Bližšie detaily k nedávnym ransomvér útokom

ransomver

Ako sme vás už informovali v pondelkovom článku, tak sa Slovenskom prehnala vlna ransomvér útokov, ktoré mali za cieľ odcudziť a zašifrovať dáta na zariadeniach firiem a inštitúcií. Následne, ak je kybernetický útok úspešný, je požadované výkupné zo strany internetových útočníkov. Aktuálne uverejnilo Národné centrum kybernetickej bezpečnosti SK-CERT bližšie detaily o piatkových kybernetických útokoch. Podľa zistení, bolo pri útokoch použitých viacero typov ransomvéru, a to prevažne z rodiny EKING/PHOBOS a Hakbit. Oba typy ransomvéru dokážu úspešne deaktivovať ochranu antivírovým programom, kedy sa zmenou jeho nastavení antivírus javí ako aktívny a funkčný, ale reálne už nevykonáva kontrolnú a ochrannú činnosť. Rovnako sa ransomvér aktívne pokúša nájsť záložné kópie súborov (tzv. shadow copies), ktoré odstraňuje a takýmto spôsobom sa bráni proti jednoduchému obnoveniu zašifrovaných súborov.

Okrem šifrovania napadnutého zariadenia, ransomvér aktívne vyhľadáva aj zdieľané sieťové adresáre a šifruje na nich dáta. Aktuálne nie je známe, či sa táto verzia škodlivého kódu dokázala kopírovať aj na iné počítače a zdieľané sieťové disky. Ransomvér využíva asymetrické šifrovanie RSA – na napadnutom zariadení sa nenachádza dešifrovací kľúč, a zároveň je šifrovanie dát dostatočne zabezpečené. To znamená, že napadnuté zariadenie nie je možné spätne obnoviť bez dešifrovacieho kľúča, ktorý vlastní len kybernetický útočník. Žiadosť o výkupné aj s inštrukciami je na napadnutom zariadení zanechaná vo formáte TXT alebo HTA súboru. Škodlivý kód najčastejšie využíva nezabezpečený RDP prístup (Remote Desktop Protocol), prípadne šíria kybernetickí útočníci malvér pomocou podvodných emailov. V prípade útoku smerovaného na Slovensko sa objavila phishingová kampaň rozosielaná z nasledujúcich emailových adries:

maykeljakson@cock[.]li
maykeljackson@cryptext[.]com
angus_frankland@aol[.]com
blair_lockyer@aol[.]com
chocolate_muffin@tutanota[.]com
john2wick@tuta[.]io
kingkong2@tuta[.]io
black_privat@tuta[.]io

Ako sa aktívne brániť pred akýmkoľvek typom ransomvéru sme uviedli už v pondelkovom článku, ale najdôležitejšie je mať vždy automatizované zálohovanie (s vytváraním offline záloh odpojených od siete), ako i prevencia vo forme aktívneho vzdelávania zamestnancov. Medzi ďalšie preventívne odporúčanie od SK-CERT patrí aj nepublikovanie služieb ako RDP alebo VNC na verejných IP adresách. Pri potrebe vzdialeného prístupu použite šifrovaný VPN prístup, ktorý býva bežnou súčasťou sieťových firewallov. Je tiež možné zvoliť niektorý z voľne dostupných VPN nástrojov, ako sú OpenVPN, WireGuard a podobne. Rovnako je dôležité mať vždy aktualizovanú IT infraštruktúru. Náš magazín už viackrát informoval o známej chybe v platforme Microsoft Exchange, ktorá môže byť jednoducho zneužitá na preniknutie do internej siete a jej infikovanie malvérom typu ransomvér.