\u010ce ste majhni in se vam zdi, da za velikost interneta neopazni se motite. Tudi vi lahko postanete \u017ertev izsiljevalskega virusa oz. kriminalcev, ki te viruse \u0161irijo. SI-CERT je ta mesec objavil nekaj podatkov o novi vrsti izsiljevalskega virusa. Ker nima smisla, da sami pi\u0161emo skoraj identi\u010den \u010dlanek kopiramo njihovega.<\/p>\n\n\n\n
<\/p>\n\n\n\n
Povzetek<\/h2>\n\n\n\n
Na SI-CERT od aprila 2012 dalje redno obravnavamo prijave oku\u017eb z izsiljevalskimi kripto virusi (ang. ransomware) [1]. Obi\u010dajno so \u017ertve vdorov naklju\u010dno izbrane kot del \u0161ir\u0161e kampanije \u0161irjenja virusov. V skoraj vseh teh primerih sta bila vektorja oku\u017ebe ali zlonamerna elektronska po\u0161ta, ki je vsebovala zlonamerno priponko oz. povezavo do te, ali pa vdor preko neustrezno za\u0161\u010ditene storitve za oddaljen dostop (Remote Desktop).<\/p>\n\n\n\n
V zadnjem obdobju smo bili na SI-CERT seznanjeni tudi z bolj naprednimi primeri ciljanih napadov na posamezna podjetja in in\u0161titucije, pri katerih so napadalci namestili kripto virus preko predhodnega vdora v enega od sistemov in namestitvijo orodja za oddaljen dostop. Preko tega preu\u010dijo strukturo omre\u017eja in s pomo\u010djo razli\u010dnih hekerskih orodij pridobijo avtentikacijske podatke in dostop do drugih sistemov v omre\u017eju. V Windows okolju je njihova glavna tar\u010da domenski kontroler. Z analizo pridobljenih informacij ocenijo vrednost podatkov ter na podlagi tega dolo\u010dijo vi\u0161ino odkupnine. Ta lahko v posameznih primerih tudi prese\u017ee 100.000 \u20ac. V zadnjem koraku na sistem prenesejo in za\u017eenejo kripto virus. Napadalci lahko predhodno tudi skopirajo baze podatkov in podjetje izsiljujejo z javno objavo le-teh. Za prvotno oku\u017ebo poleg zgoraj omenjenih vektorjev napadalci uporabljajo tudi druge hekerske tehnike in metode socialnega in\u017eeniringa.<\/p>\n\n\n\n
Imena nekaterih od virusov, uporabljenih v naprednej\u0161ih napadih: Samas, Ryuk, Phobos, Sodinokibi, Hermes.<\/p><\/blockquote>\n\n\n\n
Vektorji oku\u017eb<\/h2>\n\n\n\n
1. Vdor preko neustrezno za\u0161\u010ditene storitve oddaljenega dostopa<\/h4>\n\n\n\n
V poslovnem okolju se storitve za oddaljeni dostop (Remote Desktop) najve\u010dkrat uporabljajo za dostop do stre\u017eni\u0161ke infrastrukture. Pomanjkljiva ali neustrezna za\u0161\u010dita oddaljenega dostopa napadalcem omogo\u010di dostop in namestitev zlonamernih programov.<\/p>\n\n\n\n
Najpogostej\u0161i vzrok vdorov je uporaba \u0161ibkih gesel, ki jih je mo\u017eno ugotoviti z napadi z grobo silo, ali pa uporaba istih gesel za razli\u010dne storitve (t.i. recikla\u017ea gesel). Z zlorabljeni avtentikacijski podatki se trguje tudi na nelegalnih tr\u017enicah, ki se obi\u010dajno nahajajo na temnem spletu. Velik del obravnavanih primerov je pokazal, da napadalci aktivnosti izvajajo med vikendi, saj je takrat manj\u0161a mo\u017enost, da bi bili pri tem po\u010detju zaznani.<\/p>\n\n\n\n
Priporo\u010deni ukrepi za za\u0161\u010dito storitev oddaljenega dostopa so navedeni v obvestilu SI-CERT 2017-04 [2].<\/p>\n\n\n\n
2. Oku\u017ebe preko elektronske po\u0161te<\/h4>\n\n\n\n
Oku\u017ebe z trojanskimi konji tipa \u201cinformation stealer\u201d in \u201cRemote Access Trojan\u201d (RAT) ravno tako lahko privedejo do oku\u017eb z izsiljevalskimi virusi. Ti se najpogosteje \u0161irijo preko elektronske po\u0161te v obliki sporo\u010dil, ki z vsebino sku\u0161ajo prejemnika prepri\u010dati k odprtju priponke ali kliku na povezavo za prenos zlonamernega programa na sistem uporabnika.<\/p>\n\n\n\nLa\u017eno sporo\u010dilo v imenu DHL s priponko, ki vsebuje trojanskega konja vrste Pony<\/figcaption><\/figure>\n\n\n\n
