Site icon Martin Haller, Blog o ochraně a správě firemního IT

Ransomware 2: Zaplatit výkupné, nebo data nemít

Bitcoin

Letní prázdniny byly zrovna v půlce. Část kolegů pryč na dovolené a část na větší realizaci u zákazníka. Já jsem se snažil prokousat klasickým pondělním shonem, kdy mám mailovou schránku zaplněnou e-maily od o víkendu dobrovolně či nedobrovolně pracujících workoholiků.

Zavolal nám nový zákazník, že mu prý nechce nastartovat server a externí disk se zálohami se nenačítá. Dostal na nás kontakt od svého známého, že jestli mu je někdo schopen pomoci, tak že jsme to my (taková chvála nás vždy těší 😊).

Popis situace

Od zákazníka jsem následně dostal tuto fotku s obrazovkou serveru. Řekl jsem si OK, tohle jsem ještě neviděl a vypadá to zajímavě. Rychle jsem zagoogloval a tipnul si, že to je tak 50/50 fake. Zákazník se tedy vydal na nepředvídatelnou 4hodinovou cestu z Plzně do Brna po D1.

Než zákazník dorazil, stihl jsem trochu více googlit. Podařilo se mi zjistit, že někteří útočníci přešli od svých, často děravých „cryptovirů“ na legitimní nástroj Diskcryptor. Jejich „cryptoviry“, resp. nástroje, kterými šifrovali data, měly často nějakou vadu. Díky těm vadám se dařilo bezpečnostním firmám šifrování prolomit a útočníci tak přišli o výkupné.

Je to poměrně chytrý tah. Už dříve jsem si říkal, proč to tak nedělají. Využitím ověřených open source nástrojů totiž: obejdou antivirus (protože se jedná o legitimní aplikaci), nebudou muset sami nic programovat a neudělají tak v programu chyby, které by zhatily jejich zálusk na výkupné.

Když jsem si pak porovnal výše uvedenou fotku s „promptem“, kterou má DiskCryptor, byl jsem si poměrně jist proti čemu jdeme (FVE – full volume encryption – šifrování celých diskových oddílů). Nechtěl jsem to však hned vzdát, protože zákazník se na nás spolehl a hledal jsem dále.

Když dojel zákazník

Pořád jsem doufal, že útočníci udělali nějakou chybu a data se podaří obnovit. Například někteří útočníci používali stále stejné heslo a já doufal, že by mohlo fungovat. Bohužel žádné z hesel nefungovalo.

Nabootoval jsem „Active@ LiveCD!“ a začal analyzovat data na interním RAID serveru. Na vedlejším PC jsem pak analyzoval externí disk pomocí „EaseUS Data Recovery Wizard“. Disky serveru i externí disk byly opravdu zašifrovány pomocí DiskCryptoru. Další analýzou jsem však objevil i nějaká nezašifrovaná data. Dle mého názoru se jednalo o „volné místo“ (smazané soubory v době před spuštěním Diskcryptoru), které Diskcryptor vynechal, aby zkrátil dobu šifrování. Asi bychom z toho nějaké MDF soubory, o které šlo zákazníkovi nejvíce dostali, ale ani tak by to nebyl žádný zázrak a trvalo by to řadu hodin.

Situace byla tedy následující:

Komunikace s útočníky

Ještě, než zákazník dorazil, začal jsem s útočníky vyjednávat. Byla to taková pojistka, kdyby náhodou došlo na nejhorší a my nedokázali data obnovit. Vyjednávání jsem vedl ze soukromého e-mailu (abychom je nevyplašili a neodhadli, kolik je zákazník ochoten zaplatit) v angličtině (útočníci česky neumí 😊).

Musím říct, že rychlost odpovědí útočníků by mohla závidět kdejaká korporátní help linka. Útočníci nastřelili cenu na 2,1 BTC, což bylo v té době cca 126 tisíc korun. Vyjednával jsem ve stylu, že jsme malá rodinná firma a tolik peněz nemáme. Dostali jsme se tedy na 0,5 BTC (cca 30.000 Kč). Myslím, že by se to dalo uhrát ještě níže, ale zákazník byl již s touto cenou spokojený a vzhledem ke ztrátě, která mu vznikala za každý den nedostupnosti, na částku přistoupil.

Převedli jsme tedy peníze do BTC, útočníkům zaplatili a s napětím jsme čekali, zdali dostaneme heslo pro odemčení disku. Za pár minut přišel e-mail i s heslem, které bylo poměrně jednoduché (6 číslic) a naštěstí fungovalo.

Konec dobrý, všechno dobré

Normálně bych nepokládal zaplacení výkupného jako úspěšný konec záchrany dat…

Na druhou stranu:

Poučení z příběhu?

Poté, co jsme server odemkli zaslaným heslem, začal jsem zjišťovat, jaký byl způsob průniku. Původně jsem podezříval prolomení uživatele Administrator skrze slovníkový útok na port-forwardované RDP (viz Ransomware 1: Obnova dat aneb štěstí v neštěstí). Neměl jsem však jistotu, heslo zde bylo slabé, ale nikoliv úplně slovníkové. Po naběhnutí serveru mi však bylo jasné, že útok byl veden ručně skrze VNC, které zde bylo ponecháno se slabým heslem a s přístupem z internetu.

Viděl bych následující kritické problémy u serveru:

Neaktualizovaný systém: po naběhnutí serveru jsem si všiml, že operační systém nebyl 4 roky aktualizován. Sice to v tomto případě nehrálo roli, ale byla by jen otázka času, než by byl server kompromitován na základě nějakého exploitu (např. EternalBlue). Stačilo by jen aby někdo zapojil do sítě infikovanou stanici.

Líbí se vám témata, o kterých píši?

Abyste nemuseli kontrolovat, jestli už vyšel nový článek, rád vám ho ihned po zveřejnění pošlu do e-mailu. Každý kontakt, který mi poskytnete, si nechám vždy jen pro sebe.

Exit mobile version