusko Ministarstvo unutrašnjih poslova su među žrtavama ovog napada. Mesec dana posle početka epidemije, WannaCry je i dalje tražio nove žrtve, pa je tako kompanija Honda morala da zatvori jedan od svojih proizvodnih pogona a ransomware je uspeo da isključi i 55 saobraćajnih kamera za merenje brzine u Australiji.

Kao razorni napad visokog profila koji je ciljao kompanije, WannaCry je bio izuzetno uspešan. Kao ransomware, koji je kao i srodni malveri trebalo da zaradi mnogo novca, WannaCry je doživeo neuspeh. Širenje preko crva nije preporučljivo za pretnju koja je najunosnija kada vreba iz senke. Procene ukazuju na to da je on zaradio samo oko 55000 dolara u Bitcoinima, baš zbog svoje upadljivosti. Neki delovi koda bili su loše napisani što ukazuje na to da se ransomware verovatno otrgao kontroli pre nego što je bio potpuno spreman. Postoje neke naznake da je grupa koja stoji iza WannaCry čuvena korejska grupa Lazarus.

Prava svrha napada WannaCry možda nikad neće biti otkrivena - da li je nešto greškom pošlo naopako ili je u pitanju bio namerni destruktivni napad prerušen u napad ransomwarea?

Drugi veliki napad dogodio se samo šest nedelja kasnije, 27. juna. Ransomware ExPetr je uglavnom inficirao ciljane računare u Ukrajini, Rusiji i zapadnoj Evropi. Telemetrija kompanije Kaspersky Lab pokazuje da je napaduto više od 5000 korisnika. Žrtve su dobile zahteve za otkup koji je iznosio oko 300 dolarai koji je trebalo platiti Bitcoinima - iako se ispostavilo da žrtve koje su platile nisu mogle vratiti svoje fajlove.

Napad ransomwarea ExPetr je bio kompleksni napad, koji je uključivao nekoliko vektora infekcije. Ovo uključuje modifikovane EternalBlue (koji je koristio i WannaCry) i EternalRomance exploite i DoublePulsar backdoor za širenje unutar mreže; kompromitovani MeDoc računovodstveni softver koji je distribuirao malver putem ažuriranja softvera; i kompromitovan web sajt za vesti za Ukrajinski region Bahmut koji su napadači koristili kao "watering hole".

ExPetr je mogao da inficira čak i ažurirane računare u istoj lokalnoj mreži u kojoj se nalazio inicijalno zaraženi računar. Da bi to uradio, malver bi prikupio akreditive sa inficiranog sistema pomoću alata nalik Mimikatzu, i zatim bi nastavio svoje bočno kretanje pomoću alata PsExec ili WMIC.

Šifrovana komponenta ExPetr ransomwarea je delovala na dva nivoa: šifrovanjem fajlova žrtve pomoću algoritma AES-128, a zatim instaliranjem modifikovanog bootloadera uzetog od drugog malvera - GoldenEye (naslednik originalnog ransomwarea Petya). Ovaj maliciozni bootloader je sprečavao pokretanje računara, istovremeno tražeći otkup od žrtve.

Među žrtvama ransomwarea ExPetr su velike kompanije kao što su luke, supermarketi, reklamne agencije i advokatske firme. Kompanija Reckitt Benckiser izgubila je pristup za 15000 laptop računara, 2000 servera i 500 računarskih sistema za samo 45 minuta a procenjuje se da je napad koštao kompaniju više od 130 miliona dolara. Maersk je najavio gubitak prihoda od oko 300 miliona dolara zbog napada.

Motivi napadača i svrha napada ransomwareom ExPetr ostaju nepoznati.

Krajem oktobra pojavio se još jedan kripto-crv, BadRabbit. Inicijalna infekcija započela je kao drive-by download napad sa više kompromitovanih sajtova i sa lažnim ažuriranjem za Adobe Flash Player. Kada se pokrene na računaru, komponenta BadRabbit koja služi kao crv pokušava da se sama širi koristeći EternalRomance exploit i koristi tehniku bočnog kretanja sličnu onoj koju koristi ExPetr. Većina ciljeva BadRabbita se nalazila u Rusiji, Ukrajini, Turskoj i Nemačkoj.

