Πριν καλά-καλά “καθίσει” ο κουρνιαχτός του WannaCry και προλάβει να… συνέλθει η παγκόσμια επιχειρηματική κοινότητα από την διαπίστωση του μεγέθους και της πολυπλοκότητας του κινδύνου με τον οποίο βρέθηκε αντιμέτωπη, ήρθε η ransomware επίθεση Petya να στείλει ξεκάθαρα το μήνυμα: “Ο κίνδυνος όχι μόνο είναι εδώ, αλλά έχει πολλαπλή μορφή, είναι αποδοτικός, επιτυγχάνει ευρεία έκταση και εντυπωσιακά μεγάλο βαθμό επίδρασης, ενώ είναι δύσκολα αντιμετωπίσιμος”.

Την ίδια στιγμή, ο κόσμος των επιχειρήσεων και οργανισμών δείχνει να αποδεικνύει στην πράξη πως δεν κατάφερε να αξιοποιήσει αποδοτικά τον χρόνο ώστε να μάθει από τα προηγούμενα περιστατικά και να λάβει τα απαιτούμενα μέτρα.

Η κατάσταση προσομοιάζει σαν να βιώνουμε την ημέρα της μαρμότας, καθώς κάθε μήνα προκύπτει και από μια ransomware επίθεση παγκόσμιου βεληνεκούς. Πάνω που όλοι θεώρησαν πως η απειλή του WannaCry είχε περάσει, αφήνοντας -ουσιαστικά- ορισμένες σημαντικές μεν, αλλά όχι… θανατηφόρες αμυχές, κατέφθασαν τα νέα από την Ουκρανία, η οποία και δέχτηκε τα αρχικά πλήγματα -μεταξύ άλλων- στην Κεντρική Τράπεζα της ομώνυμης χώρας, το κύριο αεροδρόμιό της, ακόμη και τις πυρηνικές εγκαταστάσεις του Τσερνόμπιλ, σκορπώντας ρίγη τρόμου και ανησυχίας σε ολόκληρο τον κόσμο. Επίθεση, η οποία δεν περιορίστηκε εντός των Ουκρανικών συνόρων, αλλά επεκτάθηκε -ως άλλος μεταδοτικός ιός- σε παγκόσμιο επίπεδο “μολύνοντας” επιχειρήσεις και οργανισμούς που εδρεύουν στην Ευρώπη, τις ΗΠΑ, ακόμη και την Αυστραλία! Μάλιστα, η προβολή που έτυχε το WannaCry διεθνώς υπερκάλυψε ακόμη και την δυναμική του ransomware μέσω του οποίου οι κυβερνοεγκληματίες κατάφεραν να αποκομίσουν κάτι παραπάνω από 1 δισεκατομμύριο δολάρια το 2016!

Ransomware ολοένα και πιο επιθετικό!
Οι πρώτες απόπειρες “ταυτοποίησης” της Petya ransomware επίθεσης κατέληξαν στο συμπέρασμα πως πρόκειται για μια τροποποιημένη έκδοση συνδυαστικών στοιχείων των GoldenEye και WannaCry ransomware σε μια νέα εκδοχή αρκούντως επιθετική και -το πιο ανησυχητικό- με απεριόριστες δυνατότητες και ιδιαίτερα ισχυρή.

Ένας από τους βασικούς λόγους που η νέα μορφή του Petya αποδεικνύεται τόσο αποδοτικό είναι εξαιτίας των βελτιωμένων δυνατοτήτων worm, επιτρέποντας του να επεκταθεί κατά μήκος ήδη μολυσμένων δικτύων. Κάτι που σημαίνει πως δεν χρειάζεται παρά μόνο ένα unpatched μηχάνημα σε κάποιο εταιρικό δίκτυο να μολυνθεί προκειμένου ολόκληρη η πληροφοριακή υποδομή να… “χτυπήσει” κόκκινο. Μάλιστα, ερευνητές κυβερνοασφάλειας της Microsoft εκτιμούν πως το ransomware διαθέτει πολλαπλές όσο και παράπλευρες τεχνικές με τις οποίες και κινείται, καθώς χρησιμοποιεί file-shares ώστε να μεταφέρει το malware κατά μήκος ενός εταιρικού δικτύου, μέσω της αξιοποίησης νόμιμων λειτουργιών ώστε να εκτελέσει το payload, ενώ έχει ακόμη και ικανότητες που προσομοιάζουν με trojan προκειμένου να υποκλέψει τα απαιτούμενα credentials. Οι ίδιοι ερευνητές έχουν διαπιστώσει πως τα phishing emails και οι επιθέσεις watering hole χρησιμοποιώντας ώστε να επεκτείνουν το malware, ενώ κάποιοι άλλοι πιθανολογούν πως ένα ποσοστό των επιμολύνσεων να οφείλονται σε ένα συστήματα αναβάθμισης και ανανέωσης λογισμικού που σχετίζονται με μια ολοκληρωμένη φορολογική εφαρμογή για την Ουκρανία, με την επωνυμία MeDoc.

