Οι ειδικοί ασφαλείας προειδοποιούν ότι τα θύματα των επιθέσεων Ransomware ΠΡΕΠΕΙ να αλλάξουν όλους τους κωδικούς πρόσβασης

Όταν ένας οργανισμός έχει πληγεί από ransomware, πολλοί άνθρωποι έχουν την τάση να πιστεύουν ότι το μόνο πράγμα που πρέπει να ανησυχείτε είναι η αποκατάσταση των δεδομένων το συντομότερο δυνατό. Ωστόσο, νωρίτερα αυτή την εβδομάδα, ο δημοσιογράφος Brian Krebs δήλωσε την ιστορία μιας επίθεσης ransomware σε έναν πάροχο υπηρεσιών πληροφορικής, ο οποίος πηγαίνει από το όνομα Virtual Provider Inc. (VCPI), ενώ κατά τη διάρκεια της διαδικασίας μας έδειξε πόσοι άλλοι παράγοντες εισέρχονται να παίζετε όταν οι χάκερ κρατούν όμηρα δεδομένα άλλων ανθρώπων.

Θα πρέπει ίσως να αρχίσουμε με το γεγονός ότι το VCPI παρέχει υπηρεσίες σε περισσότερες από 100 νοσοκομειακές μονάδες και εγκαταστάσεις υγειονομικής περίθαλψης σε 45 κράτη. Δεν πρέπει να είναι πολύ δύσκολο να διαπιστώσετε ότι η διακοπή της υποδομής πληροφορικής μιας τέτοιας εταιρείας θα μπορούσε να είναι αρκετά καταστροφική, αλλά η πραγματική έκταση του κινδύνου δεν είναι εμφανής μέχρι να ρίξετε μια ματιά στο πώς εκτυλίσσεται η επίθεση.

Παρατηρήθηκε για πρώτη φορά στις πρώτες πρωινές ώρες του πρωινού της 17ης Νοεμβρίου, όταν οι επιτιθέμενοι εξαπέλυσαν το ransomware Ryuk στο δίκτυο του VCPI. Λίγο αργότερα, όλα τα δεδομένα που φιλοξενούσε ο πάροχος υπηρεσιών cloud ήταν κρυπτογραφημένα και το VCPI είχε πει ότι μπορεί να έχει το κλειδί που ξεκλειδώνει τα αρχεία αν πληρώνει ένα εκπληκτικό bitcoin αξίας 14 εκατομμυρίων δολαρίων. Είναι ένα αρκετά μεγάλο λύτρο, αλλά και πάλι, έτσι είναι και το ποσό των δεδομένων που κρατήθηκε όμηρος.

Η επίθεση είχε τρομακτική επίδραση στο VCPI και στους πελάτες του

Οι πελάτες της VCPI έχασαν πρόσβαση σε οτιδήποτε από το ηλεκτρονικό ταχυδρομείο, μέσω τηλεφώνου και συστημάτων χρέωσης, σε πράξεις μισθοδοσίας. Τα αρχεία ασθενών ήταν απροσπέλαστα και ορισμένοι γιατροί αδυνατούσαν να δώσουν εντολές για ζωτικά φάρμακα λόγω της επίθεσης, γεγονός που σημαίνει ότι για ορισμένους ασθενείς η μόλυνση από ransomware θα μπορούσε να έχει θανατηφόρες συνέπειες. Λίγες μέρες μετά το συμβάν, ο Karen Christianson, Διευθύνων Σύμβουλος της VCPI, δήλωσε στον Brian Krebs ότι η εταιρεία της δεν διαθέτει τους πόρους για να πληρώσει τα λύτρα και ότι η επίθεση θα μπορούσε πολύ καλά να σημάνει το τέλος της επιχείρησης που φιλοξενεί δεδομένα.

Ωστόσο, οι αρχικές προβλέψεις δεν υλοποιήθηκαν. Αν και οι πελάτες της VCPI αντιμετώπισαν σημαντικά προβλήματα μετά την επίθεση, ο πάροχος φιλοξενίας κατάφερε να επαναφέρει τα δεδομένα. Πιθανόν σε μια προσπάθεια περιορισμού του ποσού της βλάβης που υπέστη η VCPI, ο Karen Christianson ζήτησε από τον Brian Krebs να συντάξει μια έκθεση παρακολούθησης σχετικά με τον τρόπο με τον οποίο ανακτήθηκε η εταιρεία. Ο Krebs συμφώνησε να προγραμματίσει μια συνέντευξη, αλλά λίγο μετά τη συμφωνία της ημερομηνίας και της ώρας, έλαβε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που πήρε αμέσως την προσοχή του.

