1492899734824
Actual

HAOS în CYBER SPACE

Cel mai recent atac cibernetic de tip ransomeware, „GoldenEye/Petya”, a semănat, oarecum, cu criza „WannaCry”, declanșată cu șapte săptămâni în urmă. Ambele s-au răspândit rapid, lovind ținte de profil ridicat, precum mari companii multinaționale și deținători de infrastructură critică. Dar, în timp ce multe defecte de proiectare ale lui „WannaCry” au arătat că ar fi un foc de paie, această ultimă amenințare de răscumpărare nu face aceleași greșeli.

Citește și:

După atacul cibernetic „WannaCry”, șeful Europol avertizează într-un interviu pentru Q Magazine despre o altă amenințare care sperie Europa

Inițial identificat ca „Petya”, un ransomware care a început să circule în 2016, actualul atac pare a fi o dezvoltare a lui, cu adăugiri rafinate, cum ar fi o criptare mai puternică. Unii experți numesc această nouă iterație „NotPetya” sau „GoldenEye”.


Ransomware este un tip de software malițios care blochează prin criptare accesul la datele victimei amenințând că le șterg sau că le publică dacă victima nu plătește o răscumpărare.


 

Impact

Atacurile cibernetice care au fost lansate pe 27 iunie au vizat structuri guvenamentale și companii private din 60 de state, începând cu Federația Rusă și până în Statele Unite ale Americii. Cele mai afectate țări rămân Ucraina și Federația Rusă, conform declarației lui Costin Raiu, director al echipei Global Research and Analysis Team – GReAT de la Kaspersky Lab:

„Entități din Rusia și Ucraina par cele mai afectate, dar s-au înregistrat atacuri și în Polonia, Marea Britanie, Germania, Franța, SUA, România, precum și alte țări, fiind vorba de o amenințare complexă, ce implică mai mulți vectori. Putem confirma că este folosit un exploit modificat „EternalBlue” pentru propagare, cel puțin în interiorul rețelelor corporate. Analiștii Kaspersky Lab investighează un nou val de atacuri ransomware care vizează organizații din toată lumea, iar rezultatele preliminare sugerează că este vorba de un ransomware care nu a mai fost întâlnit până acum, datele telemetrice ale companiei indicând aproximativ 2.000 de utilizatori atacați”, a spus Raiu.

Potrivit datelor inițiale furnizate de cercetătorii Kaspersky Lab, Ucraina a suferit peste 60% din atacuri. Bănci, agenții ucrainene, servicii poștale, distribuitorul de energie electică Ukrenergo, compania aeronautică Antonov, principalul aeroport, Borîspil, sistemul informatic al guvernului fiind țintele celui mai mare atac cibernetic din istoria țării, cum a fost calificat de un oficial de la Kiev.

Rusia a fost afectată cu peste 30% din atacuri, oficiali ai gigantului rus petrolier Rosneft comunicând că serverele sale i-au căzut victimă. La fel, producătorul de oțel rus Evraz.

Israelul a descoperit cum să oprească virusul care a afectat calculatoarele din toată lumea

Exemplele pot continua – Maersk Line, una dintre cele mai mari companii de transport maritim de containere din lume, FedEx Corp, au fost afectate considerabil.

In India, Guvernul Uniunii a anunțat că unul dintre terminalele de la Jawaharlal Nehru Port Trust (JNPT), lângă Mumbai, a fost afectat de ultimul atac malware. „Situația este monitorizată îndeaproape și vor fi inițiate noi măsuri pentru a face față situației din trafic pe baza unei evaluări pe parcursul următoarelor zile”, a declarat un reprezentant al companiei, adăugând că Dr. Gulshan Rai, șeful Securității Cyber a prim-ministrului, s-a deplasat la JNPT pentru a evalua situația.

WannaCry Q Magazine

Deși România a fost și ea ținta acestui atac cibernetic masiv, CERT-RO nu a precizat care au fost instituțiile sau organizațiile afectate.

