Novi “AKO MedusaReborn v 1.1.” ransomware hara internetom, poslovnjaci – oprez!

normabel.com

normabel.com

Ucjene pršte internetom - pogođena i lijepa naša
Share on facebook
Share on twitter
Share on email
Share on telegram

Razgovarali smo danas s predstavnicima tvrtke iz Zagreba koja se bavi između ostalog i mrežnom sigurnošću, koji su ovih dana imali pune ruke posla s napadom na računalnu mrežu jedne tvrtke iz primorja koju ćemo iz objektivnih razloga zadržati anonimnom.

Naime, vjerojatno ste čuli za pojam “Ransomware” u posljednje vrijeme u medijima, kada se dosta govorilo o napadu na INA-u i njene servere, backup servere i podatke.

Unatrag nekoliko dana pojavila se novi tip ransomwarea pod nazivom “AKO MedusaReborn” u svojoj verziji 1.1. (imali smo prilike vidjeti i verziju 0.5 na djelu).

Što je to ransomware?

Ransomware je zlonamjeran software, koji kriptira, odnsno šifrira podatak, odnosno svaku pojedinu datoteku na kompromitiranom mrežnom sustavu, i kako bi je dekriptirali, potrebno je platiti otkupninu, odnosno nakon što ste putem vašeg vlastitog računala na desktopu primili “blackmail” odnosno ucjenu – da platite određeni iznos kako bi dobili alat i upute kako dekriptirati datoteke.

Kad govorimo o AKO MedusaReborn, tada je važno napomenuti da se ovaj zlonamjerni alat u pravilu ne koristi kako bi ciljao računala privatnih korisnika, već poslovnih računalnih mreža, odnosno uređaja (računala i poslužitelja) koji se nalaze unutar neke poslovne mreže, a između ostalog povezana je i na otvoreni internet.

Kako se napadači dovedu u situaciju da preuzmu kontrolu nad računalnom mrežom?

U posljednjem primjeru na tvrtci iz Rijeke, napadači su ostvarili pristup sustavu na način da su putem RDP-a (Remote desktop connectiona), primjenom bruteforce alata, “razbili” vrlo jednostavnu lozinku za administratorski pristup i to preko Windows 7 operativnog sustava koji odavno nema sigurnosnu podršku, niti se za taj OS izdaju sigurnosne zakrpe (potvrđeno uvidom u log zapise RDP-a unutar samih WIndowsa).

Dakle žrtva je sama stvorila preduvjete da postane žrtva, neprikladnim operativnim sustavom za poslovne aktivnosti i manipulaciju mrežom, te jednostavnom lozinkom poput “maza1234”. Interni VPN nije postojao – dakle svi sustavi su bili izloženi otvorenom internetu.

Ne znamo da li je isti slučaj bio i u INA grupaciji, pošto nismo upućeni u razvoj događanja i metodu napada, ali ako su posjedovali samo jedno računalo unutar mreže sa neažuriranim Windows 7 operativnim sustavom, moguće je da im je baš taj stroj bio “ulaz” za napad, kaže naš sugovornik i navodi kako za ovakav tip napada na ažuriranim sustavima iza VPN-a i hardwerskih Firewalla uz kvalitetan 24/7nadzor i audit mrežnih sustava, prikladnom metodom izrade backupova i mjesta njihove pohrane, moguće da je napadu prethodila “krtica” u vlastitim redovima – ili ljudska pogreška – međutim to samo možemo nagađati bez da imamo uvid u stanje.

Uglavnom, nakon što je ostvarena kontrola nad sustavom putem RDP-a, možete raditi što god želite. U našem slučaju, napadači se nisu odlučili na brisanje podataka, već na kriptiranje svih datoteka osim nekih izvršnih datoteka poput .exe datoteka. Prilikom enkripcije – sam sadržaj datoteka se kriptira, i dodaje se ekstenzija potpuno slučajnog odabira od 6 znamenki, tako da npr. datoteka koju su vam kriptirali a zvala se datoteka.txt sada se zove npr. datoteka.txt.2Vz1vP

Zašto vam antivirusi i firewallovi neće pomoći kod ovakvog napada putem Remote desktop connectiona?

