Cyberatak to celowa i złośliwa próba uzyskania nieautoryzowanego dostępu do systemu komputerowego lub sieci poprzez istniejące luki w zabezpieczeniach. Można to zrobić w celu kradzieży poufnych informacji i zakłócenia normalnego działania.
W ostatnim czasie oprogramowanie ransomware stało się popularnym narzędziem cyberataków wśród cyberprzestępców. Oprogramowanie ransomware jest zwykle rozpowszechniane między innymi za pośrednictwem wiadomości e-mail typu phishing, plików do pobrania typu drive-by download, pirackiego oprogramowania i protokołu zdalnego pulpitu.
Gdy komputer zostanie zainfekowany oprogramowaniem ransomware, ransomware szyfruje krytyczne pliki na komputerze. Następnie hakerzy żądają okupu za przywrócenie zaszyfrowanych danych.
Cyberataki mogą zagrozić bezpieczeństwu narodowemu kraju, sparaliżować operacje w kluczowych sektorach gospodarki oraz spowodować ogromne szkody i poważne straty finansowe. Tak właśnie stało się z cyberatakiem ransomware WannaCry.
12 maja 2017 r. ransomware o nazwie WannaCry, które prawdopodobnie pochodzi z Korei Północnej, rozprzestrzeniło się na całym świecie i zainfekowało ponad 200 000 systemów komputerowych w ponad 150 krajach w ciągu niecałych dwóch dni. WannaCry atakował systemy komputerowe z systemem operacyjnym Windows. Wykorzystuje lukę w protokole bloku komunikatów serwera systemu operacyjnego.
Jedną z największych ofiar ataku była brytyjska Narodowa Służba Zdrowia (NHS). Zainfekowanych zostało ponad 70 000 ich urządzeń, w tym komputerów, sal teatralnych, sprzętu diagnostycznego i skanerów MRI. Lekarze nie mogli uzyskać dostępu do swoich systemów ani dokumentacji pacjentów potrzebnych do obsługi pacjentów. Atak ten kosztował NHS blisko 100 milionów dolarów.
Tak źle może być. Jednak sytuacja może się znacznie pogorszyć, zwłaszcza w przypadku nowego i bardziej niebezpiecznego oprogramowania ransomware, takiego jak BlackCat, które pozostawia po sobie ścieżkę pełną ofiar.
Spis treści:
Oprogramowanie ransomware BlackCat
Ransomware BlackCat, określane przez jego twórców jako ALPHV, to złośliwe oprogramowanie, które po zainfekowaniu systemu eksfiltruje i szyfruje dane w systemie, którego dotyczy problem. Eksfiltracja polega na kopiowaniu i przesyłaniu danych przechowywanych w systemie. Gdy BlackCat dokona eksfiltracji i zaszyfrowania krytycznych danych, żądane jest okup płatny w kryptowalucie. Ofiary BlackCat są zobowiązane do zapłacenia żądanego okupu, aby odzyskać dostęp do swoich danych.
BlackCat nie jest zwykłym oprogramowaniem ransomware. BlackCat był pierwszym udanym oprogramowaniem ransomware napisanym w języku Rust, w przeciwieństwie do innych programów ransomware, które są zwykle pisane w językach C, C++, C#, Java lub Python. Ponadto BlackCat była również pierwszą rodziną oprogramowania ransomware, która miała witrynę internetową w czystej sieci, na której ujawniają skradzione informacje ze swoich ataków.
Inną kluczową różnicą w stosunku do innych programów ransomware jest to, że BlackCat działa jako ransomware jako usługa (RaaS). Raas to model biznesowy cyberprzestępczości, w którym twórcy ransomware wynajmują lub sprzedają swoje ransomware jako usługę innym osobom lub grupom.
W tym modelu twórcy ransomware zapewniają wszystkie niezbędne narzędzia i infrastrukturę innym osobom do dystrybucji i przeprowadzania ataków ransomware. Jest to w zamian za udział w ich zyskach uzyskanych z płatności ransomware.