 

Operare

Atacul nu este unul întâmplător, mai ales că vectorul de propagare a fost, în fapt, un pachet software utilizat pe scară largă de entitățile locale din Ucraina (principala țintă), unde operatori economici, structuri din administrația publică, fundații și alte instituții utilizau un anume program de „contabilitate”. Da, pare puțin veridic ca un atac de o asemenea anvergură și eficiență să fi utilizat ca vector de propagare software-ul de contabilitate, însă dacă ne raportăm la acea plajă extrem de largă de utilizatori, devine deja mult mai clar că țintele alese interacționează și se întrepătrund funcțional cu sisteme critice ale administrației de stat și ale vieții publice.

Cum s-a ajuns la asta? La 28 aprilie, președintele Ucrainei a dispus introducerea mai multor sancțiuni pentru companii din Federația Rusă, printre acestea numărându-se și compania „1C” (http://1c.ru/eng/), cea care produce software-ul de contabilitate utilizat de peste 300.000 de entități în Ucraina. Imediat, în presa din țara vecină, au început să apară sute de tutoriale și instrucțiuni legate de schimbarea acestui pachet software cu o versiune autohtonă, care ar fi „acceptată sau autorizată” de autoritățile fiscale pentru depunerea de declarații și formulare. În mare, campania de informare s-a axat pe promovarea pachetului M.E. Doc, care s-a dovedit a fi vectorul de răspândire, compania care produce acest software având o breșă de securitate exploatată prealabil și care a permis injectarea în executabilele software-ului a porțiunii de cod care mai târziu se va executa pe computerele victimelor.

12.500

de computere din Ucraina au fost infectate

O altă modalitate de infectare a fost metoda spear phishing prin trasmiterea de fișiere word având inserate macrouri malițioase.

16.500

este cifra globală evaluată în prezent

Dar forța distructivă nemaintâlnită a fost dată de capacitatea de mișcare laterală. Atât Microsoft, cât și Bitdefender și Kaspersky au confirmat capabilitățile de „pivotare laterală” ale acestui ransomware inserat în pachetul de update al software-ului de contabilitate M.E. Doc, capabilități care îl fac să se răspândească rapid.

Ransomeware-ul, denumit „Goldeneye/ Petya”, se bazează pe o variantă mai veche „Petya”, provenită din malware-ul „GoldenEye” din decembrie 2016. Noua variantă de ransomware include și exploit-ul care exploatează vulnerabilitatea din protocolul Server Message Block-SMB al Microsoft cunoscut sub numele de „EternalBlue”, creat de Administrația Națională de Securitate a Statelor Unite (NSA) și publicat pe internet de gruparea hackerilor „Shadow Brokers” în aprilie 2017. Ransomware-ul utilizează și un alt exploit „Shadow Brokers”-NSA, cunoscut sub numele de EternalRomance, care permite accesul la distanță. Unii cercetători au descoperit, de asemenea, dovezi că ransomware-ul poate profita de un alt instrument publicat de „ShadowBrokers”, cunoscut sub numele de EsteemAudit, care vizează în mod specific computerele care rulează Windows XP și Windows Server 2003. Microsoft a asigurat patch-uri pentru toate aceste vulnerabilități.

Golden Eye Q Magazine

Spre deosebire de alte versiuni de ransomware, care blochează datele utilizatorilor de pe calculatoarele infectate şi apoi solicită recompensă pentru a le reda accesul, noua versiune GoldenEye nu le permite victimelor să mai folosească dispozitivul infectat

„Petya” include mai multe componente care permit ca malware-ul să rămână persistent pe sistemele infectate, inclusiv permite atacarea Master Boot Record. Componenta „EternalBlue” îi permite să se multplice pe calculatoarele din rețeaua organizației infectate dacă aceasta nu are patch-urile corecte sau software antivirus / antimalware. Acesta este o modalitate ingenioasă de combinare a două componente malware pentru a genera programe cu efect multiplicat de distrugere și o capacitate sporită de persistență. Odată ce a intrat în rețea, ransomware-ul fură acreditările administrative, oferindu-i control asupra unor instrumente puternice de gestionare a sistemului, cum ar fi Windows PsExec și Windows Management Instrumentation.


MBR deține informațiile despre modul în care partițiile logice, care conțin sisteme de fișiere, sunt organizate pe acel mediu. De asemenea, MBR conține cod executabil pentru a funcționa ca încărcător pentru sistemul de operare instalat pe computer.


