Ransomware Vs Wiper: Από τον Cryptolocker στον WannaCry, στη νέα εποχή της κυβερνοτρομοκρατίας

IT-Professional-Security-50-01

Ξεκίνησα να γράφω αυτό το άρθρο λίγες μέρες μετά την εκδήλωση του WannaCry και διερωτόμουν αν η κυβερνότρομοκρατία θα φτάσει στα επίπεδα της χερσαίας τρομοκρατίας που αντιμετωπίζει η Ευρώπη αυτή την εποχή. Μετά την εκδήλωση του Petya είμαι πια πεπεισμένη ότι όχι μόνο θα την φθάσει αλλά ίσως και θα την ξεπεράσει τόσο σε τακτικές όσο και σε αποτελεσματικότητα.

Πριν προλάβουμε να συνέλθουμε καλά-καλά από το κτύπημα του WannaCry το Μάιο, μετά από λίγο διάστημα ήρθαμε αντιμέτωποι με τον Petya. Θεωρητικά, πρόκειται για Ransomware αφού είναι ένα κακόβουλο λογισμικό που μπλοκάρει την πρόσβαση του θύματος στον υπολογιστή και τα δεδομένα του, απειλώντας να τον εκθέσει ή να τα διαγράψει αν δεν πληρώσει τα απαιτούμενα λύτρα. Παρόλο που μοιάζουν πολύ εκ πρώτης όψεως σαν επιθέσεις, αν τις εξετάσουμε καλύτερα θα δούμε ότι είναι κάτι πολύ περισσότερο από μια απλή νέα παραλλαγή της ήδη δοκιμασμένης τεχνικής πολλαπλασιασμού του WannaCry.

Σημαντικές ζημιές σε πολλές χώρες
Η χώρα που κτυπήθηκε πιο πολύ είναι η Ουκρανία αφού μεταξύ άλλων επηρεάστηκαν υπουργεία, Τράπεζες, ΔΕΚΟ και τηλεπικοινωνίες. Πρόκειται για μια καθαρά στοχευμέ-
νη επίθεση, αφού εκμεταλλεύτηκε μια αδυναμία στο λογιστικό σύστημα MEDoc. Το σύστημα αυτό χρησιμοποιείται εξαναγκαστικά από εταιρίες που έχουν δραστηριότητες και φορολογούνται στην Ουκρανία. Ο κατασκευαστής, το παραδέχτηκε αρχικά στην ιστοσελίδα τους, αλλά μετά διέψευσε κατηγορηματικά στην σελίδα του στο Facebook. Αφού μολύνει τον πρώτο υπολογιστή, ο Petya σκανάρει το τοπικό δίκτυο μολύνοντας άλλα μηχανήματα στο δίκτυο (ακόμη και αυτά που έχουν όλα τα απαραίτητα patches) χρησιμοποιώντας το EternalBlue SMB exploit και εργαλεία WMIC και PSEXEC.
Μέχρι και τα συστήματα του σταθμού παραγωγής πυρηνικής ενέργειας του Τσέρνοπιλ επηρεάστηκαν αν και δεν πιστεύεται να υπήρξε οποιοσδήποτε κίνδυνος διαρροής ραδιενέργειας. Το γεγονός ότι το κακόβουλο λογισμικό έχει ρυθμιστεί να περιμένει 5 ημέρες πριν από την ενεργοποίηση του την 27ης Ιουνίου, την ημέρα πριν από την ουκρανική αργία για τον εορτασμό της επικύρωσης του νέου συντάγματος του 1996, προσδίδει επίσης έμμεσα βάρος στην άποψη ότι η επίθεση ήταν στοχευμένη. Εκτός από τα θύματα στην Ουκρανία υπήρξαν και παράπλευρες συνέπειες εκτός της χώρας και περιλαμβάνοντας συνεργάτες και με ουκρανικούς οργανισμούς.
Άλλα θύματα του Petya ήταν μεγάλοι οργανισμοί με λειτουργίες mission critical όπως ο διαφημιστικός κολοσσός WPP και η γαλλική βιομηχανία Saint-Gobain. Για καλή τους τύχη όμως έθεσαν άμεσα σε λειτουργία πρωτόκολλα προστασίας αποτρέποντας τα χειρότερα. Δεν υπήρξε τόσο τυχερή όμως η ναυτιλιακή Maersk που ανέφερε ότι πολλά υποκαταστήματα και τμήματα της τέθηκαν εκτός λειτουργίας λόγω της επίθεση. Ο δε αυτοματοποιημένος τερματικός σταθμός
Maasvlakte II στο Rotterdam παρέλυσε εντελώς.

