Co dokážou hackeři s ransomware ve vaší firemní síti

Jen za  listopad se na nás obrátilo 6 firem, které řešily ransomware ve firemní síti. Ransomware jim na síť nasadili hackeři ručně. Tedy místo běžného ransomware, který přijde e-mailem a někdo na něj klikne, se v těchto případech jednalo vyloženě o hacknutí firmy hackerem a následnou ruční distribuci malware.

Počet útoků je zhruba 3x vyšší, než je běžné. Pomalu bych řekl, že i hackeři si potřebují „vydělat“ na bohatého Ježíška, tak sází přesčasy. 😊

Firmy, které nás oslovují, se často nachází ve velmi tíživé situaci, protože:

• nemají data (občas ani zálohy),
• netuší, kudy útok přišel (tzn. vše se může znovu opakovat),
• nevědí, zdali je/není hacker ještě v síti (hrozí, že se situace ještě zhorší),
• nedokáží určit, co vše bylo kompromitováno,
• neví, zdali jsou v síti ponechány backdoory (útočník se může vrátit).

Málokterý IT specialista by přitom o své síti řekl, že je špatně zabezpečená. Většinou si myslí, že mají vše v pořádku (nejspíše proto, že se jim za posledních 10 let nic nestalo). 😊 O to více jsou pak zaraženi, jak jejich síť po útoku ransomware dopadla. Dle rozhovorů soudím, že primárním problémem je neznalost, čeho všeho je takový hacker schopen a jak pracuje (pokud pominu občasnou profesní zkostnatělost, nebo nezájem o svůj obor).

Proto bych se s vámi rád podělil o své zkušenosti z řešení hackerských útoků. Pro upřesnění kontextu dodávám, že píši o běžných kriminálních hackerských skupinách vydělávajících skrze ransomware. Nikoliv o APT skupinách (jejich zájmy i modus operandi jsou odlišné). 😊

Čeho jsou hackeři schopni

Hackeři přemýšlí. Na rozdíl od spamového ransomware (myšlen ransomware, který se šíří mailem a „jediné“, co po spuštění udělá, je, že zašifruje všechna data, na která dosáhne). Jsou tak schopni reagovat na zjištěné informace, různě je kombinovat, improvizovat a ovládat neznámé aplikace. Z tohoto důvodu jsou jejich útoky mnohem ničivější. Protože zatímco spamový ransomware nepozná váš zálohovací systém, hacker s tím nemá problém a je vcelku jedno, jaký software používáte (vždy se ovládají obdobně, a navíc se jmenují jako „backup cokoliv“).

Hackeři vědí, že pokud má firma zaplatit výkupné, musí přijít nejen o data, ale i o zálohy. Proto po nich často cíleně jdou a smažou/zašifrují je taky. To řada správců nečeká, takže nemá připravený scénář pro tuto situaci (proto o tom píši, aby se to vědělo. 😊

Útočí v noci a o víkendech

Hackeři, se kterými se setkávám, jsou nejčastěji z východu – Rusko, Asie (dle nalezených artefaktů a odhalených IP adres). Nejspíše kvůli malé pravděpodobnosti, že je někdo někdy dostane před spravedlnost (záměrně neútočí v rámci své země/spřátelených zemí).

Nejčastěji útočí během noci (k čemuž jim pomáhá i jiná časová zóna) a o víkendech. Podle mne z toho důvodu, že většina firem v té době nepracuje, nebo má omezený personál. A tak je malá pravděpodobnost, že je v síti někdo včas zahlédne (ať jejich přítomnost, nebo postupné šifrování dat). Většinou mají do pár hodin hotovo.

Jak se do sítě dostávají

Pořád bych řekl, že platí, že si hackeři svou oběť nevybírají podle toho „kdo“ jste, nýbrž zdali u vás máte „trendy“ zranitelnost (něco, co aktuálně zneužívají). Kvalifikačním kritériem proto „být hacknut“ je tedy nejčastěji:

• objevená chyba na veřejně dostupné službě,
• uniklé přihlašovací údaje (z nějaké hacknuté služby třetí strany),
• spear phishing,
• backdoor v e-mailu,
• nebo můj favorit – útok skrze partnerskou organizaci (hackeři se naučili útočit na IT outsourcingové firmy – o tom snad napíšu příští článek).