„Dacă un sistem cu suficiente privilegii administrative este compromis va instrui pur și simplu toate celelalte PC-uri la care are acces și pentru a rula malware-ul”, spunea Fabian Wosar, cercetător de securitate la firma de apărare Emsisoft, specializată în programe malware și ransomware. „De aceea o mulțime de administratori de sistem se sperie chiar acum.”

 

Motivație

„Malware-ul actual este de tip ransomware, solicitând o răscumpărare echivalentă cu 300 de dolari USD în bitcoins”, potrivit lui Bogdan Botezatu, analist senior la Bitdefender. Botezatu, care a avertizat să nu se plătească banii, a anunțat că operatorii malware au primit 27 de plăți în valoare de circa 7.000 de dolari în monedă digitală în doar cinci ore. „V-aș sfătui ferm să nu plătiți răscumpărarea, pentru că acest lucru păstrează un cerc vicios, în care hackerii obțin destui bani pentru a alimenta programe malware și mai complexe, de aceea răscumpărarea a devenit atât de populară în doar trei ani. „Este vorba de o afacere de miliarde de dolari și cu cât au mai mulți clienți, cu atât mai avansate vor fi atacurile viitoare de răscumpărare”.

Este curios că inițiatorii atacului nu au luat măsuri eficiente să se asigure că vor primi într-adevăr bani de la victime, fiind foarte probabil ca infecția să fie un simplu exercițiu sau poate execuția să nu fi fost atât de bine plănuită sub aspectul obținerii de foloase.

De fapt, hackerii s-au dovedit incapabili  să urmărească plățile în mod automat. Atacatorii au trimis victimei solicitarea de răscumpărare la una din cele patru adrese folosite, în loc să atribuie fiecărei ținte o adresă unică. Acest lucru a făcut plățile viitoare greu de urmărit și nu le-a permis infractorilor să descopere care victime (dintre sute de mii) au plătit și ar fi trebui să primească o cheie de decriptare.

Slăbiciunea sistemului de plată este dată de validarea manuală a plății, ceea ce înseamnă că, atunci când victimele plătesc răscumpărarea, ele trebuie să trimită confirmarea plății pe e-mail și primesc o cheie de decriptare. Nu numai că un sistem manual face mai greu pentru atacatori să obțină plata, ci poate reduce credința victimei că plata răscumpărării va duce la decriptare.

De asemenea, furnizorul de e-mailuri al hackerilor, Posteo, a tras conectorul conturilor, făcând confirmarea plății imposibilă.

Tocmai aceste criterii fac asemanarea cu „Petya” să fie superficială, deși există o partajare semnificativă a codului, adevărata „Petya” a fost o întreprindere criminală pentru a face bani. Acest ultim atac nu este cu siguranță conceput pentru a face bani, el este proiectat să se răspândească rapid și să provoace daune, ca o acoperire plauzibilă pentru ransomware.

Petya Q Magazine

În cazul unora dintre companii, Petya nu a afectat activitatea zilnică a acestora, însă în cazul altora există blocaje totale și urmează ștergeri masive de date pentru a curăța calculatoarele

Concluzia pe care o trage și compania românească Bitdefender este că „există dovezi în creștere referitoare la faptul că ransomware „GoldenEye/Petya” s-ar putea să nu fi vizat câștiguri financiare, ci mai degrabă distrugerea datelor.”

 

Atribuire

Nimeni nu poate afirma, în acest moment, că știe cine este în spatele atacului.

Este ușor să arați spre Rusia ca fiind sursa atacului, de vreme ce agresiunea a fost îndreptată, în principal, împotriva Ucrainei, așa cum au existat și voci care au indicat Coreea de Nord la atacul „WannaCry”.

„Acest atac a fost un act criminal ce se pretinde a fi altceva. Aş zice că suntem rezonabil siguri de faptul că în spatele lui se află Rusia”, a declarat pentru Financial Times, John Watters, şeful operaţiunilor de informaţii cibernetice a FireEye, una dintre cele mai mari firme de securitate cibernetică din lume.