Ένα ιδιαίτερα εξελιγμένο malware με αρκετά ερωτηματικά

Οι δημιουργοί του συγκεκριμένου malware φαίνονται πολύ έμπειροι. Δανείστηκαν κώδικά από τον ιό Petya (πρωτοεντοπίστηκε το 2016), επαναχρησιμοποίησαν χαρακτηριστικά του WannaCry, προσθέτοντας password hash harvesting και άλλες δύο τεχνικές εξάπλωσης, απέκρυψαν κώδικα και χρησιμοποίησαν πλαστά πιστοποιητικά Microsoft. Το κίνητρο είναι προφανές αφού ζητάνε την καταβολή λύτρων. Ο μηχανισμός όμως που χρησιμοποιήθηκε για την καταβολή των λύτρων δημιουργεί ερωτήματα. Γιατί άραγε να χρησιμοποιεί ένα μοναδικό hard-coded Bitcoin wallet, και να αποστέλλει μήνυμα που περιέχει το bitcoin wallet ID καθώς και προσωπικό κωδικό εγκατάστασης του θύματος από μια διεύθυνση που σίγουρα ο πάροχος – η απόλυτα αξιόπιστη Posteo με έδρα το Βερολίνο – θα απενεργοποιήσει; 
Είναι σαν οι δημιουργοί να μην είχαν ποτέ πρόθεση να εισπράξουν λύτρα. Ίσως για αυτόν τον λόγο χαρακτηρίστηκε πιο πολύ ως Wiper παρά Ransomeware. Τα Wiper
είναι κομμάτια κακόβουλου κώδικα που αποσκοπούν στη μόνιμη διαγραφή του Master Boot Sector του υπολογιστή του θύματος . Ακόμα και μετά την καταβολή των λύτρων
είναι αμφίβολο αν θα μπορέσει το θύμα να επανακτήσει τα δεδομένα του, αφού ο Petya είτε από λάθος ή σκοπίμως δεν κρατάει αντίγραφο του MBR.

Απαιτείται προληπτική αντιμετώπιση
– Η Trend Micro διαθέτει τις λύσεις

Παρόλο τον θόρυβο, το συγκεκριμένο ransomware δεν φαίνεται να παρουσιάζει ιδιαίτερη απειλή για τα ελληνικά δεδομένα, εκτός φυσικά αν υπάρχει άμεση ή έμμεση σχέση με Ουκρανικά συμφέροντα. Αυτό όμως δεν πρέπει να μας καθησυχάζει, αφού μπορεί οποιανδήποτε στιγμή να γίνουμε ο επόμενος στόχος. Και δεν θα πρέπει πια να είναι ανησυχία μόνο των ανθρώπων της πληροφορικής, αλλά θα πρέπει να πάρουν την υπόθεση σοβαρά και όλοι οι φορείς που ασχολούνται με την προστασία του πολίτη. Η απώλεια προσωπικών δεδομένων είναι πολύ σοβαρό
θέμα και για μας τους καθημερινούς χρήστες μπορεί να μετριαστεί αν αντιμετωπιστεί προληπτικά με μια καθημερινή διαδικασία back-up και την χρήση ενός ολοκληρωμένου συστήματος ασφαλείας, που να περιλαμβάνει Antivirus και
Sandboxing άλλα και προληπτικό εικονικό patching. Σε πιο κρίσιμα περιβάλλοντα αλλάξουν κάποια πράγματα λόγω του όγκου και της ταχύτητας που ανταλλάζονται δεδομένα η θεωρία παραμένει ίδια.
Στην ιστοσελίδα http://bit.ly/2t7SRTZ θα βρούμε λεπτομέρειες από την Trend Micro για το πως μπορούμε να είμαστε έτοιμοι να αντιμετωπίσουμε τον Petya. Η Trend Micro διαθέτει λύσεις που ανταποκρίνονται στα σημεία των καιρών προστατεύοντας μικρές και μεγάλες επιχειρήσεις.