Information stealer trojanski konj<\/strong> pridobi shranjena gesla iz name\u0161\u010denih spletnih brskalnikov, odjemalcev e-po\u0161te, FTP odjemalcev, ipd. Nekateri od teh na sistem namestijo tudi t.i. keylogger, ki bele\u017ei vnose na tipkovnici (npr. vpisana gesla), lahko pa vsebujejo tudi komponento za prenos datotek iz spleta (downloader). Na podlagi te funkcionalnosti lahko napadalci na oku\u017een sistem prenesejo in za\u017eenejo izsiljevalski virus.<\/li>
Remote Access Trojan<\/strong> ustvari stranska vrata za dostop do sistema in napadalcu omogo\u010di dostop do oku\u017eenega sistema. Po pregledu celotnega omre\u017eja, preverjanju mo\u017enosti dostopa do vseh dosegljivih stre\u017enikov, ra\u010dunalnikov in mre\u017enih ter zunanjih nosilcev podatkov, napadalci namestijo in za\u017eenejo izsiljevalski virus.<\/li><\/ul>\n\n\n\n
Napadi z izsiljevalskimi virusi preko oku\u017eb s trojanskimi konji se izvajajo v ciljanih napadih.<\/p><\/blockquote>\n\n\n\n
3. Druge mo\u017enosti vdora<\/h4>\n\n\n\n
V naprednej\u0161ih napadih, kjer napadalci ciljajo na dolo\u010deno tar\u010do, so lahko prvotni vdori v sistem posledica tudi drugih hekerskih tehnik, npr:<\/p>\n\n\n\n
oku\u017ebe v mimohodu (ang. Drive-By-Download), pri kateri do vdora pride med brskanjem po spletu, kjer \u017ertev v brskalniku odpre spletno stran, na katero je napadalec predhodno namestil dodatno zlonamerno kodo. Ta oku\u017ei ra\u010dunalnik \u017ertve preko ranljivosti v brskalniku ali drugi programski opremi;<\/li>
napada prek napajali\u0161\u010da (watering hole), ki je razli\u010dica oku\u017ebe v mimohodu, namenjena dolo\u010denemu profilu uporabnikov. Napadalci izberejo spletno mesto (npr. proizvajalca voja\u0161ke opreme ali ponudnika strojnih in programskih re\u0161itev za energetske sisteme), ki ga redno obiskujejo ti uporabniki, in z vdorom nanj podtaknejo trojanskega konja, ki oku\u017ei obiskovalce;<\/li>
oku\u017eenih USB klju\u010dkov in drugih perifernih naprav;<\/li>
vdora preko neustrezno za\u0161\u010ditenega WiFi omre\u017eja;<\/li>
fizi\u010dnega dostopa do enega izmed sistemov v omre\u017eju . <\/li><\/ul>\n\n\n\n
Za\u0161\u010dita<\/h2>\n\n\n\n
Za\u0161\u010dita pred izsiljevalskimi virusi obsega tako tehni\u010dne ukrepe, kamor spadajo uporaba antivirusa, po\u017earnega zidu, filtrov na stre\u017enikih, sistemov za nadzor in prepre\u010devanje vdorov ipd, kot tudi redno izobra\u017eevanje in osve\u0161\u010danje uporabnikov oz. zaposlenih. Vendar pa v informacijski varnosti nikoli ne moremo govoriti o 100% za\u0161\u010diti, zato \u0161e vedno najbolj\u0161o za\u0161\u010dito pred izsiljevalskimi virusi predstavlja ustrezna varnostna kopija, replikacija le-te na eno ali ve\u010d drugih lokacij, ter redno preverjanje njihovega delovanja ter zmo\u017enosti obnovitve podatkov v primeru potrebe.<\/p>\n\n\n\n
Za za\u0161\u010dito lokalnega omre\u017eja priporo\u010damo uvedbo nadzora z NIDS sistemom (Network Intrusion Detection Systems), ter uvedbo HIDS sistema za nadzor sistemov uporabnikov (Host Intrusion Detection Systems). Implementacija SIEM sistema (Security information and event management) omogo\u010da sledenje aktivnostim in analizi dnevni\u0161kih zapisov ter dogodkov na omre\u017eju.<\/p>\n\n\n\n
Priporo\u010damo tudi izdelavo na\u010drta in strategije ukrepanja v primeru napada na informacijsko infrastrukturo podjetja (Disaster Recovery Plan). Ta mora vsebovati nabor procedur in nalog za skupine, posameznike in zunanje sodelavce, vklju\u010dene v re\u0161evanje primera. Ob tem je klju\u010dnega pomena izdelava scenarija, s katerim se redno preverja in dopolnjuje na\u010drte za ukrepanje.<\/p>\n\n\n\n
Ob vsem navedenem pa je potrebno tudi strogo definirati politiko povezovanja lastnih naprav uporabnikov in uporabe zunanjih medijev (npr. USB klju\u010dkov) zaposlenih v informacijskem sistemu podjetja oz. organizacije.<\/p>\n\n\n\n
![\"\"](\"https:\/\/www.cert.si\/wp-content\/uploads\/2019\/08\/trojan.png\")