Wyłączył antywirusa, bo chciał uruchomić cracka – ransomware zaszyfrowało pliki uczelni

11 maja, 2021

Firma Sophos opisuje ciekaw przypadek niefrasobliwości użytkownika i niedopełnienia obowiązków na dużą skalę przez dział informatyczny uniwersytetu. Na jednej z europejskich uczelni zaangażowanej w badania związane z Covid-19, pewien student uruchomił cracka, aby uzyskać dostęp do pełnej wersji programu (używanego do wizualizacji danych). Licencja kosztowała kilkaset dolarów, dlatego nie była na pierwszym miejscu na liście najpilniejszych wydatków uczelni.

Pracownicy odpowiedzialni za bezpieczeństwo IT popełnili kilka rażących błędów. Przede wszystkim nie zabezpieczyli zdalnych sesji logowania dodatkowych uwierzytelnieniem – studenci mogli się logować do firmowej sieci zaledwie loginem i hasłem.

Drugim błędem było brak separacji sieci od kluczowych zasobów, gdzie uruchomione były krytyczne systemy, aplikacje oraz znajdowały się wrażliwe dane.

Trudniejszym zadaniem w egzekwowaniu bezpieczeństwa było brak możliwości weryfikowania komputerów uczniów, którzy łączyli się do sieci uczelni, co zapoczątkowało incydent.

Ostatecznie student na własną rękę poszukał darmowej alternatywy programu używanego w pracy. I znalazł. Tylko, że program nie był legalny – to była piracka kopia z crakiem.

O komentarz poprosiliśmy inżyniera produktów Sophos w Polsce:

Zazwyczaj atak jest efektem kombinacji ludzkich błędów, braku widoczności sieci i braku odpowiedniej ochrony. Bardzo często to właśnie użytkownicy są najsłabszym ogniwem w całym łańcuchu zabezpieczeń. Kluczowe są trzy elementy: ochrona, wykrywanie i reagowanie. Zadaniem administratorów jest przede wszystkim zapewnienie bezpieczeństwa użytkowników, obsługiwanych systemów i całej infrastruktury sieciowej. Podstawowym krokiem powinna być blokada możliwości dokonywania zmian konfiguracyjnych w systemie antywirusowym. Dodatkowo administrator powinien posiadać narzędzia, które pozwalają aktywnie wyszukiwać i przeciwdziałać zagrożeniom wewnątrz sieci, np. weryfikować wszystkie sesje RDP jak miało to miejsce podczas ataku na wspomnianym uniwersytecie.

Sophos EDR zapewnia narzędzia do zadawania szczegółowych pytań podczas polowania na zagrożenia, które znajdują się na stacjach końcowych oraz serwerach. Z poziomu konsoli centralnej możliwy jest zdalny dostęp do urządzeń, aby przeprowadzić dalsze badania, zainstalować lub odinstalować oprogramowanie lub rozwiązywać wszelkie problemy. Rozwiązanie Sophos łączy technologię EDR z ochroną punktów końcowych i serwerów. Razem blokują one zdecydowaną większość zagrożeń, jeszcze zanim wymagają one ręcznego zbadania i reakcji. Wzmacniania to działania z zakresu bezpieczeństwa IT i zmniejsza obciążenie pracą administratorów, którzy mogą się skupić na największych potencjalnych zagrożeniach. Oczywiście jest to jednak tylko jedna z warstw ochrony. Nie należy zapominać o dobraniu odpowiednich urządzeń na brzegu sieci oraz kluczowej dla bezpieczeństwa systemu edukacji użytkowników.

Grzegorz Nocon Sophos

Grzegorz Nocoń
Inżynier systemów w firmie Sophos

Totally not a virus. Trust me. I’m a dolphin!

W kilku krokach incydent można opisać tak:

  • Student znalazł pełną wersję programu z crackiem. Uruchomił plik. Antywirus w porę zablokował szkodliwe działanie.
  • „Crack nie może być wirusem”, dlatego student wyłączył program antywirusowy.
  • Zapora sieciowa zablokowała podejrzane połączenie internetowe, więc firewall został wyłączony. Za trzecim razem udało się uruchomić plik.
jestem delfinem

I udało się zainstalować trojana, który posiadał zdolność keyloggera (rejestrował naciśnięcia klawiszy, wykradał dane z przeglądarki, pliki cookie, dane ze schowka systemowego). Niedługo potem wykradł logi i hasło do sieci uniwersytetu.

13 dni później (jak opisuje firma Sophops analizująca incydent) połączenie przez protokół RDP zostało zarejestrowane przy użyciu loginu studenta. Po kolejnych 10 dniach na poświadczeniach studenta uruchomiono ransomware Ryuk.

Notka z okupem od ransomware Ryuk
Notka z okupem od ransomware Ryuk. Źródło: malwarebytes.com.

Firma Sophos ma dowody, że przestępca logował się z komputera, na którym używano języka rosyjskiego. Za atakiem może stać grupa hakerów Grim Spider (według nazewnictwa CrowdStrike) albo TEMP.MixMaster (według FireEye). Na stronie 249 w „encyklopedii” o grupach hakerskich jest wzmianka o ransomware Ryuk – od 2018 roku jest ono używane przez grupę przestępczą eCrime, która atakuje głównie duże organizacje.

W zeszłym roku to właśnie ransomware Ryuk było jednym z najgroźniejszych, aktywnych odmian oprogramowania szyfrującego. Co więcej do najczęściej atakowanych krajów należała Polska – w 2019 roku zajmowaliśmy niechlubne 3 miejsce pod względem łącznej liczby detekcji. Odmiana Ryuk rozprzestrzenia się przez LAN infekując urządzenia z systemem operacyjnym Windows.

Cracki, aktywatory, hacktool’e

Trzeba uważać, ponieważ takimi plikami posługują się autorzy złośliwego kodu. Zwabiają na przygotowane strony internetowe darmowym dostępem do komercyjnego oprogramowania.

kmsauto, kmspico
Jeden z aktywatorów KMSAuto.

W połowie zeszłego roku odnotowaliśmy, że użytkownicy w Polsce bardzo często używają tego rodzaju narzędzi do przełamywania zabezpieczeń programów, systemów, informacji o licencjach oprogramowania używanego do aktywacji produktów firmy Microsoft.

Według danych statystycznych firmy Kaspersky na komputerach użytkowników z Polski narzędzia KMSAuto i KMSpico były (i nadal są) najczęściej wykrywanymi szkodliwymi programami. Od drugiego do ósmego miejsca w „TOP10 infekcji w Polsce” rozpychają się odmiany HackTool.Win32.KMSAuto.gen. Wykrywanie różnych wersji tych podejrzanych aplikacji przez rozwiązania firmy Kaspersky stanowią prawie 32% wszystkich zdarzeń bezpieczeństwa.

Uruchamiając legalne i na pewno nieinwazyjne cracki, keygeny, narażamy się na zainfekowanie komputerów bliżej nieokreślonym złośliwym oprogramowaniem. Może to być ransomware, keylogger, a nawet trojan bankowy.

Czy ten artykuł był pomocny?

Oceniono: 2 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]