To wyjaśnia, dlaczego BlackCat atakuje głównie organizacje i firmy, ponieważ zazwyczaj są one bardziej skłonne zapłacić okup niż osoby fizyczne. Organizacje i firmy również płacą większy okup w porównaniu z osobami fizycznymi. Kierowanie ludźmi i podejmowanie decyzji w cyberatakach są znane jako podmioty cyberzagrożenia (CTA).
Aby zmusić ofiary do zapłacenia okupu, BlackCat wykorzystuje „technikę potrójnego wymuszenia”. Wiąże się to z kopiowaniem i przesyłaniem danych ofiar oraz szyfrowaniem danych w ich systemach. Następnie ofiary są proszone o zapłacenie okupu za dostęp do zaszyfrowanych danych. Niezastosowanie się do tego skutkuje wyciekiem ich danych do opinii publicznej i/lub przeprowadzeniem ataków typu „odmowa usługi” (DOS) na ich systemy.
Na koniec kontaktuje się z osobami, które zostaną dotknięte wyciekiem danych, i informuje o tym, że ich dane zostaną ujawnione. Są to zwykle klienci, pracownicy i inni partnerzy firmy. Ma to na celu wywarcie nacisku na organizacje będące ofiarami, aby zapłaciły okup, aby uniknąć utraty reputacji i procesów sądowych wynikających z wycieku danych.
Jak działa oprogramowanie ransomware BlackCat
Zgodnie z ostrzeżeniem flash wydanym przez FBI, oprogramowanie ransomware BlackCat wykorzystuje wcześniej naruszone dane uwierzytelniające użytkownika, aby uzyskać dostęp do systemów.
Po pomyślnym wejściu do systemu BlackCat wykorzystuje dostęp, który ma, do naruszenia bezpieczeństwa kont użytkowników i administratorów przechowywanych w Active Directory. To pozwala mu używać Harmonogramu zadań systemu Windows do konfigurowania złośliwych obiektów zasad grupy (GPO), które umożliwiają BlackCat wdrażanie oprogramowania ransomware w celu szyfrowania plików w systemie.
Podczas ataku BlackCat skrypty PowerShell są używane razem z Cobalt Strike do wyłączania funkcji bezpieczeństwa w sieci ofiary. Następnie BlackCat kradnie dane ofiar z miejsca ich przechowywania, w tym od dostawców usług w chmurze. Po wykonaniu tej czynności cyberprzestępca kierujący atakiem wdraża oprogramowanie ransomware BlackCat w celu zaszyfrowania danych w systemie ofiary.
Ofiary otrzymują następnie żądanie okupu informujące, że ich systemy zostały zaatakowane, a ważne pliki zaszyfrowane. Okup zawiera również instrukcje, jak zapłacić okup.
Dlaczego BlackCat jest bardziej niebezpieczny niż przeciętne oprogramowanie ransomware?
BlackCat jest niebezpieczny w porównaniu z przeciętnym oprogramowaniem ransomware z kilku powodów:
Jest napisany w Ruście
Rust to język programowania, który jest szybki, bezpieczny i oferuje lepszą wydajność oraz efektywne zarządzanie pamięcią. Używając Rust, BlackCat czerpie wszystkie te korzyści, czyniąc go bardzo złożonym i wydajnym oprogramowaniem ransomware z szybkim szyfrowaniem. Utrudnia to również inżynierię wsteczną BlackCat. Rust to wieloplatformowy język, który umożliwia cyberprzestępcom łatwe dostosowywanie BlackCata do atakowania różnych systemów operacyjnych, takich jak Windows i Linux, zwiększając zakres potencjalnych ofiar.
Wykorzystuje model biznesowy RaaS
Wykorzystanie przez firmę BlackCat oprogramowania ransomware jako modelu usługi umożliwia wielu podmiotom zajmującym się zagrożeniami wdrażanie złożonego oprogramowania ransomware bez konieczności posiadania wiedzy, jak je utworzyć. BlackCat wykonuje całą ciężką pracę dla cyberprzestępców, którzy muszą tylko wdrożyć go w podatnym na ataki systemie. To sprawia, że zaawansowane ataki ransomware są łatwe dla cyberprzestępców zainteresowanych wykorzystaniem wrażliwych systemów.