VPN není překážka

Mnoho firem se snaží neustále chránit svůj perimetr – rozhraní mezi vnitřní sítí a internetem. Je to potřeba, ale není to samospásné. Hackeři totiž VPN klienty ovládají také.😊 Běžně se stává, že se hacker se získanými přihlašovacími údaji připojí na VPN a útočí z ní.

Případně pokud se jim podaří propašovat do sítě backdoor, tak nejčastěji komunikují po HTTPS protokolu. Ten bývá zpravidla povolen. A jelikož se jedná o šifrované spojení, tak do jeho obsahu router nevidí (pokud nemá nějakou formu SSL inspekce).

V cizí síti se zorientují za pár desítek minut

Možná si říkáte, že vaše síť je natolik komplikovaná, že jen zorientovat se v ní zabere několik hodin času. Jenže cílem hackera není „zdokumentovat vám rackovou skříň“ , ale rychle identifikovat důležité servery/zařízení. Tím, že je tohle jejich denní chleba, dokážou to udělat za pár desítek minut.

U VPN typu split tunneling rovnou získají vnitřní IP rozsahy od VPN serveru. Vždy se ale mohou obrátit na přidělené DNS servery, z LDAPu si zjistit název domény a pak se doptat na adresy všech DC serverů. Tím získají pár subnetů, co se v síti používá.

Následuje rychlý sken sítě – ping + vybrané porty (telnet, SSH, HTTP, HTTPS SMB, LDAP, MSSQL, RDP). Získají rychlý přehled o tom, co kde běží včetně názvů zařízení (SMB, banner jiného protokolu, nebo reverse DNS). Z názvové konvence již odtuší, co je jaké zařízení a jaká je jeho důležitost.

Jak hacknou první počítač

Nejčastěji se na první počítač dostanou s přihlašovacími údaji, které použili již k VPN. Na jaká zařízení údaje fungují, jim ověří software za pár minut (např. CrackMapExec). Další jednoduchou a rychlou cestou jsou neaktualizovaná zařízení, která jsou exploitovatelná skrze EternalBlue, nebo BlueKeep (Zranitelnosti RDP – BlueKeep a DejaBlue).

Možností také je stáhnout seznam uživatelů z AD (stačí na to běžný domain user účet) a zkusit password spraying, nebo wordlist password guessing. Občas si správci poznačí heslo k účtu do políčka „description“, které je však veřejně čitelné. 😊 Toto jsou však více teoretické věci. Tedy ne proto, že by byly složité nebo nefungovaly. Hackeři však v naprosté většině případů, co jsem viděl, získali první počítač/server s postupy výše.

Postupné ovládnutí sítě

Na každém zařízení, kam se hackeři dostanou, se snaží najít další přístupové údaje, které by jim pomohly ovládnout další části sítě. Standardně k tomu využívají Mimikatz (vyčítá hesla z paměti pro aktuálně přihlášené uživatelé, uložená hesla ve správci pověření a hashe lokální uživatelských účtů), nebo WebBrowserPassView (vyčítání hesel uložených v prohlížeči).

Stejně tak projdou soubory, které mají uživatelé na ploše/v dokumentech, nainstalované programy, … a pokud najdou něco zajímavého jako VNC, přihlášený TeamViewer, otevřeného správce hesel, tak toho využijí. Stačí jim to k ovládnutí celé Active Directory.

Ransomware se blíží a na data míří

Jakmile mají dostatečnou kontrolu nad celou sítí, začnou se připravovat na nasazení ransomware do sítě. Vytipují si proto zařízení/servery, ze který ransomware pustí. Ten zašifruje data na daném zařízení a následně na všech síťových discích, na které ransomware uvidí a bude mít právo zápisu (včetně administrative sharů – tzn. C$ a další). Avšak stále ještě musí vyřešit 2 problémy – antivirus a spuštěné systémy.

Protože je jejich ransomware často profláknutý, antiviry jej detekují. Což se hackerům samozřejmě nehodí. Hackeři se často snaží ze serverů/stanic, na kterých ransomware pustí, antivirus nejprve odinstalovat, rozbít, udělat si výjimku. Vzácností není, že pokud narazí na centrální konzoli antiviru, nechají ho hromadně odinstalovat v celé síti.

