27/6/17

Nέοι Ransomware και τα $1.000.000 λύτρα σε hosting provider

RANSOMWARE UPDATES 
16/6/2017 – 27/6/2017


To διάστημα που μας πέρασε μόνο τρελό μπορεί να χαρακτηριστεί. Ξεχωρίζει το νέο με την εταιρία hosting που πλήρωσε $1.000.000 λύτρα σε bitcoins μετά από επίθεση Ransomware που δέχτηκε. 

ΣΟΚ ΜΕ ΕΤΑΙΡΙΑ HOSTING ΠΟΥ ΠΛΗΡΩΣΕ $1.000.000 ΜΕΤΑ ΑΠΟ ΕΠΙΘΕΣΗ RANSOMWARE

Στις 10/6/17, η Nayana, μια εταιρία hosting από τη Νότια Κορέα δέχτηκε επίθεση Ransomware με αποτέλεσμα να κρυπτογραφηθούν όλοι οι server με τα website των πελατών της. Οι σέρβερ που μολύνθηκαν ήταν 153 στον αριθμό.
Ο Ransomware που επιτέθηκε στους server της εταιρίας, κρυπτογράφησε όλα τα δεδομένα και στη συνέχεια ζητούσε λύτρα, ήταν ο Erebus.



Οι τύποι των αρχείων που στοχεύει ο συγκεκριμένος Ransomware είναι:

targztgztazbztbzbz2, lzlzmalz4, contactdbxdocdocxjntjpgmapimailmsgoabodspdfppsppsmpptpptmprfpstrarrtftxtwabxlsxlsxxmlzip, 1cd, 3ds, 3g2, 3gp, 7z, 7zipaccdbaoiasfaspaspxasxavibakcercfgclassconfigcsscsvdbddsdwgdxfflfflvhtmlidxjskeykwmlaccdbldflitm3umbxmdmdfmidmlbmovmp3, mp4, mpgobjodtpagesphppsdpwmrmsafesavsavesqlsrtswfthmvobwavwmawmvxlsb, 3dmaacaiarwccdrclscpicppcsdb3, docmdotdotmdotxdrwdxbepsflaflacfxgjavamm4vmaxmdbpcdpctplpotmpotxppamppsmppsxpptmpspspimager3drw2, sldmsldxsvgtgawpsxlaxlamxlmxlrxlsmxltxltmxltxxlwactadpalbkpblendcdfcdxcgmcr2, crtdacdbfdcrddddesigndtdfdbffffpxhiifinddjpegmosndnsdnsfnsgnshodcodpoilpaspatpefpfxptxqbbqbmsas7bdatsayst4, st6, stcsxcsxwtlgwadxlkaiffbinbmpcmtdatditedbflvvgifgroupshddhpplogm2tsm4pmkvmpegndfnvramoggostpabpdbpifpngqedqcowqcow2, rvtst7, stmvboxvdivhdvhdxvmdkvmsdvmxvmxf, 3fr, 3prab4, accdeaccdraccdtachacradbadsagdlaitapjasmawgbackbackupbackupdbbankbaybdbbgtbikbpwcdr3, cdr4, cdr5, cdr6, cdrwce1, ce2, cibcrawcrwcshcsldb_journaldc2, dcsddocddrwderdesdgcdjvudngdrfdxgemlerbsqlerfexfffdfhfhdgraygreygryhbkibankibdibziiqincpasjpekc2, kdbxkdckpdxluamdcmefmfwmmwmnymoneywellmrwmydnddnefnk2, nopnrwns2, ns3, ns4, nwbnx2, nxlnyfodbodfodgodmorfotgothotpotsottp12, p7bp7cpddpemplus_muhdplcpotpptxpsafe3, pyqbaqbrqbwqbxqbyrafratrawrdbrwlrwzs3dbsd0, sdasdfsqlitesqlite3, sqlitedbsr2, srfsrwst5, st8, stdstistwstxsxdsxgsxisxmtexwalletwb2, wpdx11, x3fxisycbcrayuvmabjsoninisdbsqlite-shmsqlite-walmsfjarcdbsrbabdqtbcfninfoinfo_, flbdefatbtbntbbtlxpmlpmopnxpncpmipmmlckpm!, pmrusrpndpmjpmlocksrspbfomgwmfshwarascxtif



