Într-adevăr, acest articol prezintă un studiu de caz despre ransomware- ul WannaCry ransomware, dar înainte de a intra în detalii, vom face un ocol și vom vorbi despre un eveniment care s-a întâmplat cu 10 zile înainte de toată nebunia iscată de valul de phishing din jurul GoogleDocs. Aspectul cel mai îngrijorător este că, în timp ce în cazul WannaCry, " singurul" factor uman implicat a fost lipsa acţiunilor de protejare a sistemelor, în cazul atacului de tip phishing, utilizatorul a trebuit să dea click de două ori: o dată, pentru a accesa un link dintr-un email ciudat, iar a doua oară, pentru a permite unui site web suspicios să acceseze contul lor Google.
În prima etapă, potenţiala victimă primește un email aparent autentic care o anunţă că un cunoscut i-a trimis un fișier. . Totuși, dacă potenţiala victimă este atentă, poate observa semne care să o alerteze. Utilizatorul nu se află în lista destinatarilor (the To: list). Doar un contact este vizibil, cineva cu o adresă de email: hhhh…@mailinator.com. Există mai mult de 10 contacte ascunse. De ce ar dori un prieten să îl ascundă pe restul destinatarilor? Mai mult, emailul de tip phishing conţine un buton 'Open in Docs', care, atunci când e apăsat, direcţionează utilizatorul către pagina Google's OAuth pentru autentificare și pentru obţinerea de permisiuni asupra contului victimei. În emailul la care ne-am uitat, URL-ul asociat butonului click conţine un parametru de redirecţionare care, o dată ce este accesat sau respins de pagina Google's OAuth, redirecţionează utilizatorul spre un site web controlat de un atacator.
Butonul și secvenţa de redirecţionare sunt notabile, deoarece utilizatorul trebuie să dea click pe butonul 'Open in Docs', apoi fie să dea click fie pe 'Allow', fie pe 'Deny' în cadrul paginii Google OAuth pentru a contacta unul din aceste domenii.
Faptul că existau semnale clare care ar fi trebuit să ridice semne de întrebare despre autenticitatea mesajului și că utilizatorii trebuiau să facă click ( practic să aprobe) de două ori, face ca numărul de utilizatori Google afectați de "doar" 0.1% din 1 miliard în total, să fie îngrijorător.
17 Martie: Microsoft lansează Buletinul de Securitate MS17-010: "Acest update de securitate rezolvă vulnerabilităţile Microsoft Windows. Cea mai gravă vulnerabilitate poate permite executarea de cod de la distanţă, dacă un atacator trimite un mesaj special împachetat către serverul Microsoft Server Message Block 1.0 (SMBv1)." Observăm că acest update a fost disponibil numai pentru systemele Windows7 sau mai recente. Din 2014, Microsoft nu oferă suport oficial pentru versiunile de XP Desktop.
14 Aprilie: După o licitaţie ratată, un grup a lansat un pachet de 260MB de material furat de la "Equation Group", o grupare suspectată a avea legături cu NSA. Unul din acestea a fost Eternalblue, care a exploatat vulnerabilitatea rezolvată de MS17-010, pentru a obţine execuţia codului de la distanţă. În cadrul aceluiași pachet, putem găsi de exemplu: Eternalromance - un exploit remote folosit pentru atacarea privilegiilor (versiuni afectate începând de la Windows XP pana la Windows 2008 pe portul TCP 445), Enternalchampion, Eternalsystem - exploit remote (versiuni afectate până la Windows 8 și 2012), Explodingcan : un exploit remote IIS 6.0 pentru Windows 2003, Eternalsynergy : exploit Windows 8 și Windows Server 2012, Fuzzbunch: un framework de exploituri (similar cu Metasploit).