John Watters a afirmat că FireEye îşi susţine această acuzaţie pe mai multe dovezi, incluzând aici informaţii cu privire la infrastructura şi reţelele de control folosite pentru lansarea acestui atac, ţintele lui, gradul de sofisticare a codului ce stă la baza malware-ului folosit în acest atac şi metoda de infestare iniţială.

Problema este că hackerii „Shadow Brokers” au publicat setul de instrumente NSA utilizate pentru a efectua atacul de luna trecută și cel de săptămâna aceasta, oricine le poate folosi – de la un stat-națiune la un hacker singuratic.

Originile și motivul atacului sunt neclare, dar timpul și locul atacului pot fi legate de o anumită simbolistică. Atacul a fost lansat în ajunul unei sărbători naționale care marchează adoptarea Constituției din 1996 a Ucrainei.

 

Contracarare

Amit Serper, cercetător israelian la compania Cybereason, a descoperit o modalitate de a bloca activarea software-ului de răscumpărare.

Amit Serper Q Magazine

Amit Serper

Spre deosebire de „WannaCry”, malware-ul actual nu se ocupă de criptarea anumitor fișiere, ci criptează  Master Boot Record , cu informații despre structura hard disk-ului și se utilizează pentru încărcarea sistemului de operare.


Master Boot Sector este un tip special de sector de boot la începutul dispozitivelor de stocare ale computerelor, cum ar fi discurile fixe(hard disk) sau discurile detașabile(floppy disk) destinate utilizării cu sistemele compatibile IBM PC.


Ce spune Serper  – „Când malware-ul începe să funcționeze, verifică dacă este rulat în trecut și  dacă a criptat folderele, astfel încât să nu le criptați de două ori”. Cercetătorul israelian a mai spus, pentru cotidianul Haaretz, că „se caută numele fișierului care l-a activat, fără extensie, în folder-ul  Windows.”

Potrivit lui Serper, dacă ransomware-ul găsește fișierul (C: windows perfc) îl folosește ca semn că computerul a fost deja atacat și, prin urmare, nu activează criptarea.

În trecut, în cazul unui hack folosind software-ul „WannaCry”, un cercetător britanic a descoperit că unele dintre versiunile de software au inclus un „switch kill” – un mecanism care împiedică activarea software-ului.

200.000

de victime în aproximativ 150 de țări au fost infectate de ransomeware-ul „WannaCry” sau Wanna Decryptor, care s-a răspândit la nivel global în luna mai 2017.

 

Serper a spus că  desscoperirea sa nu este chiar un „comutator de ucidere, ci mai mult un vaccin”.

În acest context, secretarul general al NATO, Jens Stoltenberg, a invocat un acord al aliaților NATO în privința declarării atacurilor cibernetice ca obiect al articolului 5 din Tratatul NATO. El a promis mai mult ajutor Ucrainei, pentru a crește capacitatea de apărare în fața acestor atacuri. „NATO ajută Ucraina în acest domeniu și a stabilit un fond de sprijin pentru a finanța programe care să-i ajute pe ucraineni să-și îmbunătățească apărarea cibernetică. Vom continua să facem asta, este important”, a spus el. 

România este cea care asigură gestionarea și implementarea „fondului de sprijin NATO pentru apărarea cibernetică a Ucrainei” prin Serviciul Român de Informații.

SRI Q Magazine

Purtătorul de cuvânt al SRI a spus că pentru protecţie este necesară o copie de siguranţă a datelor, actualizarea la zi a sistemului de operare şi un antivirus cu licenţă

De asemenea, este de menționat că la nivelul UE s-au eleborat reglementări referitoare la protecția sistemelor care prelucrează date în sistem automat

Protejarea împotriva acestui tip de atacuri impun din partea deținătorilor de infrastructuri cibernetice elaborarea unor planuri de securitate complexe, ca urmare a unei analize de risc care să permită identificarea vulnerabilităților și a măsurilor de contracarare adecvate. De remarcat că în zona privată există preocupări de asigurare a securității energetice, marile companii fiind sensibilizate de amenda care poate fi aplicată în caz de neconformare, și anume până la 20 mil. EURO sau 4% din cifra de afaceri.

 

Click pentru a comenta

Leave a Reply

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

To Top