Eksperci ds. Bezpieczeństwa ostrzegają, że ofiary ataków ransomware MUSZĄ zmienić wszystkie hasła

Gdy oprogramowanie jest atakowane przez oprogramowanie ransomware, wiele osób uważa, że jedyną rzeczą, o którą należy się martwić, jest jak najszybsze przywrócenie danych. Jednak na początku tego tygodnia Brian Krebs, reporter ds. Bezpieczeństwa cybernetycznego, opowiedział historię ataku oprogramowania ransomware na dostawcę usług IT o nazwie Virtual Care Provider Inc. graj, gdy hakerzy przetrzymują dane innych ludzi.

Prawdopodobnie powinniśmy zacząć od tego, że VCPI świadczy usługi dla ponad 100 domów opieki i zakładów opieki zdrowotnej w 45 stanach. Nie powinno być trudno zauważyć, że zakłócenie infrastruktury IT takiej firmy może być dość druzgocące, ale rzeczywisty zasięg zagrożenia nie staje się widoczny, dopóki nie przyjrzysz się przebiegowi ataku.

Po raz pierwszy zauważono go we wczesnych godzinach porannych 17 listopada rano, gdy napastnicy uruchomili oprogramowanie ransomware Ryuk w sieci VCPI. Wkrótce potem wszystkie dane hostowane przez dostawcę usług w chmurze zostały zaszyfrowane, a VCPI powiedziano, że może mieć klucz, który odblokowuje pliki, jeśli wypłaci oszałamiającą kwotę 14 milionów dolarów. To dość duży okup, ale z drugiej strony, podobnie jak ilość danych przetrzymywanych jako zakładników.

Atak miał przerażający wpływ na VCPI i jego klientów

Klienci VCPI stracili dostęp do czegokolwiek, od poczty e-mail, przez systemy telefoniczne i rozliczeniowe, po operacje płacowe. Dane pacjentów były niedostępne, a niektórzy lekarze nie byli w stanie złożyć zamówienia na niezbędne leki z powodu ataku, co oznaczało, że dla niektórych pacjentów infekcja ransomware mogła mieć fatalne konsekwencje. Kilka dni po incydencie Karen Christianson, dyrektor generalny VCPI, powiedziała Brianowi Krebsowi, że jej firma nie ma środków na zapłacenie okupu i że atak może bardzo dobrze oznaczać koniec dla firmy zajmującej się hostingiem danych.

Jednak wstępne prognozy się nie zmaterializowały. Chociaż klienci VCPI napotkali poważne problemy po ataku, dostawcy hostingu udało się przywrócić dane. Prawdopodobnie próbując ograniczyć ilość strat VCPI poniesionych przez PR, Karen Christianson poprosił Briana Krebsa o napisanie raportu uzupełniającego na temat tego, jak firma odzyskała zdrowie. Krebs zgodził się zaplanować wywiad, ale wkrótce po uzgodnieniu daty i godziny otrzymał wiadomość e-mail, która natychmiast zwróciła jego uwagę.

Zakres infiltracji staje się widoczny

Wiadomość rzekomo pochodzi od członka grupy hakerskiej, która zaatakowała VCPI, co, przynajmniej dla Briana Krebsa, nie jest wcale takie niezwykłe. Żądanie tego e-maila było jednak dość dziwne. Oszust poprosił Krebsa o przypomnienie CEO VCPI, że oferta rabatu na okup wkrótce wygaśnie.

Domniemany operator oprogramowania ransomware w jakiś sposób dowiedział się o zaplanowanym wywiadzie, a Krebs wątpił, aby ta wiedza była oparta na zgadywaniu. Reporter ds. Cyberbezpieczeństwa uważał, że oprócz oprogramowania ransomware hakerzy używali innych narzędzi, które dały im dostęp do wewnętrznych systemów i komunikacji VCPI. Krebs zadzwonił do ekspertów z Hold Security i poprosił ich o pomoc w lepszym zrozumieniu zakresu kompromisu.

Wkrótce dochodzenie dostarczyło dowodów, że infrastruktura VCPI została po raz pierwszy zinfiltrowana we wrześniu 2018 r., Najprawdopodobniej przy użyciu złośliwego dokumentu programu Word zawierającego instrukcje makr. Dokument Word pobrał Emotet, rodzinę szkodliwego oprogramowania znanego ze swoich robakopodobnych funkcji, które pozwalają mu poruszać się w bok w sieci.

Hakerzy zaczęli kradnąć hasła, zanim wdrożyli oprogramowanie ransomware Ryuk

Po użyciu Emotet do stworzenia przyczółka w sieci VCPI, oszuści wdrożyli Trickbot - trojana bankowego, który został okrzyknięty jego wszechstronnością i potężnymi możliwościami kradzieży danych. Specjalistom Hold Security udało się nawet przechwycić pewną komunikację między oszustami, co sugeruje, że podczas ataku VCPI nazwy użytkowników i hasła aż 300 stron internetowych i dostawców usług internetowych zostały naruszone. Obejmowały one platformy zarządzania hasłami, portale bankowe, rozliczeniowe i płacowe, zarządzanie receptami i usługi zaopatrzenia medycznego, konta wysyłkowe i pocztowe itp. Brian Krebs przedstawił dowody podczas wywiadu z Karen Christianson i chociaż VCPI nie przyznało się do tego oficjalnie fakt, że wywiad zakończył się nagle wkrótce po tym, sugeruje, że CEO absolutnie nie miał pojęcia o kradzieży.

Od pewnego czasu operatorzy oprogramowania ransomware koncentrują się raczej na organizacjach niż na użytkownikach końcowych. Nie mówimy już o dzieciach-skryptach, które chcą siać spustoszenie i szybko zarobić pieniądze. Nowsze ataki są przeprowadzane przez wyrafinowane ekipy hakerskie, które mają do dyspozycji całkiem sporo narzędzi i zasobów, a czasem wdrożenie oprogramowania ransomware stanowi jedynie niewielką część całej operacji. Organizacje takie jak VCPI muszą nauczyć się, że hakerzy mogą trafić na wiele różnych frontów, a dane logowania są często przysłowiowym nisko wiszącym owocem. Dlatego, jak stwierdził Brian Krebs w swoim raporcie, zmiana hasła powinna znaleźć się wysoko na liście priorytetów każdej firmy, która ucierpiała w wyniku cyberataku, niezależnie od tego, czy incydent dotyczył oprogramowania ransomware.