Komponenta ransomwarea BadRabbit šifruje fajlove na zaraženom računaru, a potom i cele particije diska pomoću modula - legitimne aplikacije DiskCryptor. Analiza koda ransomwarea i tehnike koje koristi BadRabbit sugerišu da postoji značajna sličnost između ovog malvera i ExPetr ransomwarea. Međutim, za razliku od ExPetr, BadRabbit ne izgleda kao malver koji briše fajlove, šta više, njegovi distributeri imaju mogućnost da dešifruju fajlove na računaru žrtve.

Kriminalci koji stoje iza pomenutih epidemija ransomwarea nisu bili jedini koji su koristili kod exploita koji su procureli zahvaljujući grupi Shadow Brokers.

Još neke ne tako poznate porodice ransomwarea su u nekom trenutku koristile iste exploite. Među njima su AES-NI (Trojan-Ransom.Win32.AecHu) i Uiwik (Trojan-Ransom.Win32.Cryptoff). Ove porodice malvera su "čisti" ransomware u smislu da ne sadrže nikakve mogućnosti crva, tj. ne mogu da se samorepliciraju, zbog čega se i nisu širile onoliko koliko se širio WannaCry, na primer. Međutim, napadači koji stoje iza ovih malvera koriste iste ranjivosti na kompjuterima žrtava da bi ih inficirali.

Pored velikih epidemija koje su potresle svet, 2017. je obeležio interesantan trend: nekoliko kriminalnih grupa koje stoje iza različitih ransmwarea obustavilo je svoje aktivnosti koje su u vezi sa tim malverima i objavilo tajne ključeve potrebne za dešifrovanje fajlova žrtava. Među njima su Crysis (Trojan-Ransom.WVin32.Crusis), AES-NI (Trojan-Ransom.Win32.AecHu), xdata (Trojan-Ransom.Win32.AecHu), Petya/Mischa/GoldenEye (Trojan-Ransom.Win32.Petr). Master ključ za Petya/Mischa/GoldenEye je objavljen ubrzo nakon izbijanja epidemije ExPetr ransomwarea što je možda bio pokušaj originalnih autora Petya da pokažu da nisu oni ne stoje iza ExPetr.

Međutim, iako se činilo da je Crysis ransomware nestao u maju 2017. nakon curenja svih master ključeva, u avgustu je Kaspersky Lab počeo da otkriva brojne nove uzorke ovog ransomwarea a ispostavilo se da su oni skoro identične kopije prethodno distribuiranih primeraka malvera, sa samo nekoliko razlika: imali su nove master ključeve, nove email adrese preko kojih su žrtve mogleda kontaktiraju kriminalce i nove ekstenzije za šifrovane fajlove. Sve ostalo ostalo je bilo nepromenjeno. U Kaspersky Labu su zaključili da kriminalci koji stoje iza novih primeraka ransomwarea možda nisu posedovali njegov izvorni kod već su reverznim inžinjeringom podigli ransomware iz mrtvih da bi ga koristili za svoje potrebe.

2016. godine primećen je novi trend među najraširenijim ransomwareima. Umesto da pokušaju da prevare žrtvu da pokrene maliciozne izvršne fajlove ili da koriste exploit alate, kriminalci su se okrenuli drugom vektoru infekcije. Oni su izvodili brute-force napade kako bi došli do RDP lozinki na kompjuterima koji su imali uključen RDP i kojima se moglo pristupiti sa interneta. 2017. godine ovaj pristup postao je jedan od glavnih metoda širenja nekoliko rasprostranjenih porodica ransomwarea, kao što su Crysis, Purgen/GlobeImposter i Cryakl.

Šta je sledeće? Stručnjaci Kaspersky Laba kažu da je 2017. godina bila godina kada je ransomware često korišćen za uništavanje podataka umesto zbog finansijske dobiti. Broj napada na korisnike i preduzeća ostao je visok, ali je uglavnom korišćen postojeći ili modifikovani kod poznatih ili generičkih malvera.

Da li poslovni model ransomwarea počinje da puca? Da li postoji unosna alternativa za sajber kriminalce koje motiviše finansijska korist? Jedna od mogućnosti bi mogao biti majning kripto valuta. Predviđanja Kaspersky Laba govore da bi ove godine mogli biti svedoci porasta ciljanih napada sa ciljem instalacije majnera. Ransomware pruža mogućnost za veliki ali jednokratni dobitak, dok majneri mogu kriminalcima doneti manju ali zaradu na duge staze i to bi mogao biti izazov za mnoge od njih koji se nalaze u trenutno turbulentnom pejzažu ransomwarea. Ali jedno je sigurno, ransomware neće nestati - niti kao direktna pretnja, niti kao maska za dublje napade.