A biztonsági szakértők figyelmeztetik, hogy a Ransomware támadásainak áldozatainak minden jelszót meg kell változtatniuk
Amikor egy szervezetet sújt a ransomware, sok ember hajlamos azt gondolni, hogy az egyetlen gond, ami miatt aggódni kell, az adatok lehető leggyorsabb helyreállítása. A hét elején azonban a kiberbiztonsági riporter, Brian Krebs elmondta egy informatikai szolgáltató elleni ransomware támadás történetét, amelynek neve Virtual Care Provider Inc. (VCPI), és a folyamat során megmutatta nekünk, hogy hány egyéb tényező bekövetkezik játszani, ha a hackerek más emberek adatait túszul tartják.
Valószínűleg azzal kell kezdenünk, hogy a VCPI 45 állam több mint 100 ápolási otthonában és egészségügyi intézményében nyújt szolgáltatásokat. Nem szabad túl nehéz látnunk, hogy egy ilyen társaság IT-infrastruktúrájának megzavarása meglehetősen pusztító hatású lehet, ám a veszély valódi mértéke csak akkor válik nyilvánvalóvá, ha megnézzük a támadás kibontakozását.
Először észrevette november 17-i kora reggeli órákban, amikor a támadók felszabadították a Ryuk ransomware szoftvert a VCPI hálózatán. Röviddel ezután a felhőszolgáltató által tárolt összes adat rejtjelezve lett, és a VCPI-nek azt mondták, hogy rendelkezik a kulcsmal, amely kinyitja a fájlokat, ha egy fantasztikusan 14 millió dolláros értékű bitcoint fizet ki. Ez elég nagy váltságdíjat jelent, de ugyanúgy, mint a túszul tartott adatmennyiség.
Table of Contents
A támadás szörnyű hatással volt a VCPI-re és ügyfeleire
A VCPI ügyfelei bármi hozzáférést elvesztettek, az e-mailektől, a telefon- és a számlázási rendszerektől kezdve a bérügyletekig. A betegek nyilvántartása elérhetetlen volt, és egyes orvosok a támadás miatt nem tudtak rendelni létfontosságú gyógyszereket, ami azt jelentette, hogy egyes betegek számára a ransomware fertőzés halálos következményekkel járhatott. Néhány nappal az esemény után Karen Christianson, a VCPI vezérigazgatója azt mondta Brian Krebs-nek, hogy társaságának nincs erõforrása a váltságdíj kifizetésére, és hogy a támadás rendkívül jól megfogalmazhatja az adatszolgáltató üzlet végét.
A kezdeti előrejelzések azonban nem valósultak meg. Bár a VCPI ügyfelei jelentős problémákat tapasztaltak a támadás nyomán, a tárhely szolgáltatónak sikerült visszaállítania az adatokat. Valószínűleg a VCPI által elszenvedett PR-kár korlátozása érdekében Karen Christianson felkérte Brian Krebs-et, hogy írjon nyomon követési jelentést arról, hogy a társaság hogyan helyreállt. Krebs beleegyezett egy interjú ütemezésébe, de nem sokkal a dátum és az idő megegyezése után egy e-mailt kapott, amelyre azonnal felhívta a figyelmét.
A beszivárgás mértéke nyilvánvalóvá válik
Az üzenet állítólag a VCPI-t támadó csapkodó csoport tagjától származik, amely legalább Brian Krebs számára nem igazán olyan szokatlan. Az e-mail kérése azonban meglehetősen furcsa volt. A csaló megkérte Krebset, hogy emlékeztesse a VCPI vezérigazgatóját, hogy a váltságdíj kedvezményes ajánlata hamarosan lejár.
Az állítólagos ransomware operátor valahogy tudomást szerzett a tervezett interjúról, és Krebs kételkedett benne, hogy ez a tudás csak találgatásokon alapszik. A kiberbiztonsági riporter úgy gondolta, hogy a hanyagprogramok mellett a hackerek más eszközöket is használtak, amelyek hozzáférést biztosítottak a VCPI belső rendszereihez és kommunikációjához. Krebs felhívta a Hold Security szakértőit és felkérte őket, hogy segítsenek neki jobban megérteni a kompromisszum hatályát.
Elég hamar a vizsgálat bizonyítékokat szolgáltatott arra vonatkozóan, hogy a VCPI infrastruktúrájába elsőként beszivárogtak vissza 2018 szeptemberében, valószínűleg egy makró utasításokkal ellátott rosszindulatú Word-dokumentum felhasználásával. A Word-dokumentum letöltötte az Emotet-et, egy rosszindulatú programcsaládot, amely a féreghez hasonló tulajdonságainak köszönhetően lehetővé teszi, hogy oldalán mozoghassanak a hálózaton belül.
A hackerek jelszó-lopási figyelmeztetést folytattak, mielőtt telepítették a Ryuk ransomware-t
Miután az Emotet segítségével lábát alakított ki a VCPI hálózatában, a csónakok telepítették a Trickbotot - egy banki trójai üdvözölték sokoldalúságának és nagyszerű hitelesítő adatok lopásának képességei miatt. A Hold Security szakértőinek sikerült elhallgattatniuk a csalók közötti kommunikációt is, ami arra utal, hogy a VCPI-támadás során 300 webhely és online szolgáltató felhasználóneveit és jelszavát veszélyeztették. Ide tartoztak a jelszókezelési platformok, a banki, a számlázási és a bérszámfejtési portálok, a vényköteles menedzsment és az orvosi ellátási szolgáltatások, a szállítási és a postafiókok stb. hivatalosan az a tény, hogy az interjú röviddel ezután hirtelen véget ért, arra utal, hogy a vezérigazgatónak fogalma sem volt a lopásról.
Egy ideje a ransomware operátorok a szervezetekre összpontosítottak, nem pedig a végfelhasználókra. Már nem arról beszélünk, hogy a forgatókönyvek kidobják a szándékaikat, és gyors dolgot csinálnak. A legutóbbi támadásokat kifinomult hackeres csapatok hajtják végre, akiknek nagyon sok eszköz és erőforrás áll rendelkezésükre, és a ransomware telepítése néha csak a teljes művelet egy kis részét teszi ki. Az olyan szervezeteknek, mint a VCPI, meg kell tanulniuk, hogy a hackerek sokféle fronton eltalálhatók, és hogy a bejelentkezési adatok gyakran közmondásos, alacsonyan lógó gyümölcsök. Ezért, ahogyan Brian Krebs beszámolójában megállapította, a jelszavak megváltoztatásának mindenki számára ki kell esnie a prioritási listán, amely kibernetikus támadást szenvedett, függetlenül attól, hogy az esemény ransomware-e vagy sem.