12 Mai: Nebunia începe. Primele mostre de WannaCry sunt trimise către VirusTotal.
13 Mai: Sunt găsite în aplicaţie indicii care arată către domeniile kill-switch. Înregistrând aceste adrese, se oprește propagarea . Microsoft face un pas pe care îl cataloghează drept "neobișnuit" pentru a furniza patchuri publice pentru sistemelele de operare Windows aflate în afara perioadei de suport oficial.
15 Mai: Este identificat un imitator al WannaCry: linkurile de kill-switch sunt șterse, iar adresa pentru plata bitcoin este actualizată.
19 Mai: Apare prima aplicaţie de decriptare mulţumită lui Adrien Guinet, Matthieu Suiche, Benjamin Delpy.
Care sunt cauzele acestui "incendiu" de zi de vineri, când sunt atacate mai mult de 200,000 de sisteme, în peste 100 de ţări, făcând victime celebre precum FedEx, serviciile naţionale de sănătate din UK sau Telefonica din Spania?
În primul rând, lipsa actualizărilor sistemelor și lipsa remedierii vulnerabilităţilor : fie din cauza utilizării unor sisteme de operare vechi de 15 ani pentru care Microsoft nu mai oferă suport de 2 ani, fie din cauza ignorării patchurilor care au fost lansate cu o lună în urmă. În aceeași categorie includem utilizarea SMBv1, un protocol din 1992 a cărui versiune îmbunătăţită a fost disponibilă din 2006. O altă practică nocivă este expunerea directă la Internet, la care se adaugă absenţa unui software de tip anti-virus actualizat la zi. Soluţiile oferite de jucători de renume precum Kaspersky, ESET, BitDefender au detectat și au blocat instalarea _ransomware-_ului înainte ca acesta să făcă ravagii. La un moment dat, Microsoft dădea vina pe NSA deoarece nu a făcut public furtul de informaţii. Evident, ar fi fost bine ca patchurile să fie disponibile pe WindowsXP înainte de atac, dar aceasta ar fi fost doar o picătură de ploaie în ocean. Ar fi însemnat un patch pentru fiecare vulnerabilitate. Ar fi amânat evenimentele, dar toate sistemele care nu mai beneficiau de suport constant rămâneau vulnerabile în faţa atacurilor viitoare. Unii ar fi putut spune: "Eu nu folosesc Windows, eu folosesc X, cel mai sigur sistem de operare din lume". Nu există sistem care să nu poată fi spart, ci doar o proporţie redusă de recompensă per efort. Gândiţi-vă la majoritatea servelor web bazate pe diverse distribuţii Linux. Din când în când, citiţi în presă "site-ul X a fost spart"… Anul trecut, emailurile lui Hillary Clinton au fost furate. Aţi putea spune că și-ar fi putut permite experţi care să securizeze serverele pe care le utiliza …
Recent, s-a aflat că WannaCry nu este prima ameninţare de acest fel.
Conform cercetărilor efectuate de Proofpoint, Adylkuzz, un miner de cryptocurrency numit Monero a devenit activ între 24 Aprilie și 2 Mai, cu săptămâni înainte de apariţia WannaCry pe scenă. Poate acesta este doar vârful icebergului. Pe lângă grupul ţintă clasic desktop/server, de-a lungul timpului au mai apărut: telefoanele mobile și coșmarul pentru securitate ce reprezintă InternetOfThings-ul.