Τα ενδιαφέροντα σημεία της ιστορίας είναι τα εξής:
α) Η μοναδική έκδοση του Erebus που γνωρίζαμε πριν το συμβάν είχε κυκλοφορήσει το 2016, στη συνέχεια εξαφανίστηκε και μετά ξαναβγήκε στην επιφάνεια το Φεβρουάριο που μας πέρασε. Το θέμα είναι ότι η γνωστή αυτή έκδοση στόχευε μόνο λειτουργικά συστήματα Windows, ενώ αυτός ο οποίος χτύπησε τη Nayana επιτέθηκε σε Linux
β) H αρχική απαίτηση για πληρωμή λύτρων για την αποκρυπτογράφηση ήταν 550 bitcoins (!!!), δηλαδή περίπου $1.620.000 (με την ισοτιμία της τότε ημέρας). Μετά από διαπραγματεύσεις με τους κακοποιούς, κατέβασαν το ποσό των λύτρων σε 397.6 bitcoins (δηλαδή περίπου $1.000.000) με την προοπτική να το πληρώσουν σε 3 δόσεις. Η εταιρία ανακοίνωσε ότι στις 19/6 πλήρωσε τη δεύτερη δόση του ποσού.
γ) Μετά από ανάλυση του website της εταιρίας, διαπιστώνουμε ότι δεν αποτελεί έκπληξη ότι έπεσε θύμα της επιμόλυνσης.
Συγκεκριμένα,
Το website της NAYANA τρέχει Linux kernel 2.6.24.2 ο οποίος είχε γίνει compile το 2008 (…). Επιπροσθέτως, το website της NAYANA χρησιμοποιεί έκδοση Apache 1.3.36 και PHP έκδοση 5.1.4 οι οποίες είχαν κυκλοφορήσει το 2006. Τα τρωτά σημεία και οι ευαισθησίες και των δύο αυτών εκδόσεων είναι γνωστά σε όλους. Τέλος, η έκδοση Apache που χρησιμοποιεί η Nayana τρέχει με user=nobody (uid=99), κάτι που σημαίνει ότι μπορεί να έχει προηγηθεί local exploit στην επίθεση.

Προς το παρόν δεν είναι γνωστός ο τρόπος εισβολής στους εξυπηρετητές της εταιρίας, όμως με τόσες φτωχές πρακτικές ασφαλείας, είναι θέμα ωρών να ξαναχτυπηθούν, αν δεν κλείσουν οι τρύπες ασφαλείας….



Επίσης και πάλι τα πιο πολλά variants που ανιχνεύσαμε είναι υπό κατασκευή και δύσκολα θα τα δούμε να διασπείρονται.

Ας δούμε αναλυτικά.


WannaCry από τη Συρία!?!

Δεν είναι ο κανονικός WannaCry αλλά μια παραλλαγή του, βασισμένη στον HiddenTear και ονομάζεται WanaDecrypt0r Trojan-Syria Edition. Είναι υπό κατασκευή, αλλά αν τα καταφέρει να βγει στην πιάτσα θα τοποθετεί την επέκταση .Wana Decryptor Trojan-Syria Edition στα κρυπτογραφημένα αρχεία.

NEOΣ RANSOMWARE: WINBAMBOOZLE

Δεν τα σκαρφιζόμαστε εμείς αυτά τα ονόματα….
Αυτός είναι υπό κατασκευή και προς το παρόν κρυπτογραφεί μόνο τον φάκελο /test βάζοντας μία τυχαία κατάληξη 5 χαρακτήρων.


NEOΣ RANSOMWARE: NSMF

Kι αυτός είναι βασισμένος στον HiddenTear και ονομάζεται NSMF (Nigga Stone My Files), τοποθετεί την επέκταση .nsmf στα κρυπτογραφημένα αρχεία και εμφανίζει ένα Ransom Note όπου μας μιλάει για τον εαυτό του, ότι δεν του αρέσει το αλκοόλ, τα νυχτερινά μαγαζιά και τα επιδόρπια (?!). Τι πίνουν δεν μας είπαν…
A
, επίσης ζητάει μόνο 5 bitcoins (δηλαδή το ταπεινό ποσό των ~13.000 ευρώ).



ΝΕΟΣ RANSOMWARE: Gansta
Δεν υποτίθεται ότι θα έπρεπε να είναι Gangsta?


ΝΕΟΣ ScreenLocker ζητάει τον αριθμό πιστωτικής

Αυτή είναι καινούργια τακτική, ο συγκεκριμένος ScreenLocker ζητάει τον αριθμό της πιστωτικής κάρτας των θυμάτων του.

ΝΕΑ ΕΚΔΟΣΗ ΤΟΥ Crypt888
Σε αυτήν την έκδοση, τοποθετείται το πρόθεμα Lock. στα κρυπτογραφημένα αρχεία και χρησιμοποιείται ένα (εξίσου άθλιο) νέο background.

ΕΝΑ ΜΗΝΑ ΜΕΤΑ, Ο WANNACRY ΣΥΝΕΧΙΖΕΙ ΝΑ ΚΛΕΙΝΕΙ ΕΡΓΟΣΤΑΣΙΑ…
Σύμφωνα με το Reuters, η αυτοκινητοβιομηχανία Honda αναγκάστηκε να σταματήσει την παραγωγή στο εργοστάσιό της στην Sayama της Ιαπωνίας, μετά από μόλυνση των συστημάτων τους με τον WannaCry.