Η… αμέλεια κοστίζει!
Αίσθηση προκαλεί η διαπίστωση σχετικά με το πώς πλήθος οργανισμών που πρωτίστως δραστηριοποιούνται στον τομέα της βιομηχανίας ή των μεταφορών, πέφτουν θύματα αυτής της… επιδημίας: Απλά και μόνο επειδή δεν κάνουν patching τα πληροφοριακά τους συστήματά. Αποτελεί κοινό τόπο πως σήμερα, πάρα πολλοί οργανισμοί “τρέχουν” συστήματα τα οποία, ανεξαρτήτως λόγου, απλώς δεν έχουν κατεβάσει και εγκαταστήσει το απαιτούμενο patch, γεγονός που τους θέτει σε άμεσο κίνδυνο ransomware.

Σε αυτές, για παράδειγμα, κάποιος μπορεί να συναντήσει επιχειρηματικούς κολοσσούς, όπως λ.χ. την ναυτιλιακή Maersk και την πετρελαϊκή Rosneft. Όπως επισημαίνεται από στελέχη της αγοράς ΙΤ ασφάλειας, οργανισμοί αυτού του μεγέθους και ανάλογης πολυπλοκότητας αντιμετωπίζουν μια -πραγματική- πρόκληση προκειμένου να κάνουν patching το σύνολο των πληροφοριακών τους συστημάτων, καθώς είναι τέτοιο το πλήθος τους που δεν μπορούν να αντέξουν ένα τόσο εκτενές down time. Στην ίδια κατηγορία ανήκουν, επίσης, και τα αεροδρόμια. Μεγάλη συζήτηση έχει ξεκινήσει σε διεθνές επίπεδο σχετικά με την… γεννησιουργό αιτία των συγκεκριμένων επιθέσεων. Μπορεί το προφανές να “δείχνει” προς την κατεύθυνση των… λύτρων, εντούτοις όμως δεν εκλείπει από το κάδρο η πιθανότητα της ηθελημένης πρόκλησης ανησυχίας και πολλαπλών ζημιών. Πόσο, μάλλον, από τη στιγμή που το worm βρίσκεται εκεί έξω και θα συνεχίσει να απλώνεται έως ότου κάποιος θέσει ένα τέλος στην όλη δράση του.

Κέρδη ή πρόκληση χάους με την καταστροφή δεδομένων;
Ορισμένοι, κάνουν λόγο πως η επίθεση ransomware #GoldenEye/#Petya μπορεί να μην στόχευε στον προσπορισμό οικονομικών κερδών, αλλά αντιθέτως να απέβλεπε στο data destruction. Ένας από τους βασικούς… πονοκεφάλους των εν γένει υπευθύνων ΙΤ ασφάλειας σε διεθνές επίπεδο δεν είναι άλλος από το πόσο πιο επικίνδυνο και αποδοτικό θα μετεξελιχθεί στο μέλλον το ransomware. Πόσο, μάλλον, από τη στιγμή κατά την οποία το Petya είναι πολλαπλάσιο πιο αποτελεσματικό και επιθετικό σε σχέση με το WannaCry. Κι αυτό, με ελάχιστες -μόλις- εβδομάδες απόστασης μεταξύ τους… Αρκετοί στην αγορά ισχυρίζονται πως τα δύο πλέον πρόσφατα περιστατικά, εντάσσονται στην ευρύτερη φυσική εξελικτική διαδικασία που ακολουθεί η τεχνολογία ransomware, καθώς επίσης και ένα πεδίο δοκιμών που προετοιμάζει μια μεγαλύτερη όσο και πιο παράτολμη επίθεση στο κοντινό μέλλον.