Zbývá postarat se o běžící systémy (SQL databáze, mailové servery, virtuální servery, zálohovací systémy). Protože ty mají často datové soubory otevřené a uzamčené pro sebe a ransomware by je nemohl zašifrovat. Hackeři často tyto služby zastavují a vypínají jejich automatické spuštění.

Vypnutím služeb přestane řada věcí fungovat. Hackerům hrozí, že si jich někdo všimne a jejich útok zastaví. Proto nyní hrají o čas. Většinou hackeři ransomware spouští z více míst, aby se zašifrovalo co nejvíce dat a šifrování pokračovalo i v případě odstavení jednoho z napadených serverů.

TIP Z PRAXE. Jako vedlejší efekt výše uvedeného postupu se může stát, že se některá data zašifrují vícekrát. V takovém případě je nutné o tom s útočníky rovnou na začátku jednat, jinak budete platit výkupné na několikrát. 😉

Co všechno ještě umí

Pokud jste správci sítě, možná vám už nyní běhá mráz po zádech. Nicméně útočníci mají ještě pár triků v rukávu.

Častokrát si během útoku udělají na pár zařízení backdoor a sledují, jak se vaší síti daří. Problém nastane, když v tuto chvíli začnete obnovovat. Buď se vám začnou obnovená data znovu šifrovat. Nebo, pokud se hackeři ještě nedostali v síti všude, mohou využít vaší neopatrnosti. A jakmile se začnete připojovat do různých systémů (např. zálohovacího), abyste začali obnovovat, ukradnou vaše přihlašovací údaje a dokončí svou práci.

Obdobně pokud během pohybu po vaší síti zjistí, že používáte nějaký monitorovací systém, formu vzdálené správy, nebo máte přihlašovací údaje k jiným sítím, nejspíše toho využijí. Dle aktuálních trendů hackeři útočí na MSP (IT outsourcingové firmy), protože jednou hacknutou firmou se dostanou k desítkám či stovkám zákazníků. Ve světě se to děje čím dál častěji a rád bych tomuto tématu věnoval příští článek.

Závěr

Útočníkům se často platí výkupné a oni se díky tomu profesionalizují a stále zlepšují. Proto ani my, obránci, nesmíme zaspat a musíme se snažit být krok před nimi.

Pokud se zamýšlíte nad obranou, koukněte i na technologie a postupy, které používáme u nás a našich zákazníků (o většině jsem již psal článek). Budu rád, když vám pomohou:

• Díky standardizaci a monitorovacímu systému máme menší množství technologií, které lépe uhlídáme, bezpečněji nastavíme a snižujeme pravděpodobnost, že se někde objeví zapomenuté, nezabezpečené/neaktualizované zařízení.
• Díky tierování máme u sebe i zákazníků rozsegmentovaná prostředí, abychom ztížili případný pohyb hackera v síti, a víme, jaké systémy potřebují vyšší formu zabezpečení.
• V sítích děláme nejen restrikce, ale snažíme se mít i monitorovací/detekční mechanismy (viz životní cyklus bezpečnosti), které nás včas upozorní na problém a zpětně pomohou vypátrat způsob průniku do sítě a všechna zasažená zařízení.
• Zálohy provádíme více technologiemi a snažíme se je udělat tak, aby se nedaly ze sítě zákazníka smazat/modifikovat.
• Na každé zařízení se snažíme mít unikátní a dostatečně dlouhé heslo. Neztratit se v heslech nám pomáhá systém na správu hesel.
• A hlavně, protože nás práce baví, snažíme se dělat věci pořádně a neustále se vzdělávat.😊

Souhlasíte s článkem? Máte podobou zkušenost, nebo se setkáváte s odlišným chováním hackerům, než co popisuji? Máte další nápady na obranu? Těším se na vaše komentáře pod článkem. 👇

🎄 Přeji Vám krásné a klidné vánoční svátky a ať se v novém roce drží bezpečnostní incidenty od vašich sítí dál. 🎄

Martin Haller

PS: Hackeři vylepšili svoji strategii a nově vydírají, že pokud nezaplatíte, zveřejní ukradená data. Viz nový článek o ransomware a zveřejnění dat. Nebo si přečtěte „Jak hackeři napadají firmy skrze jejich IT dodavatele„. Proč hackovat každou firmu zvlášť, když se stejným úsilím můžete hacknout dodavatelský řetězec a dostat se tak k desítkám/stovkám firem zdarma?