IT-krimielle har, ligesom varmen skruet op for charmen, men det er ikke en rar oplevelse, som man vil ønske sig besøg af midt i en periode med sommerferie.
Ransomware er særligt i denne sommerperiode en helt overskyggende trussel mod danske virksomheder og offentlige myndigheder og de it-kriminelle lancerer kampagnerne i kaskader og med en høj grad af kreativitet. Vi har paraderne nede og det udnyttes!
Dette indlæg vil ikke gå i tekniske detaljer omkring den binære payload i ransomware. Alle kendte og persistente ransomware varianter har vi allerede pillet fra hinanden og analyseret. Der er udsendt i massevis af tekniske artikler på vores platinum alert liste. Hvis man ønsker at vide mere om CSIS platinium alert, så kontakt os via vores hjemmeside: https://www.csis.dk/da/csis/contact/
Tre Randomware familier rammer Danmark
Ransomware, som rammer Danmark er groft fordelt i tre malware familier: Cryptowall, CTB-Locker og FileCoder. De spredes via to centrale metoder: spamkampagner med vedhæftede filer og ved brug af "drive-by" angreb.
Høj kreativitet
Når vi taler om kreativitet ses det bl.a. ved den seneste kampagne som er blevet skudt i gang i dag. Denne anvender Google Drive som platform til infektionen. Den første fase udføres ved at indlejre scripts på legitime websider. Disse scripts flytter ofret (uden dennes viden) over på et større antal dedikerede domæner, som udfra en stribe kriterier, hverunder browsertype og GeoIP, bestemmer hvordan maskinen skal beskydes og ikke mindst hvilken payload der skal leveres. I den konkrete kampagne er der gjort brug af RIG exploitkit som beskyder Flash Player, JavaJRE og Adobe Reader. Er systemet sårbart leveres payloaden som trækkes fra Google Drive. Et saniteret udsnit herunder:
https://drive.google[.]com/uc?export=download&id=0B0VtiEw2UiuBQm1XcVZ3SXhwdlk
https://drive.google[.]com/uc?export=download&id=0B0VtiEw2UiuBQnVhbFR0NXhSa2s
https://drive.google[.]com/uc?export=download&id=0B0VtiEw2UiuBR2ZvZkJRWHprNk0
https://drive.google[.]com/uc?export=download&id=0B0VtiEw2UiuBRE1KZGNUYkpWb1U
https://drive.google[.]com/uc?export=download&id=0B0VtiEw2UiuBSFNURHVhal8zV2s
https://drive.google[.]com/uc?export=download&id=0B0VtiEw2UiuBUFh4X20xZU5sclE
https://drive.google[.]com/uc?export=download&id=0B0VtiEw2UiuBVDJ3d1FEbFdRSEk
https://drive.google[.]com/uc?export=download&id=0B0VtiEw2UiuBc2NoVFgtNnlhNk0
https://drive.google[.]com/uc?export=download&id=0B0VtiEw2UiuBcHUxd0toanNBNVE
https://drive.google[.]com/uc?export=download&id=0B0VtiEw2UiuBdFZzSUxad2I2aWM
Disse URLs returnerer en dropper "resume.zip" (my_resume_pdf_id-4535-4553-293.scr). Denne forbinder sig herunder til en stribe kompromiterede websider, hvor den henter og kører Cryptowall3. Et lille udsnit herunder (saniteret af CSIS)
http://furnishingsuk[.]com/wp-includes/certificates/e2.php
http://getstarstar[.]com/wp-content/plugins/e5.php
http://henleybond[.]com/wp-includes/js/tinymce/plugins/e1.php
http://izzhoga[.]su/css/e5.php
http://lovetarianway[.]com/wp-includes/js/tinymce/plugins/e3.php
http://mccollougharchitecture[.]com/wp-content/uploads/2014/04/e2.php
Fra det øjeblik er Cryptowall3 på maskinen og vil injekte sig i "dwwin.exe" processen, mens den spawner en process der igangsætter selve kryptering af data lokalt og i det tilgængelige netværk. Den vil samtidig sprede sin binære kode via den selvsamme metode hvorved nye ofre i netværket kan eksponeres for koden.
Risiko for datalækage
Cryptowall opnår generelt kun begrænset antivirus detektion i infektionsvinduet. De seneste varianter af Cryptowall indeholder forskellige funktioner der kan åbne for fjernadministration af inficerede maskiner i netværket, ligesom den er i stand til at mutere. Det kan udover kryptering af data også føre til datalækage.
CSIS har blokeret alle kendte Cryptolocker domæner i CSIS Secure DNS hvilken også beskytter brugere af Heimdal PRO og corporate.
Gode råd:
1) Sikre at virksomhedens backup systemer fungerer og gennemfører en test inden man tager på sommerferie.
2) Etabler en incident reponse funktion, så man rettidigt og korrekt kan bremse denne trussel i en tidlig fase af komrpomittering.
3) Etabler og sikre at firmaet har patch management på plads så sårbart software, som misbruges til at plante denne trussel, er behørigt opdateret
4) Bloker domæner på perimeter som anvendes til at levere ransomware
5) Sikre, at mailgateway eller leverandør, har filtype politik på plads og at der scannes med en eller flere antivirus løsninger
6) Skab awareness for brugere så de ikke ukritisk klikker på alt der modtages via eksempelvis e-mail
7) Find en it-sikkerhedspartner som teknisk er i stand til at isolere og håndtere disse angreb, så nedetid følgeskader begrænses til et minimum
Mere læsning om Ransomware fra CSIS:
https://www.csis.dk/da/csis/blog/3655/
https://www.csis.dk/da/csis/news/3528/
https://www.csis.dk/da/csis/blog/4577/
↧
CSIS Nyheder: Ransomware ødelægger sommerferien
↧