Oferuje ogromne wypłaty dla podmiotów stowarzyszonych
Dzięki BlackCat wykorzystującemu model Raas twórcy zarabiają pieniądze, pobierając część okupu zapłaconego cyberprzestępcom, którzy go wdrażają. W przeciwieństwie do innych rodzin Raas, które pobierają do 30% okupu okupu, BlackCat pozwala cyberprzestępcom zatrzymać od 80% do 90% okupu. Zwiększa to atrakcyjność BlackCat dla cyberataków, umożliwiając BlackCat pozyskanie większej liczby podmiotów stowarzyszonych chętnych do wykorzystania go w cyberatakach.
Ma publiczną witrynę przecieków w czystej sieci
W przeciwieństwie do innych programów ransomware, które ujawniają skradzione informacje w ciemnej sieci, BlackCat ujawnia skradzione informacje na stronie internetowej dostępnej w czystej sieci. Dzięki ujawnieniu skradzionych danych więcej osób może uzyskać do nich dostęp, zwiększając reperkusje cyberataku i wywierając większą presję na ofiary, aby zapłaciły okup.
Język programowania Rust sprawił, że BlackCat jest bardzo skuteczny w swoich atakach. Wykorzystując model Raas i oferując ogromną wypłatę, BlackCat odwołuje się do większej liczby cyberprzestępców, którzy z większym prawdopodobieństwem wykorzystają go w atakach.
Łańcuch infekcji ransomware BlackCat
BlackCat uzyskuje wstępny dostęp do systemu za pomocą przejętych danych uwierzytelniających lub wykorzystując luki w zabezpieczeniach programu Microsoft Exchange Server. Po uzyskaniu dostępu do systemu złośliwi aktorzy niszczą zabezpieczenia systemu i zbierają informacje o sieci ofiary oraz podnoszą jej uprawnienia.
Ransomware BlackCat porusza się następnie poprzecznie w sieci, uzyskując dostęp do jak największej liczby systemów. Przydaje się to podczas żądania okupu. Im więcej systemów jest atakowanych, tym większe prawdopodobieństwo, że ofiara zapłaci okup.
Złośliwi aktorzy następnie eksfiltrują dane systemu, które mają być wykorzystane do wyłudzeń. Po wyekstrahowaniu krytycznych danych rozpoczyna się etap dostarczania ładunku BlackCat.
Złośliwi aktorzy dostarczają BlackCata za pomocą Rusta. BlackCat najpierw zatrzymuje usługi, takie jak kopie zapasowe, aplikacje antywirusowe, usługi internetowe systemu Windows i maszyny wirtualne. Po wykonaniu tej czynności BlackCat szyfruje pliki w systemie i niszczy obraz tła systemu, zastępując go żądaniem okupu.
Chroń się przed BlackCat Ransomware
Chociaż BlackCat okazuje się być bardziej niebezpieczny niż inne programy ransomware, o których zauważono wcześniej, organizacje mogą chronić się przed oprogramowaniem ransomware na wiele sposobów:
Szyfruj krytyczne dane
Część strategii wymuszeń Blackhat obejmuje grożenie ujawnieniem danych ofiary. Szyfrując krytyczne dane, organizacja dodaje dodatkową warstwę ochrony do swoich danych, paraliżując w ten sposób techniki wymuszeń stosowane przez cyberprzestępców BlackHat. Nawet jeśli wycieknie, nie będzie w formacie czytelnym dla człowieka.
Regularnie aktualizuj systemy
W badaniach przeprowadzonych przez Microsoft ujawniono, że w niektórych przypadkach BlackCat wykorzystywał niezałatane serwery wymiany, aby uzyskać dostęp do systemów organizacji. Firmy programistyczne regularnie publikują aktualizacje oprogramowania, aby usunąć luki w zabezpieczeniach i problemy z bezpieczeństwem, które mogły zostać wykryte w ich systemach. Dla bezpieczeństwa instaluj poprawki oprogramowania, gdy tylko będą dostępne.
Wykonaj kopię zapasową danych w bezpiecznym miejscu
Organizacje powinny priorytetowo traktować regularne tworzenie kopii zapasowych danych i przechowywanie danych w oddzielnej i bezpiecznej lokalizacji w trybie offline. Ma to na celu zapewnienie, że nawet w przypadku zaszyfrowania krytycznych danych nadal będzie można je przywrócić z istniejących kopii zapasowych.
