Wyzwania cyberbezpieczeństwa w roku 2020 według SOPHOS – część I: Ransomware i spółka

Tak jak obiecałem, wracam z drugim artykułem, będącym serią podsumowań i przedstawieniem wyzwań w cyberbezpieczeństwie w 2020 roku. Dzisiaj drugi z producentów – SOPHOS. Z racji tego, że cały raport, który omawiam jest dość obszerny, dla swobody czytania podzielę go na kilka osobnych artykułów:

Część I: Ransomware i spółka;
Część II: Urządzenia mobilne w akcji – uwielbiamy we wszystko klikać;
Część III: Nie ma czasu tego wszystkiego analizować, czyli konsekwencje ignorowania „szumu” w sieci;
Część IV: Ochrona chmury – małe zaniedbania prowadzą do dużych problemów;
Część V: Uczenie maszynowe – ma pomagać, a samo jest obiektem ataków;
Część VI: Szklana kula, czy wróżenie z fusów? Prognozy na przyszłość.

Ransomware wchodzi na wyższy poziom

Ransomware wpływa na coraz większą liczbę ofiar z każdym rokiem, ale ma piętę achillesową: szyfrowanie jest procesem czasochłonnym, napędzanym przez moc obliczeniowa procesora komputera hosta. Potrzeba odpowiednio dużo czasu, aby  algorytmy szyfrujące bezpiecznie zaszyfrowały dane na całych dyskach twardych. W przypadku oprogramowania ransomware aplikacja powinna być niemalże tak samo dobrze zoptymalizowana pod kątem dwóch kluczowych czynników: aby uniknąć wykrycia przez nowoczesne narzędzia bezpieczeństwa oraz aby sam proces szyfrowania był jak najbardziej wydajny. Jako, że priorytetem staje się uniknięcie wykrycia, zdajemy się zauważać, że wielu atakujących używających oprogramowania ransomware rozwinęło głębokie zrozumienie tego, w jaki sposób produkty bezpieczeństwa sieci i urządzeń końcowych wykrywają lub blokują ich złośliwą aktywność. W związku z tym, ataki ransomware prawie zawsze zaczynają się od prób udaremnienia mechanizmów bezpieczeństwa, z różnym powodzeniem.

Atakujący odkryli również, że po uzyskaniu dostępu do stacji ofiary mają większa szansę na uzyskanie okupu, gdy atak szyfruje tylko taką ilość danych, których nie można odzyskać, aby było to warte zapłacenia okupu przez ofiarę. Chociaż cel oprogramowania ransomware jest zawsze taki sam – wejść w posiadanie ważnych dla firmy, czy użytkownika danych – o wiele łatwiej jest zmienić złośliwe oprogramowanie „z wyglądu” (zaciemnić kod źródłowy) niż zmienić jego ostateczny cel. Nowoczesne oprogramowanie ransomware coraz bardziej stara się ukrywać cel swojego działania poprzez zręcznie napisany kod.

Dodatkowym sposobem na utrudnienie wykrycia oprogramowania ransomware jest skompilowanie go dla jednej ofiary, ochrona unikatowym hasłem, czy też uruchamianie tylko w ściśle określonym środowisku, wykorzystując identyfikatory sprzętu komputerowego charakterystyczne dla konkretnej fizycznej maszyny (HWID).

Niektóre cechy oprogramowania ransomware są dla niego bardzo charakterystyczne (na przykład szyfrowanie plików po kolei), ale z drugiej strony jest to również domena programów takich jak VeraCrypt, które wcale ransomware’m nie są. W związku z powyższym wykrywanie ransomware’u wymaga obecnie analizy coraz większej liczby czynników, zależności i uwarunkowań.

Konta użytkowników z ograniczonym dostępem administracyjnym. Ale co z tego?