Μπορεί η περιρρέουσα ατμόσφαιρα να φαντάζει γεμάτη από μελανά χρώματα, συμβάλλοντας καταλυτικά στην καθιέρωση μιας απαισιόδοξης ματιάς, εντούτοις όμως οι επιχειρήσεις μπορούν να προβούν σήμερα σε δύο κινήσεις προκειμένου να ελαχιστοποιήσουν τις αρνητικές επιπτώσεις σε περίπτωση που βρεθούν στο επίκεντρο μιας πιθανής επίθεσης ransomware. Κατ’ αρχήν, θα πρέπει να σιγουρευτούν πως το σύνολο των λειτουργικών τους συστημάτων και εφαρμογών λογισμικού είναι patched και updated, ενώ δευτερευόντως θα πρέπει να είναι επιφυλακτικές σε ότι αφορά σε links και attachments που εμπεριέχονται σε emails. Πρόκειται δε για δύο από τους πλέον σημαντικούς άξονες για την αρχική διάδοση επιθέσεων ransomware.


Το ransomware συνεχίζει όσο βρίσκει “πρόθυμα” θύματα!
Αποτελεί -περίπου- κοινή διαπίστωση πως το ransomware αναμένεται να εξελιχθεί περαιτέρω μέρα με την ημέρα, θα είναι δυσκολότερο να αποκρυπτογραφηθεί με δωρεάν εργαλεία, ενώ είναι σίγουρο πως τα πράγματα θα γίνουν πολύ χειρότερα, πριν φτάσει η στιγμή κατά την οποία θα βελτιωθούν.

Πριν καν επαρκές ποσοστό μεμονωμένων χρηστών, επιχειρήσεων και οργανισμών εκπαιδευτούν επαρκώς και μάθουν να μην πληρώνουν τα ζητούμενα λύτρα είτε να προστατεύουν τα πληροφοριακά τους συστήματα μέσω της πραγματοποίησης backups.

Αυτή τη στιγμή, το ransomware λειτουργεί χάρη στα θύματά του, που ενδίδουν στις αντίστοιχες απαιτήσεις. Αρκεί να σημειωθεί πως με βάση ορισμένες μελέτες διεθνώς, περίπου τα 2/3 των θυμάτων επιθέσεων ransomware στο τέλος πληρώνουν ότι τους ζητάται. Κάτι, που έχει οδηγήσει τους κυβερνοεγκληματίες να αντιληφθούν πως αφενός μεν θα καταφέρουν να μην συλληφθούν ή κατηγορηθούν και αφετέρου δε έχουν τη δυνατότητα να θέσουν ακόμη υψηλότερες απαιτήσεις. Μάλιστα, το μέσο μέγεθος των λύτρων έχει τριπλασιαστεί κατά τη διάρκεια του τελευταίου έτους, εκμεταλλευόμενο πλήρως το νόμο της προσφοράς και της ζήτησης. Και φυσικά τον φόβο και την άγνοια των χρηστών.