Zaimplementuj uwierzytelnianie wieloskładnikowe
Oprócz używania silnych haseł w systemie, zaimplementuj uwierzytelnianie wieloskładnikowe, które wymaga wielu poświadczeń przed przyznaniem dostępu do systemu. Można to zrobić, konfigurując system do generowania jednorazowego hasła wysyłanego na powiązany numer telefonu lub e-mail, które jest wymagane do uzyskania dostępu do systemu.
Monitoruj aktywność w sieci i pliki w systemie
Organizacje powinny stale monitorować aktywność w swoich sieciach, aby jak najszybciej wykrywać podejrzane działania w swoich sieciach i reagować na nie. Działania w sieci powinny być również rejestrowane i przeglądane przez ekspertów ds. bezpieczeństwa w celu zidentyfikowania potencjalnych zagrożeń. Wreszcie, należy wdrożyć systemy śledzenia, w jaki sposób uzyskuje się dostęp do plików w systemie, kto uzyskuje do nich dostęp i jak są wykorzystywane.
Szyfrując krytyczne dane, zapewniając aktualność systemów, regularnie wykonując kopie zapasowe danych, wdrażając uwierzytelnianie wieloskładnikowe i monitorując aktywność w systemie. Organizacje mogą być krok do przodu i zapobiegać atakom BlackCat.
Zasoby szkoleniowe: Oprogramowanie wymuszające okup
Aby dowiedzieć się więcej o cyberatakach i sposobach ochrony przed atakami oprogramowania ransomware, takiego jak BlackCat, zalecamy wzięcie udziału w jednym z tych kursów lub przeczytanie sugerowanych poniżej książek:
# 1. Szkolenie ze świadomości bezpieczeństwa
To niesamowity kurs dla wszystkich, którzy chcą być bezpieczni w Internecie. Kurs jest prowadzony przez dr Michaela Biocchi, certyfikowanego specjalistę ds. bezpieczeństwa systemów informatycznych (CISSP).
Kurs obejmuje phishing, socjotechnikę, wycieki danych, hasła, bezpieczne przeglądanie i urządzenia osobiste oraz zawiera ogólne wskazówki, jak być bezpiecznym w Internecie. Kurs jest regularnie aktualizowany, a każdy korzystający z internetu może z niego skorzystać.
#2. Szkolenie z zakresu bezpieczeństwa, Bezpieczeństwo w Internecie dla pracowników
Ten kurs jest dostosowany do codziennych użytkowników Internetu i ma na celu edukowanie ich w zakresie zagrożeń bezpieczeństwa, których ludzie często nie są świadomi, oraz sposobów ochrony przed zagrożeniami.
Kurs oferowany przez Roya Davisa, certyfikowanego przez CISSP eksperta ds. bezpieczeństwa informacji, obejmuje odpowiedzialność użytkowników i urządzeń, phishing i inne złośliwe wiadomości e-mail, inżynierię społeczną, przetwarzanie danych, hasła i pytania bezpieczeństwa, bezpieczne przeglądanie, urządzenia mobilne i ransomware. Ukończenie kursu zapewnia uzyskanie certyfikatu ukończenia kursu, który jest wystarczający, aby zapewnić zgodność z przepisami dotyczącymi danych w większości miejsc pracy.
#3. Cyberbezpieczeństwo: szkolenie uświadamiające dla absolutnie początkujących
Jest to kurs Udemy oferowany przez Usmana Ashrafa z Logix Academy, startupu szkoleniowego i certyfikacyjnego. Usman posiada certyfikat CISSP i doktorat. w sieciach komputerowych oraz duże doświadczenie branżowe i dydaktyczne.
Ten kurs oferuje uczestnikom głębokie zanurzenie w inżynierii społecznej, hasłach, bezpiecznym usuwaniu danych, wirtualnych sieciach prywatnych (VPN), złośliwym oprogramowaniu, oprogramowaniu ransomware i wskazówkach dotyczących bezpiecznego przeglądania oraz wyjaśnia, w jaki sposób pliki cookie są wykorzystywane do śledzenia ludzi. Kurs nie jest techniczny.
