RobbinHood - Ransomware, который приносит свою собственную ошибку

Ransomware является одной из самых страшных проблем киберпреступности современной эпохи.

Идея вредоносных программ, которые шифруют ваши файлы и требуют денег, чтобы вернуть их, не нова - первая широко распространенная атака произошла еще в 1989 году, - но за последние несколько лет масштабы угрозы резко изменились.

Примерно до 2010 или 2011 года вымогателей было немного.

… Пока мошенники, наконец, не выяснили, как добывать деньги у своих отчаявшихся жертв, благодаря анонимности (более или менее), предоставляемой «Темной паутиной», и не отслеживаемым  платежам, предлагаемым за счет использования криптовалют.

Мошенники  за Cryptolocker Ransomware, смогли заработать миллионы, возможно даже сотни миллионов долларов, заразив сотни тысяч пользователей и предприятий, а затем потребовав 300 долларов, чтобы разблокировать файлы каждого пользователя.

Но этот подход недавно изменился: преступники, вымогают большие деньги, проводя меньше, но гораздо крупные атаки.

В наши дни операции вымогателей очень часто направлены на целые сети или даже на централизованно управляемые коллекции сетей.

Идея состоит в том, что мошенники все еще планируют взломать сотни или тысячи компьютеров во время атаки, но вместо того, чтобы шантажировать владельца каждого компьютера, чтобы заплатить несколько сотен долларов, они шантажируют операторов всей сети, чтобы заплатить огромную единовременную сумму.

Эти суммы обычно составляют от 50 000 до 5 000 000 долларов, и жертвам иногда не оставалось ничего другого, кроме как заплатить, потому что весь их бизнес остановился.

Рис.1

Общесетевые атаки

Хорошая новость заключается в том, что для организации атаки по всей сети мошенники должны сначала проникнуть в вашу сеть.

Им также обычно требуется полный контроль над одним или несколькими компьютерами, чтобы использовать их для разведки; они должны рекламировать себя системным администраторам, чтобы атаковать все ваши устройства, и им нужно потратить время на планирование вашей сети и подготовку к финальной атаке.

Другими словами, в процессе подготовки к возможной афере в миллион долларов мошенники должны рискнуть быть замеченными, отвергнутыми и вообще ни чего не получившими. (Мошенники за 300 $ все еще могут заработать немного денег, даже если они преуспеют только против крошечной доли своих целей.)

Плохая новость заключается в том, что если мошенники все-таки входят и делают себя «сисдаминами», они в значительной степени превратятся в то, что вы могли бы назвать «альтернативным ИТ-отделом», поэтому они могут предпринять шаги, чтобы уменьшить риск быть обнаруженным.

Мошенники могут также попытаться деактивировать любые общесистемные средства защиты от вторжений, которые вы установили - в конце концов, они администраторы, поэтому теоретически они могут отключать, сбрасывать или переконфигурировать все, что вы делали ранее. Заблокировать вашу сеть.

Однако даже при наличии полномочий по администрированию домена не так легко все взять на себя.

Например, многие продукты безопасности включают защиту от несанкционированного доступа, которая затрудняет деактивацию программного обеспечения, по крайней мере, не оставляя достаточно видимого следа.

Правильное внесение исправлений затрудняет мошенникам обход безопасности, поскольку вы избавляетесь от уязвимостей программного обеспечения, которые они могли бы использовать.

Аналогичным образом, системные службы часто хранят критически важные файлы в постоянном использовании, что означает, что их нелегко удалить или изменить, что мешает мошенникам взломать их при атаке ransomware.

Это может быть разницей между требованием выкупа, которое вы не можете избежать, потому что все зашло в тупик, и требованием, которое вам «удобно» игнорировать, потому что ваши важные данные не были затронуты, и поэтому на непрерывность вашего бизнеса это не повлияло.

Мошенники придумали ярлык, который значительно облегчает им обход вашей защиты от несанкционированного доступа и позволяет получить доступ даже к заблокированным файлам.

Вместо того, чтобы охотиться на незащищенные уязвимости на ваших компьютерах ...