4+1 στοιχεία για την Petya Ransomware επίθεση

  1. Ίδια επίθεση, αλλά τόσο διαφορετική!
    Πράγματι, οι επιθέσεις ransomware WannaCry και Petya μοιάζουν πολύ. Στην τελευταία επίθεση χρησιμοποιήθηκε το backdoor exploit EternalBlue που έχει αναπτυχθεί από την Υπηρεσία Εθνικής Ασφάλειας των ΗΠΑ (National Security Agency), και το οποίο διέρρευσε πριν από μερικούς μήνες. Όσο για τον κυβερνοεγκληματία, κατάφερε να εγκαταστήσει το backdoor σε χιλιάδες ηλεκτρονικούς υπολογιστές, που στη συνέχεια χρησιμοποιήθηκαν ως όχημα παράδοσης ransomware payload. Απλά, στην τελευταία περίπτωση, επίθεση ransomware Petya, ανιχνεύθηκε το στέλεχος GoldenEye, το οποίο δεν κρυπτογραφεί μόνο αρχεία, αλλά και σκληρούς δίσκους, θέτοντας εκτός λειτουργίας πολλαπλάσιο αριθμό υπολογιστών. Εντυπωσιακό είναι το στοιχείο πως κάτι παραπάνω από 2.000 ξεχωριστές επιθέσεις έλαβαν χώρα κατά τη διάρκεια έξι ωρών έπειτα από την αρχική επίθεση, ενώ είναι ενδεικτικό πως η Υπηρεσία Εθνικής Ασφάλειας του κυβερνοχώρου του Ηνωμένου Βασιλείου, το προσδιόρισε ως ένα “παγκόσμιο ransomware περιστατικό”.
  2. Ο “εγκέφαλος” συνήθως δεν αποκαλύπτεται
    Οι υποθέσεις και οι εκτιμήσεις σχετικά με το ποιος μπορεί να βρίσκεται πίσω από μια τέτοια επίθεση μπορεί να ποικίλουν ή ακόμη και να οδηγούν σε λανθασμένα συμπεράσματα. Στο… στόχαστρο συνήθως βρίσκονται οι κυβερνήσεις της Ρωσίας και της Βορείου Κορέας, ωστόσο μέχρι στιγμής τα αποδεικτικά στοιχεία είναι αρκούντως “αδύνατα”. Βέβαια, ουδείς είναι σε θέση να αποκλείσει με σαφήνεια και σιγουριά πως για τις επιθέσεις που προηγήθηκαν η ευθύνη δεν πέφτει επάνω σε έναν μεμονωμένο hacker. Η αλήθεια είναι πως θα πρέπει να περάσει αρκετός καιρός προκειμένου να λάβουν χώρα εκτενείς έρευνες για την αποκάλυψη της ταυτότητας των δραστών, δίχως όμως να είναι απολύτως σίγουρο πως θα καταλήξουν σε κάποιο απτό συμπέρασμα…
  3. Αξιοποιήστε το patching, παντού!
    Σε περίπτωση κατά την οποία δεν έχετε προχωρήσει σε patching των πληροφοριακών σας συστημάτων πρόσφατα, αυτή η στιγμή θεωρείται ως ιδανική. Οι αναλυτές επισημαίνουν πως αρκεί ένα σημείο εισόδου προκειμένου να επιμολυνθεί ένα ολόκληρο δίκτυο! Δηλαδή, στην περίπτωση κατά την οποία ένας ηλεκτρονικός υπολογιστής σε ένα σύνολο που απαρτίζεται από εκατοντάδες άλλους, δεν έχει γίνει patched με το EternalBlue exploit που κυκλοφόρησε πριν από λίγο καιρό από την Microsoft, τότε μπορεί να μολύνει ολόκληρο το εταιρικό δίκτυο. Μάλιστα, οι χρήστες τοπικής δικτύωσης και οι enterprise users βρίσκονται περισσότερο εκτεθειμένοι απέναντι στον κίνδυνο.
  4. Το patching… σώζει!
    Κατά τη διάρκεια των περασμένων εβδομάδων, η Microsoft λανσάρισε μια σειρά από patches ασφαλείας ως άμεση “απάντηση” στην κυβερνοεπίθεση του WannaCry, συμπεριλαμβανομένων και παλαιότερων εκδόσεων των Windows τα οποία και δεν υποστηρίζει πλέον. Κινήσεις σε μια ευρύτερη προσπάθεια αποτροπής της πιθανότητας επέκτασης του malware.
    Μπορεί η πλειοψηφία των επιχειρήσεων να “κατέβασαν” τα τελευταία patches και fixes, ωστόσο υπήρξαν αρκετές που δεν το έκαναν. Για παράδειγμα, σταθμοί τρένων και αεροδρόμια επλήγησαν απευθείας από την πλέον πρόσφατη ransomware επίθεση, καθώς βρίσκονταν συνδεδεμένοι με “ευάλωτα” δίκτυα, τα οποία επιπροσθέτως δεν ήταν patched. Όσο για τις αιτίες που οδηγούν στην αμέλεια της διαδικασίας εγκατάστασης patches και δη άμεσα, συνήθως εξαντλείται στο ζήτημα του downtime που απαιτεί η επανέναρξη της λειτουργίας ενός ηλεκτρονικού υπολογιστή. Πόσο, μάλλον, σε έντονα επιχειρηματικά περιβάλλοντα, που διακρίνονται για συνεχή, 24ωρη λειτουργία δίχως διακοπές και διαταραχές.
  5. Αποκρυπτογράφηση: Mission impossible…
    Η email διεύθυνση που αναγράφεται στο μήνυμα του ransomware μπλοκαρίστηκε από τον πάροχο email υπηρεσιών, κάτι που σημαίνει πως δεν υπάρχει κάποιος ο οποίος να λάβει τα “κλειδιά” της απόκρυψης προκειμένου να “ξεκλειδώσει” τους “προσβληθέντες” ηλεκτρονικούς υπολογιστές.
    Αποτέλεσμα; Όσοι πλήρωσαν τα ανάλογα λύτρα και επιβεβαίωσαν τη συγκεκριμένη πληρωμή στο email που εμφανίζεται στο προειδοποιητικό ransomware μήνυμα, απλά, έχασαν τα χρήματά τους!