#4. Ujawniono oprogramowanie ransomware
Jest to książka autorstwa Nihada A. Hassana, niezależnego konsultanta ds. bezpieczeństwa informacji i eksperta w dziedzinie bezpieczeństwa cybernetycznego i kryminalistyki cyfrowej. Książka uczy, jak łagodzić i radzić sobie z atakami ransomware, a także daje czytelnikom dogłębne spojrzenie na różne istniejące rodzaje oprogramowania ransomware, ich strategie dystrybucji i metody odzyskiwania.
Książka opisuje również kroki, które należy wykonać w przypadku infekcji ransomware. Obejmuje to sposób płacenia okupu, wykonywania kopii zapasowych i przywracania zainfekowanych plików oraz wyszukiwania w Internecie narzędzi deszyfrujących w celu odszyfrowania zainfekowanych plików. Omówiono również, w jaki sposób organizacje mogą opracować plan reagowania na incydenty związane z oprogramowaniem ransomware, aby zminimalizować szkody spowodowane przez oprogramowanie ransomware i szybko przywrócić normalne działanie.
#5. Ransomware: Zrozum. Zapobiec. Wyzdrowieć
W tej książce Allan Liska, starszy architekt bezpieczeństwa i specjalista ds. ransomware w Recorded Future, odpowiada na wszystkie trudne pytania dotyczące ransomware.
Książka zawiera kontekst historyczny, dlaczego oprogramowanie ransomware stało się powszechne w ostatnich latach, jak powstrzymać ataki ransomware, luki w zabezpieczeniach, na które złośliwi aktorzy atakują za pomocą oprogramowania ransomware, oraz przewodnik, jak przetrwać atak ransomware z minimalnymi szkodami. Dodatkowo książka odpowiada na najważniejsze pytanie, czy warto zapłacić okup? Ta książka oferuje ekscytującą eksplorację oprogramowania ransomware.
#6. Podręcznik ochrony przed oprogramowaniem ransomware
Ta książka jest obowiązkową lekturą dla każdej osoby lub organizacji, która chce uzbroić się przed oprogramowaniem ransomware. W tej książce Roger A. Grimes, ekspert w dziedzinie bezpieczeństwa komputerowego i penetracji, oferuje swoje ogromne doświadczenie i wiedzę w tej dziedzinie, aby pomóc ludziom i organizacjom chronić się przed oprogramowaniem ransomware.
Książka oferuje praktyczny plan dla organizacji, które chcą opracować solidną obronę przed oprogramowaniem ransomware. Uczy również, jak wykryć atak, szybko ograniczyć szkody i zdecydować, czy zapłacić okup, czy nie. Oferuje również plan gry, który pomaga organizacjom ograniczyć straty wizerunkowe i finansowe spowodowane poważnymi naruszeniami bezpieczeństwa.
Na koniec uczy, jak stworzyć bezpieczną podstawę dla ubezpieczenia cyberbezpieczeństwa i ochrony prawnej, aby złagodzić zakłócenia w biznesie i życiu codziennym.
Notka autora
BlackCat to rewolucyjne oprogramowanie ransomware, które z pewnością zmieni status quo, jeśli chodzi o cyberbezpieczeństwo. Do marca 2022 r. BlackCat z powodzeniem zaatakował ponad 60 organizacji i zdołał zwrócić na siebie uwagę FBI. BlackCat jest poważnym zagrożeniem i żadna organizacja nie może sobie pozwolić na jego zignorowanie.
Wykorzystując nowoczesny język programowania i niekonwencjonalne metody ataków, szyfrowania i wyłudzania okupu, BlackCat sprawił, że eksperci ds. bezpieczeństwa zaczęli nadrabiać zaległości. Jednak wojna z tym oprogramowaniem ransomware nie jest przegrana.
Wdrażając strategie omówione w tym artykule i minimalizując możliwość ujawnienia systemów komputerowych przez błąd ludzki, organizacje mogą być o krok do przodu i zapobiegać katastrofalnemu atakowi oprogramowania ransomware BlackCat.