Chociaż dobrą praktyką jest nadawanie kontom użytkowników – a tym samym uruchamianym przez nich aplikacjom – ograniczonych praw dostępu, w dzisiejszym krajobrazie zagrożeń niewiele to pomaga. Nawet jeśli zalogowany użytkownik ma standardowo ograniczone uprawnienia, dzisiejsze oprogramowanie ransomware może korzystać z obejścia kontroli konta użytkownika (UAC) lub wykorzystać lukę w oprogramowaniu, chociażby tą oznaczoną CVE-2018-8453, w celu podniesienia uprawnień. Co bardziej ambitni i aktywni przeciwnicy, którzy atakują sieć odpowiednio przygotowani, przechwycą poświadczenie administracyjne, aby upewnić się, że szyfrowanie jest wykonywane przy użyciu uprzywilejowanego konta domenowego, aby uzyskać pełne uprawnienia dostępu do plików i zwiększyć szansę na sukces. Atakujący mogą próbować ukryć swoją obecność, podpisując cyfrowo swoje oprogramowanie przy użyciu certyfikatu Authenticode. W sytuacji, gdy oprogramowanie ransomware posiada poprawnie podpisany cyfrowo kod, oprogramowanie chroniące stacje końcowe może nie analizować tego kodu tak rygorystycznie, jak w przypadku innych plików wykonywalnych bez zweryfikowanego podpisu. Co więcej, bardzo często przy domyślnych ustawieniach, niejako „z automatu” ufamy programowi podpisanemu zaufanym certyfikatem.

Wygodne zarządzanie jest wygodne też dla złodziei

Coraz częściej obserwuje się atakujących wykorzystujących skradzione dane uwierzytelniające lub wykorzystujących luki w rozwiązaniach do zdalnego monitorowania i zarządzania (RMM), takich jak Kaseya, ScreenConnect czy BeyondTrust. Z rozwiązań RMM zwykle korzysta dostawca usług zarządzanych (MSP), który zdalnie zarządza infrastrukturą IT i / lub systemami użytkowników końcowych. Rozwiązania RMM zazwyczaj działają z wysokimi uprawnieniami, a po „wejściu do środka” oferują zdalnemu napastnikowi dostęp „z klawiatury własnego sprzętu”, co skutkuje ryzykiem „porwania” danych.  Dzięki takiemu rodzajowi dostępu, przestępcy mogą łatwo dystrybuować oprogramowanie ransomware z dowolnego miejsca na świecie, potencjalnie uderzając jednocześnie w wielu klientów MSP.

W związku z tym bardzo ważne jest, aby włączyć uwierzytelnianie wieloskładnikowe (MFA) na urządzeniu pełniącym rolę serwera do zarządzania i uruchomić ochronę przed manipulacją w oprogramowaniu na stacjach końcowych (tzw. tamper protection), ale należy mieć na uwadze, że świadomi przeciwnicy mogą próbować zalogować się do centralnego serwera, aby wyłączyć ochronę w całej sieci, bez podziału na konkretne maszyny.

Planowanie kluczem do sukcesu

Aby zwiększyć prawdopodobieństwo zapłacenia okupu, oprogramowanie ransomware próbuje zaszyfrować jak najwięcej dokumentów, czasami ryzykując lub celowo uszkadzając stację końcową. Program może zapobiegawczo nadawać priorytet szyfrowania biorąc pod uwagę rozmiary dysków lub dokumentów, aby zdążyć zaszyfrować najnowsze dokumenty, zanim zostanie wykryte przez oprogramowanie do ochrony stacji końcowych. Co więcej, złośliwe oprogramowanie może być zaprogramowane tak, aby szyfrować kilka dokumentów jednocześnie za pomocą wielu wątków, może ustalać priorytety dla mniejszych dokumentów, a nawet wyszukiwać i atakować dokumenty na zmapowanych zdalnych współdzielonych dyskach.

Cały powyższy artykuł pokazuje, że oprogramowanie ransomware nieustannie ewoluuje i stara się przegonić oprogramowanie zabezpieczające, stosując coraz bardziej wyrafinowane sztuczki, taki jak podpisy cyfrowe, skomplikowany kod, czy uruchamianie szyfrowania ze sporym opóźnieniem. Wszystko to pokazuje, że w 2020 roku będziemy mieli do czynienia z ransomware’m, który będzie jeszcze bardziej niebezpieczny i trudny do wykrycia.

źródło: opracowanie własne oraz Sophos Threat Report 2020: https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/sophoslabs-uncut-2020-threat-report.pdf