Η έκταση της διείσδυσης καθίσταται εμφανής

Το μήνυμα φέρεται να προέρχεται από ένα μέλος της ομάδας πειρατείας που επιτέθηκε στο VCPI, το οποίο, τουλάχιστον για τον Brian Krebs, δεν είναι πραγματικά τόσο ασυνήθιστο. Ωστόσο, το αίτημα του ηλεκτρονικού ταχυδρομείου ήταν περίεργο. Ο απατεώνας ζήτησε από τον Krebs να υπενθυμίσει στον διευθύνοντα σύμβουλο της VCPI ότι η προσφορά έκπτωσης για τα λύτρα επρόκειτο να λήξει.

Ο φερόμενος φορέας εκμετάλλευσης ransomware γνώριζε με κάποιο τρόπο την προγραμματισμένη συνέντευξη και ο Krebs αμφέβαλε ότι αυτή η γνώση βασίστηκε σε εικασίες. Ο δημοσιογράφος στον τομέα της ασφάλειας στον κυβερνοχώρο πίστευε ότι εκτός από το ransomware, οι χάκερς είχαν χρησιμοποιήσει άλλα εργαλεία που τους είχαν δώσει πρόσβαση στα εσωτερικά συστήματα και τις επικοινωνίες του VCPI. Ο Krebs κάλεσε τους εμπειρογνώμονες της Hold Security και τους ζήτησε να τους βοηθήσουν να κατανοήσουν καλύτερα το πεδίο εφαρμογής του συμβιβασμού.

Πολύ σύντομα, η έρευνα έδειξε ότι η υποδομή του VCPI πρωτοεμφανίστηκε τον Σεπτέμβριο του 2018, πιθανότατα με τη χρήση ενός κακόβουλου εγγράφου του Word με μακροεντολές. Το έγγραφο του Word κατεβάσει το Emotet, μια οικογένεια κακόβουλων προγραμμάτων που έχει επισημανθεί για τις λειτουργίες του τύπου worm που του επιτρέπουν να μετακινείται πλαγίως μέσα σε ένα δίκτυο.

Οι χάκερ προχώρησαν σε κλοπή κλοπής κωδικού πρόσβασης πριν αναπτύξουν το ransomware Ryuk

Αφού χρησιμοποίησαν το Emotet για να δημιουργήσουν ένα foothold στο δίκτυο του VCPI, οι απατεώνες επέστρεψαν το Trickbot - ένας τραπεζικός trojan που χαιρετίστηκε για την ευελιξία του και την ισχυρή ικανότητά του να κλέβει τα διαπιστευτήρια. Οι εμπειρογνώμονες της Hold Security κατάφεραν ακόμη να υποκλέψουν κάποια επικοινωνία μεταξύ απατεώνων, γεγονός που υποδηλώνει ότι κατά τη διάρκεια της επίθεσης VCPI, τα ονόματα χρηστών και οι κωδικοί πρόσβασης για 300 ιστότοπους και παρόχους υπηρεσιών σε απευθείας σύνδεση διακυβεύονταν. Αυτές περιλάμβαναν πλατφόρμες διαχείρισης κωδικού πρόσβασης, τραπεζικές υπηρεσίες, χρεώσεις και πύλες μισθοδοσίας, διαχείριση συνταγών και υπηρεσίες ιατρικών προμηθειών, ναυτιλιακές και ταχυδρομικές αποστολές κλπ. Ο Brian Krebs έφερε τα στοιχεία κατά τη διάρκεια της συνέντευξης με την Karen Christianson και παρόλο που το VCPI δεν το παραδέχτηκε επίσημα, το γεγονός ότι η συνέντευξη τερμάτισε απότομα λίγο μετά από αυτό υποδηλώνει ότι ο Διευθύνων Σύμβουλος δεν είχε απολύτως καμία ιδέα για την κλοπή.

Για μια στιγμή τώρα, οι φορείς εκμετάλλευσης ransomware επικεντρώθηκαν σε οργανισμούς και όχι σε τελικούς χρήστες. Δεν μιλάμε πλέον για script-kiddies που θέλουν να προκαλέσουν κάποιο χάος και να κάνουν ένα γρήγορο buck. Οι πιο πρόσφατες επιθέσεις εκτελούνται από εξελιγμένα πληρώματα πειρατείας που διαθέτουν αρκετά εργαλεία και πόρους και μερικές φορές η ανάπτυξη του ransomware είναι μόνο ένα μικρό μέρος της όλης ενέργειας. Οργανισμοί όπως το VCPI πρέπει να μάθουν ότι οι χάκερ μπορούν να χτυπήσουν σε πολλά διαφορετικά μέτωπα και ότι τα δεδομένα σύνδεσης είναι συχνά τα παροιμιώδη φρούτα χαμηλής ανάρτησης. Αυτός είναι ο λόγος για τον οποίο, όπως καταλήγει ο Brian Krebs στην έκθεσή του, η αλλαγή των κωδικών πρόσβασης πρέπει να είναι υψηλή στον κατάλογο προτεραιότητας για κάθε εταιρεία που έχει υποστεί cyberattack, ανεξάρτητα από το αν το περιστατικό αφορά το ransomware.