Το γεγονός είναι περίεργο και ανησυχητικό, καθώς ο αυθεντικός WannaCry Ransomware που εξαπλώθηκε σε όλο τον κόσμο τον Μάιο, είχε μπλοκαριστεί τότε μέσω του killswitch domain που είχε καταχωρηθεί με σκοπό το σταμάτημα της εξάπλωσής του.
Αυτό σημαίνει ότι είτε κάποιος μέσα στη Honda μπλόκαρε την πρόσβαση στο killswitch domain, είτε υπάρχει εκεί έξω άλλη έκδοση του WannaCry που χρησιμοποιεί άλλο domain ή δεν έχει killswitch feature.
Η επικρατούσα άποψη πάντως (να σημειώσουμε ότι η ίδια η Honda δεν έδωσε περαιτέρω πληροφορίες για το συμβάν, πλην της λιτής δήλωσης στο Reuters) είναι ότι κάποιος εργαζόμενος της Honda έφερε συσκευή με εξουδετερωμένο WannaCry σε κάποιο offline δίκτυο του εργοστασίου. Λόγω του ότι η συσκευή ήταν offline, δεν θα μπορούσε να επικοινωνήσει με το killswitch domain και επομένως ξεκίνησε να μολύνει ό,τι έβρισκε.

Τέλος, να πούμε ότι ακόμα και σήμερα το killswitch domain δέχεται περίπου 200.000 χτυπήματα ημερησίως, κάτι που σημαίνει ότι ο WannaCry συνεχίζει να μολύνει Η/Υ καθημερινά, αλλά δεν κρυπτογραφεί τα αρχεία.

Υπενθυμίζουμε ότι εκτός από τη Honda, τόσο η Renault όσο και η Nissan είχαν πέσει στο παρελθόν θύματα του WannaCry με αποτέλεσμα να χρειαστεί να σταματήσουν την παραγωγή στα εργοστάσιά τους στη Γαλλία, την Ινδία, την Ιαπωνία, τη Ρουμανία και τη Μεγάλη Βρετανία.


ΜΟΥΦΑ CERBER
Αυτός παριστάνει ότι είναι ο Cerber αλλά δεν είναι. Τοποθετεί την επέκταση .encrypted στα κρυπτογραφημένα αρχεία


ΝΕΟ MALWARE: AlixSpy
Εμφανίστηκε αυτός ο Malware ο οποίος προσπαθεί να κλέψει το αρχεία Growtopia.dat το οποίο περιέχει τους κωδικούς πρόσβασης στο Growtopia. Στη συνέχεια εμφανίζει Lock Screen όπως αυτό:

ΝΕΟΣ RANSOMWARE: Reetner
H ιδιαιτερότητά του είναι ότι χρησιμοποιεί ένα εκτελέσιμο αρχείο για κάθε διαδικασία του Ransomware. Δηλαδή, τρέχει ένα εκτελέσιμο για την εμφάνιση του Ransom Note, ένα για την εκτέλεση της ρουτίνας κρυπτογράφησης κλπ.


ΝΕΟΣ RANSOMWARE: FACEBOOK
Μετά τον YouTube Ransomware που είδαμε την προηγούμενη εβδομάδα, τώρα εμφανίστηκε και ο Facebook. Άντε με το καλό και Instagram. 

Αυτός βασίζεται –που αλλού- στον HiddenTear και τοποθετεί την επέκταση .Facebook στα κρυπτογραφημένα αρχεία.


" Αν ιός σας ζητάει λύτρα - bitcoin ή έχετε κολλήσει ransomware και τα δεδομένα σας έχουν κρυπτογραφηθεί, τότε η Northwind είναι ο μοναδικός WD Trusted Partner για Ανάκτηση Δεδομένων και Ransomware σε Ελλάδα και Κύπρο. "

Πολλές φορές αναρωτιέστε :

 - "πως κόλλησα ransomware?" 

ή 

- "πως κόλλησα ιο κρυπτογράφησης?". 

Η αλήθεια είναι πως αυτή την ερώτηση την ακούμε καθημερινά πολλές φορές! 
        Το πρώτο στάδιο που παρατηρεί ένας απλός χρήστης που δεν κατάλαβε ότι κόλλησε Cerber ή κάποιον άλλο Ransomware (ιο κρυπτογράφησης) είναι πως τα αρχεία του άλλαξαν κατάληξη ενώ αυτός δούλευε κανονικά στον υπολογιστή του. Αυτή η ενέργεια συμβαίνει προφανώς λόγο της κρυπτογράφησης του ιού. 
        Το αμέσως επόμενο πράγμα που σκέφτεται ένας χρήστης προφανώς και είναι 

- " υπάρχει λύση για ransomware?". 

Δυστυχώς αν κολλήσατε ιo "Locky" ή κολλήσατε "Cerber" virus δεν υπάρχει ακόμη λύση παγκοσμίως για την από- κρυπτογράφηση και να γλυτώσετε τα λύτρα που ζητάει ο ιός σε bitcoin. 
Άλλωστε αυτή είναι η μορφή και ο τρόπος λειτουργίας των ιών κρυπτογράφησης (Ransomware). 
Να κρυπτογραφούν με τέτοιο τρόπο τα αρχεία και να τους αλλάζουν την κατάληξη που η απο-κρυπτογράφηση τους για ένα μεγάλο σύνολο από αυτούς (μεταξύ αυτών οι Locky και Cerber) να είναι αδύνατη ΑΚΟΜΗ!