Hlavní navigace

Postřehy z bezpečnosti: zaplaťte výkupné, nebo vás udáme

13. 7. 2020
Doba čtení: 3 minuty

Sdílet

Dnes se podíváme na nový argument, kteří tvůrci ransomwaru používají pro motivaci svých obětí k zaplacení výkupného, na nové triky ransomwaru Conti, na ne tak bezpečnou komunikační síť EncroChat a další zajímavosti.

Zaplaťte, nebo vás udáme

O vyděračských útocích na databáze MongoDB jsme v tomto seriálu psali již mnohokrát. Více než u jiných databází se tu bohužel stává, že jsou v důsledku ponechání výchozí konfigurace přístupné bez jakékoliv autentizace z veřejného Internetu. Útočník si pak jen velmi jednoduše stáhne kompletní data, databázi následně smaže a ponechá v ní jen vše vysvětlující dokument  READ_ME_TO_RECOVER_YOUR_DATA.

Až potud nic nového, nicméně skupina Bad Actors přišla se zajímavou motivací, jak přinutit více svých obětí zaplatit výkupné. Ke klasickým dvěma argumentům (1. přijdete o data a/nebo 2. data zveřejníme a už nebudete mít žádná tajemství) přidala novinku: zaplaťte, nebo vás nahlásíme úřadům dohlížejícím na GDPR, jak mizerně bdíte nad daty svých uživatelů, a pak teprve budete mít průšvih a budete platit, ale pokuty.

Nové triky ransomwaru Conti

Méně známý druh ransomwaru Conti začal podle výzkumníků z Carbon Black používat pro zvýšení efektivity několik nových zajímavých triků. Prvním z nich je masivní využití paralelizace pro významné zrychlení šifrování a zkrácení času, po který by si antivirus mohl všimnout něčeho nekalého a veškerou snahu zhatit. Podle výzkumníků umí malware použít až 32 CPU vláken, což je výrazně více než u konkurence.

Další trik vychází přímo z jeho návrhu. Conti je navržen tak, aby nepracoval autonomně, ale byl k akcím instruován útočníkem. A jeho příkazová řádka umožňuje poměrně jemnou kontrolu nad tím, co má být šifrováno. Útočník toho může využít například k tomu, aby nezašifroval lokální soubory, ale jen soubory na síťových discích. Hledání vektoru útoku pak může být pro bezpečnostního pracovníka pravou noční můrou, protože vstupní bod nemusí být hned patrný. Útočník má navíc stále kontrolu na napadeným strojem, uživatel si nemusí všimnout velmi dlouhou dobu, že to jeho stroj je napaden.

Posledním novým kouskem je zneužití komponenty Windows Restart Manager k odemčení uzamčených souborů za účelem jejich následného zašifrování.

Stovky zločinců zatčeny díky prolomení sítě EncroChat

Společným silám policejních složek Británie a Evropy se povedl kousek jako z filmového plátna. Klíčovou roli v tom sehrála šifrovaná komunikační síť EncroChat. Jednalo se o firmu poskytující zákazníkům anonymní a zabezpečenou formu komunikace. Bylo možné od ní získat zařízení s fyzicky demontovanou GPS, kamerou, mikrofonem, upraveným OS na bázi Androidu a komunikační aplikací využívající end-to-end šifrování. Zcela jistě ji používala celá řada bezúhonných uživatelů i k legálním účelům, nicméně smutnou pravdou bylo, že drtivá většina uživatelů byla z řad kriminálníků, vrahů, drogových dealerů a podobné sorty lidí.

V březnu letošního roku se ale policistům podařilo šifrování nejen prolomit, ale od dubna byli dokonce díky sledovacímu programu instalovanému přímo na serverech EncroChat schopni v reálném čase a hlavně nepozorovaně zachytávat a analyzovat veškerou komunikaci na síti. Doslova přes rameno tak několik měsíců četli zprávy, ve kterých se bez obalu a naprosto přímo domlouvaly drogové obchody, vydírání, praní špinavých peněz, únosy i vraždy.

Následovaly policejní akce, které pravděpodobně nemají obdoby. Na základě získaných informací začali policisté po celé Evropě provádět blesková zatýkání zločinců všeho druhu a ve zprávách na síti EncroChat bylo pro policisty jistě zábavné číst, jak se doposud činní kriminálníci škrábou na hlavě a dumají, jak je možné, že jsou policejní zásahy tak přesně cílené.

root_podpora

Při zatýkacích akcích bylo doposud zadrženo 746 podezřelých osob, miliony a miliony v hotovosti, automatické zbraně, granáty, více než dvě tuny drog, drahá auta, hodinky, … Díky odposlechnutým zprávám byly navíc získány klíčové informace pro stovky probíhajících vyšetřování a podklady pro zahájení stovek nových.

Ve zkratce

Pro zasmání

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Byl pro vás článek přínosný?

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.