... мошенники просто приносят свою ошибку старом драйвере!

Короче говоря, мошенники включили старый, но с ошибками драйвер ядра Windows вместе со своей вредоносной программой.

Сам по себе драйвер не является вредоносным ПО, но он является официальным программным компонентом от производителя материнских плат Gigabyte, поэтому он подписан цифровой подписью поставщика, а сама подпись засвидетельствована как официальная.

Итак, Windows загрузит драйвер из-за подписи…

… После чего мошенники могут использовать ошибку в подписанном драйвере, чтобы обманом заставить Windows загрузить свой собственный, неподписанный и вредоносный драйвер ядра!

А их драйвер предоставляет им низкоуровневый доступ к ядру и к системным процессам и файлам, что означает, что они могут убивать программы, которые им не нужны, и удалять файлы, которые обычно блокируются.

Такое поведение ядра может вызвать проблемы, такие как программы, которые перестают работать должным образом, или данные, которые повреждены, или - Синий экран смерти.

К тому времени, когда вы заметите какие-либо временные проблемы, вызванные их вредоносным драйвером, вы почти наверняка столкнетесь с гораздо более серьезной проблемой, а именно с тем, что большинство - или, возможно, все - ваши файлы данных на большинстве - и возможно, на всех - компьютеры в вашей сети будут взломаны.

И только мошенники будут иметь ключ расшифровки, чтобы разблокировать зашифрованные файлы.

Что делать?

К счастью, modus operandi загрузки драйвера ядра с ошибками для загрузки вредоносного драйвера ядра не может быть просто выполнен по желанию, поэтому этот трюк атаки «принеси свою ошибку» не дает обманщику способа имплантировать любую старые вредоносные программы на вашем компьютере в любое время.

Мошенники уже должны быть администраторами вашей сети, чтобы использовать это «предательство» драйвера ядра.

Вести  оборону в глубину. В атаке RobbinHood есть много предварительных шагов - включая загрузку подозрительных драйверов ядра - которые должны предпринять мошенники. Они должны преуспевать на каждом этапе, чтобы достичь того, чего они хотят, тогда как вы можете остановить их, заблокировав только один из предшественников.

Контролируйте свои точки входа. Во многих сетевых атаках вымогателей, которые мы расследуем, злоумышленники проникают, используя порталы удаленного доступа (в частности, Windows RDP, сокращение от Remote Desktop Protocol), которые вы открыли для законных целей, но затем забыли защитить должным образом.

Предпочитают двухфакторную аутентификацию (2FA). Множество вторжений вымогателей становится возможным благодаря слабым или легко угадываемым паролям или паролям, которые были обнаружены при предыдущем взломе данных. 2FA означает, что для входа в систему нужен одноразовый код, который каждый раз отличается, что усиливает вашу защиту от взлома паролей.

Пересмотрите свою стратегию резервного копирования. Соблазнительно полагаться на «живые» резервные копии, которые происходят в режиме реального времени, такие как зеркальное отображение файлов в общих сетевых ресурсах или копирование измененных файлов в напрямую доступное облачное хранилище. Но сегодняшние мошенники-вымогатели делают все возможное, чтобы найти любые онлайн-зеркала или резервные копии, которые у вас есть. Они либо сначала удаляют эти резервные копии, либо скремблируют их «вымогателями» вместе со всем остальным. Держите в автономном режиме, резервные копии вне сайта.

Смотри свои логи. Попадание в сеть, продвижение к администратору и поиск уже имеющихся средств безопасности почти всегда оставляют некоторые следы. Во многих атаках, которые мы расследуем, мошенники были задним числом очевидны из-за сочетания предупреждений брандмауэра, предупреждений об изменении учетной записи, антивирусных обнаружений и многого другого. Если вы не собираетесь просматривать свои журналы, то, возможно, не стоит их хранить в первую очередь.

Патч рано, патч часто. В этом случае мошенники «принесли свою ошибку», но им все равно нужно было обладать полномочиями сисамдина. Не облегчайте им жизнь, оставляя дыры в безопасности открытыми, чтобы мошенники могли получить необходимые им преимущества.