Să ne jucăm puţin cu imaginaţia
Potrivit Google, există 1.6 miliarde de dispozitive Android în toată lumea. Aproape fiecare dispozitiv este suficient de puternic pentru a rula un WindowsXP, majoritatea conectate la Internet. Elementul de pericol, făcut public de un sondaj Google este că 30% din dispozitivele care au vizitat PlayStore-ul oficial rulau pe Android KitKat (lansat în 2013 sau anterior). Gândiţi-vă de câte ori aţi instalat o actualizare de sistem de operare pe telefon sau v-aţi gândit să instalaţi o aplicaţie antivirus. Recent, Google a curăţat PlayStore de aproximativ 20,000 de aplicaţii cu potenţial nociv. Când v-aţi actualizat ultima oară sistemul de pe SmartTV, routerul wireless, smartwatchul, wristbandul, monitorul de copil, sistemul de iluminat inteligent sau alt dispozitiv inteligent? Ce s-ar întâmpla dacă cineva s-ar preocupa să spargă aceste dispozitive? Aţi putea spune: "Sunt în siguranţă, eu nu accesez site-uri web dubioase". Un studiu de anul trecut arată că este mai sigur să vizităm cele mai recunoscute portaluri cu conţinut pentru adulţi decât să aruncăm o privire nevinovată la un website al unui mic magazin, deoarece ultima categorie sunt site-uri de tipul "instalează și uită", fără monitorizare sau actualizări software. Ultima și cea mai frecventă scuză este "De ce mi s-ar întâmpla mie? Nu sunt bogat, nu sunt politician, actor celebru, nimănui nu-i pasă de mine." Acest lucru este parţial greșit. Deși ( să sperăm că) nu stocati pe calculatorul sau telefonul vostru codurile de acces la conturi bancare, aceste dispozitive pot fi folosite pentru activităţi maliţioase. Conexiunea voastră la Internet ar putea fi utilizată pentru a ascunde identitatea unui traficant de droguri sau a unui pedofil. Sau, aparatele voastre pot fi folosite pentru a mina bitcoin, ca și în cazul Adylkuzz.
Nu putem preveni în totalitate, deoarece nu există protecţie perfectă. Dar putem face viaţa atacatorilor mai grea.
În primul rând, fiţi suspicioși. Există o șansă mică să existe un prinţ nigerian care vrea să scape din ţara sa, și chiar dacă ar exista, de ce v-ar alege tocmai pe voi din 7 miliarde de oameni? Aș spune că există o șansă mai mare să găsiţi un bilet la loterie în pădure, oferit de un iepure roșu cu joben. Deci, dacă ceva este prea bun pentru a fi adevărat, fiţi precaut.
În al doilea rând, păstraţi-vă sistemele actualizate. Nu găsiţi scuze, aplicaţi patchurile. Vă vor apăra de multe probleme.
În al treilea rând, fiţi atenţi ce distribuiţi pe Internet. Reduceţi expunerea la minimum. Cu cât partajaţi mai multă informaţie, cu atât crește șansa ca cineva să găsească informaţii ce pot fi folosite pentru a intra în sistem.
Cumpăraţi un sistem antivirus. Multe vin la pachet împreună cu un firewall ușor de configurat, astfel puteţi selecta ce aplicaţii pot partaja informaţii pe Internet.
Investiţi într-un spaţiu de stocare backup de sine stătător, offline. Faceţi backup la albumele foto, filmele din vacanţă, scrisorile de dragoste (loveletter fiind un alt vierme renumit din 2000, care a fost "lansat" tot într-o zi de vineri), articole, cercetare sau orice e suficient de valoros pentru a plăti 300$ recompensă.
Vom avea o altă provocare în iulie, deoarece theshadowbrokers a publicat un email cu preţul unui "monthly dump service":
Q: How do I subscribe and get the next theshadowbrokers’ dump (June 2017)?
#1 - Between 06/01/2017 and 06/30/2017 send 100 ZEC to this z_address: zca...
#2 – Include a “delivery email address” in the “encrypted memo field” when sending Zcash
payment
#3 – If #1 and #2 then a confirmation email will be sent to the “delivery email address”
provided
#4 – Between 07/01/2017 and 07/17/2017 a “mass email” will be send to the “delivery email
address” of all “confirmed subscribers” (#1, #2, #3)
#5 – The “mass email” will contain a link and a password for the June 2017 dump* 1 ZEC valorează aproximativ 255 USD la momentul redactării acestui articol.
de Bianca Leuca
de Ovidiu Mățan
de Vlad But
de Bálint Ákos
