Opinie nt. cyberataku na transport miejski w San Francisco

01-12-2016, 16:15

Pojęcie ransomware było w mijającym roku odmieniane przez wszystkie przypadki. Jednym z najciekawszych wydarzeń, w którym cyberprzestępcy wykorzystali oprogramowanie do wymuszania okupu był atak na sieć komputerową operatora transportu miejskiego w San Francisco – SFMTA. Poniżej przedstawiamy podsumowanie i komentarz ekspertów z Kaspersky Lab oraz Deloitte.

Komentuje Marcin Ludwiszewski, lider obszaru cyberbezpieczeństwa w Deloitte w Polsce:

Jak podają źródła internetowe, w ostatni czwartek i piątek sieć komputerowa operatora transportu miejskiego w San Francisco – SFMTA, była przedmiotem ataku z wykorzystaniem oprogramowania złośliwego typu ransomware. Skutkiem ataku była niedostępność automatów m.in. do zakupu biletów w sieci transportu miejskiego – Muni (autobusy, tramwaje, lekka kolei). W zamian za odzyskanie dostępu do sieci przestępcy zażądali okupu w wysokości 100 BTC (około 73 000 dolarów, czyli około 302 950 zł).

Z komunikatu wyświetlanego na zainfekowanych komputerach:

komunikat “You Hacked, ALL Data Encrypted. Contact For Key(cryptom27@yandex.com)ID:681 ,Enter.” wyświetlany na monitorze

Fot. sfexaminer.com

“You Hacked, ALL Data Encrypted. Contact For Key(cryptom27@yandex.com)ID:681 ,Enter.”

wynika, że do ataku wykorzystano znane oprogramowanie ransomware - cryptom27@yandex.com (firma Morphus Labs opisywała podobne oprogramowanie w swoim wrześniowym biuletynie nazywając je Mamba). Nie potwierdzono do końca wektora ataku, niektóre źródła wskazują na typowy phishing a później eskalację wewnątrz sieci i przejęcie przynajmniej jednego z kontrolerów domeny. W odróżnieniu od celu ataku, sam czas ataku wydaje się nieprzypadkowy z uwagi na przypadające na czwartek święto dziękczynienia i długi weekend, a więc mniejszą czujność i dłuższy czas reakcji na wypadek incydentu. Z przekazów internetowych oraz komunikacji SMFTA i Muni nie wynika też do końca jaki jest obecny status odzyskiwania sprawności sieci.

Ataki z wykorzystaniem ransomware są motywowane chęcią zysku finansowego. Poza wykorzystywaniem nadarzającej się okazji do infekowania (np. poprzez SPAM) wykorzystywane są coraz częściej do ataków ukierunkowanych na organizacje, gdzie właściciel jest bardziej skłonny do podjęcia decyzji o zapłacie okupu z uwagi na potencjalnie duże skutki (np. wpływ na zdrowie lub życie). Przykładem jest tegoroczny wysyp ataków na szpitale (Hollywood Presbiterian zapłacił 17 tysięcy dolarów okupu za odszyfrowanie swoich plików).

san francisco metro atak - niedziałające automaty do zakupu biletów

Fot. sfexaminer.com


Komentuje Anton Iwanow, ekspert ds. bezpieczeństwa IT Kaspersky Lab:

Z naszych badań wynika, że grupa stojąca za szkodliwym oprogramowaniem szyfrującym dane (ransomware) wykorzystanym w ataku na metro w San Francisco jest aktywna od września 2016 r. Do głównych celów tego cybergangu należą duże organizacje komercyjne z Arabii Saudyjskiej oraz Stanów Zjednoczonych.

Po wstępnej infekcji przestępcy wykorzystują zmodyfikowaną wersję narzędzia Disk Cryptor – dostępnego publicznie oprogramowania pozwalającego na szyfrowanie zawartości dysków twardych. Ponadto, by zapewnić szkodliwemu narzędziu możliwość przetrwania ponownego uruchomienia zainfekowanego komputera, wykorzystywane jest oprogramowanie służące do przeprowadzania testów penetracyjnych (Mimikatz) oraz dostępny publicznie szkodliwy program o nazwie Pupy RAT. Jak widać — atakujący realizują swoje szkodliwe działania przy użyciu ogólnodostępnych narzędzi.

 

Zobacz także:

Techniki twórców złośliwego oprogramowania. Elementarz programisty

Aby skutecznie uchronić się przed atakami, nie wystarczy tylko instalacja pakietu antywirusowego czy mechaniczne przestrzeganie kilku prostych wskazówek. Autor książki dzieli się swoim doświadczeniem w zakresie tworzenia złośliwego kodu i obrony przed atakami przeprowadzanymi za jego pomocą. Prezentuje różne rodzaje zagrożeń czyhających na użytkowników komputerów PC z systemem Windows i metody pozwalające się ich ustrzec.*

Szkodliwość i złożoność ataku należy ocenić jako wysoką — w przeciwieństwie do innych gangów wykorzystujących oprogramowanie ransomware, omawiana grupa stosuje narzędzia szyfrujące całe dyski, które nie tylko blokują dostęp do danych, ale także uniemożliwiają ponowne uruchomienie komputera aż do momentu zapłacenia okupu przez ofiarę. Mimo skomplikowania ataku technologie proaktywne wbudowane w rozwiązania Kaspersky Lab skutecznie go wykrywają.

Cyberprzestępcy coraz częściej atakują duże organizacje (zarówno komercyjne, jak i niekomercyjne), ponieważ wiedzą, że mają one bardzo dużo do stracenia, gdy dojdzie do zablokowania dostępu do danych. Mowa tu o szpitalach, organizacjach handlowych, a teraz także o transporcie publicznym. Strategia tych ataków wydaje się być dość oczywista — firmy te mają tak dużo do stracenia, że będą skłonne zapłacić okup za odzyskanie dostępu do danych i komputerów.

W Kaspersky Lab uważamy, że płacenie okupu cyberprzestępcom nie jest dobrym rozwiązaniem — utwierdza ich to w przekonaniu, że ataki są skuteczne i można na nich zarobić, co motywuje do dalszego tworzenia jeszcze bardziej zaawansowanych szkodliwych narzędzi. Zamiast płacić okup zalecamy zgłoszenie sprawy organom ścigania. Aby nie doszło do sytuacji, w której firma lub użytkownik domowy stanie przed wyborem — płacić czy nie płacić, zalecamy regularne tworzenie kopii zapasowych najcenniejszych danych. Kopia taka powinna być przechowywana na nośniku, który nie jest na stałe podłączony do komputera lub firmowej sieci. Warto także rozważyć instalację rozwiązania bezpieczeństwa wyposażonego w funkcje wspomagające walkę z oprogramowaniem ransomware. Dzięki temu potencjalny atak zostanie powstrzymany, zanim cyberprzestępcy zdążą wyrządzić jakiekolwiek szkody.


Źródło: Deloitte. Kaspersky Lab. Materiał nadesłany do redakcji. Wydawca nie odpowiada za treści nieredakcyjne. Kontakt dla firm zainteresowanych publikacjami w DI: kf@di24.pl
  
znajdź w serwisie



RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Luty 2019»
PoWtŚrCzwPtSbNd
 123
45678910
11121314151617
18192021222324
25262728