Jednostavno zato jer napadač prilikom ostvarivanja pristupa putem RDP-a, a kako ima kontrolu nad svime, isključuje Windows Defender, isključuje antivirusne ili antimalware programe, prilagođava ili isključuje bilo kakav oblik firewall zaštite i potom instalira maliciozni program, u ovom slučaju “AKO MedusaReborn 1.1.” – ako ga niste baš uhvatili na djelu “kako vam kursorom klika po ekranu i upisuje naredbe u CMD”- program se vrti u pozadini i kriptira podatke na tvrdom disku bez da ste toga svjesni.

Na desktopu (radnoj površini) ostavlja vam datoteku zanimljiva naziva AKO-readme.txt i u gotovo sve kriptirane direktorije na disku datoteku sa randomiziranim prefiksom i sadržaja u nazivu “id.key”

U datoteci AKO-readme.txt postoji i uputa kako dekriptirati sustav, odnosno na koji način platiti otkupninu kako bi dobili povratno “dekripter” koji u sebi ima ugrađeni dekripcijski ključ.

Nakon što obavite sve radnje iz zahtjeva, pošteni napadači dosad su u svim slučajevima uistinu poslali alat za dekripciju koji se sastoji od samo jedne datoteke manje od 1 Mb, naziva unlocker.exe koji se može raščlaniti na 4 datoteke unutar izvršnog fajla – .data .rdata.reloc .text – ove datoteke su naravno također potuno kriptirane, trenutno nepoznatom metodom i u trenutku kada se metoda kriptiranja utvrdi, razvit će se alat u koji ćete moći unijeti vlastiti ključ i dekriptirati kriptirane datoteke – zato, u slučaju da ste bili žrtva ovakvog napada, sačuvajte podatke, jer će se prije ili kasnije iste moći dekriptirati.

Naši sugovornici rade na otkrivanju tipa enkripcije zajedno sa ostalim svjetski poznatim analitičarima malicioznih programa, te se nadamo da će uskoro uspjeti i olakšati muke mnogima koji su se već našli u ovom problemu.

Ono što je bitno naglasiti, trenutačno ne postoji razvijen softvare za dekriptiranje datoteka zaključanih ovom verzijom ransomware softwarea i još se uvijek čeka na dovršetak razvoja takov alata za samopomoć.

Za one koji žele znati više

U datoteci s uputama za plaćanje otkupnine koja se pojavila na radnoj površini postoji dugački “kod” za kojeg napadači navode kako ga je potrebno upisati na određenom mjestu na internetu kojem se može pristupiti samo browserom koji u potpunosti anonimizira komunikaciju pod nazivom TOR, zatim vam navode randomiziranu URL adresu koja završava sa prividno TLD-om .onion a gdje se otvara sučelje u koje je potrebno unijeti kod unutar same datoteke.

Naši sugovornici otkrili su u suradnji s ostalim kolegama u svijetu da je taj kod zapravo base64 kodiran i kada se dekodira, dobiju se određeni podatci – primjer prenosimo s interneta kako bi zaštitili tvrtku koja je stradala u ovom postupku:

Sadržaj blackmail poruke i Personal ID kod
Izgled dekodiranog base64 sadržaja | u kojem se može iščitati verzija napadačkog softvarea, što može pomoći u dekriptiranju podataka kasnije.

S obzirom da su ovi napadi sve češći kako kod nas tako i u susjedstvu, pratit ćemo temu i izvještavati kako dođemo do novih korisnih informacija.

Zanimljvo je znati i da ovi koji su nažalost platili otkupninu, iako je alat za dekriptiranje odradio, otprilike 20% datoteka ostale su trajno oštećene.

N.P.

Share on facebook
Share on twitter
Share on email
Share on telegram