Az elmúlt napokban nem voltam gépközelben, így csak az események mögött járva tudom összefoglalni az újabb, nagyszabású ransomware-kampány ICS rendszereket érintő eseményeit.

Június 27-én, Közép-európai idő szerint dél körül érkeztek az első hírek egy újabb kiterjedt ransomware-kampányról. A támadások ezúttal Ukrajnában és Oroszországban kezdődtek, majd igen gyorsan elterjedtek szerte Európában és a világon. A WannaCry támadásokhoz hasonlóan ezúttal is részben a Windows operációs rendszerek SMBv1 sérülékenységét kihasználó exploit köré épült a ransomware, ami az első hírek szerint ezúttal a Petya egyik új variánsát juttatta be a sérülékeny rendszerekbe.

A híradások szerint elsőként ismét ukrán szervezeteket tarolt le a támadás, ezúttal a az ukrán M.E.Doc nevű cég MEDoc nevű, ABEV-szerű alkalmazásának egyik frissítésébe csempészték be az ismeretlen támadók az első fertőzéseket okozó kódot.

Az ukrán szervezetek mellett ezúttal is számos egyéb áldozata lett a ransomware-féregnek, a dán szállítmányozási és energiaszektorban egyaránt jelentős szereplőnek számító Maersk mellett az orosz Rosneft rendszerei is áldozatul estek a zsaroló vírusnak, ráadásul a Rosneft saját közleménye szerint az olajcégnek át kellett állnia a tartalék folyamatirányító rendszerére, vagyis kijelenthetjük, hogy esetükben nagyon súlyos incidensről van szó. Egyes hírek szerint Ukrajnában az Ukrenergo és a Kyevenergo villamosenergia-ipari cégek is érintettek a támadásban és bár arról egyelőre nincs hír, hogy ezeknél a cégeknél az ipari rendszereket is elérte volna ransomware, az már megerősítést nyert, hogy az egyik ukrán villamosipari vállalat ügyviteli rendszereiben igen komoly fennakadásokat okozott a támadás.

Egyes források szerint viszont a Csernobil környékén használt sugárzásmérő rendszer érintett a támadásban, ez, ha megerősítést nyer, szintén nagyon komoly biztonsági (és nem csak ICS kiberbiztonsági, de akár safety) incidenst jelenthet.

A támadás azonosítását segíthetik az alábbi IoC-k (Indicator of Compromise adatok):

Ismertté vált Command&Control szerverek IP címei:

185.165.29.78
84.200.16.242
111.90.139.247

A támadásokhoz kapcsolható a wowsmith123456@posteo.net e-mail cím is. Miután ez nyilvánosságra került, a szolgáltató elérhetetlenné tette a postafiókot.

Az ESET témában megjelent cikke alapján a ransomware a megtámadott számítógépek Master Boot Record-ját próbálja titkosítani, ha ezt nem sikerül elérnie, akkor a számítógépen található összes fájlt titkosítja. Azzal kapcsolatban, hogy a ransomware hogyan jut be az egyes hálózatokba, több elmélet is kering kedden este, egyesek szerint fertőzött Microsoft Word dokumentumokat vagy fertőzött weboldalakra mutató hivatkozásokat tartalmazó e-mail-ek hordozzák a kezdeti fertőzést. A helyi hálózatra történő bejutást követően képes az EternalBlue néven elhíresült SMBv1 sérülékenységet kihasználva, illetve a Windows admin share-eket és a PsExec-et használja a hálózaton belüli további terjedésre - ezzel pedig akár az EternalBlue patch-csel ellátott Windows rendszereket is képes lehet megfertőzni.

A ransomware-rel párhuzamosan természetesen a hisztéria is ismét végigfertőzte a világot, az IT biztonsági portálok és blogok a mainstream sajtóval versenyezve, rendkívüli híradásként hozták le az újabb támadás részleteit. Pedig ha jól belegondolunk, csak azon lehet csodálkozni, hogy nagyjából egy hónapot kellett várni a komolyabb második támadási hullámra. Ahogy egy energiaszektorban dolgozó ismerősömmel erről beszéltünk, aki akarta és tudta, már patch-elte a rendszereit, így, ha nem is 100%-osan, de biztonságban érezhette magát, aki pedig nem tehette vagy nem akarta telepíteni az SMBv1 hibát javító patch-et, azt nagy valószínűséggel a mostani incidens sem fogja rávenni arra, hogy tegye meg. Ha olyan (jellemzően ipari vagy egészségügyi) rendszert üzemeltet az adott szervezet, ahol a gyártó jóváhagyása nélkül nem tanácsos semmilyen javítást telepíteni, akkor a funckióvesztés okozta kockázatot jó eséllyel nagyobbnak fogják érezni, mint egy esetleges ransomware-támadást, ha pedig valaki a WannaCry támadások után sem érezte fontosnak a hibajavítást, azt valószínűleg a mostani incidens sem fogja meggyőzni az ellenkezőjéről.

Mit tehetnek azok, akik mégis szeretnék úgy érezni, hogy tettek valamit annak érdekében, hogy nagyobb biztonságban tudják a rendszereiket a mostani és a következő hetekben-hónapokban valószínűleg még újra és újra felbukkanó EternalBlue-leszármazottaktól?

1. Telepítsék a Microsoft által kiadott, SMBv1 hibát javító frissítéseket. A Microsoft nem véletlenül adta ki ezeket a javításokat már évek óta nem támogatott verziókra (XP, 2003) is.
2. Az adott szervezet számára fontos rendszereket szeparálják azoktól a hálózati zónáktól, ahol a számítógépek és egyéb eszközök bármilyen Internet-eléréssel rendelkezhetnek. Ipari rendszerek esetén nagyon erősen javasolt a Purdue-modell ICS-specifikus változatának helyi sajátosságokhoz illeszkedő kialakítása.
3. A határvédelmi rendszerek mindig legyenek az elérhető legújabb verzióra frissítve.
4. Legyen minden fontos rendszerről és adatról több példányos, geodiverzifikált, lehetőleg offline mentés. Ne felejtsük el, hogy a mentés csak annyit ér, amennyire baj esetén helyre lehet belőle állítani a szükséges adatokat/rendszereket! A rendelkezésre álló mentéseket emiatt rendszeresen tesztelni is kell!
5. A szervezet készüljön fel az ehhez hasonló incidensek bekövetkezése esetén követendő eljárásrendek (katasztrófa-elhárítási terv - DRP, üzletmenet-folytonossági terv - BCP) végrehajtására. Nagyon jó, ha ezek a tervek léteznék és 1-2 évente frissítjük is őket, de ha az érintett munkatársak nem tudják, hogy egy éles helyzetben hol kell lenniük és mit kell tenniük vagy kivel kell együttműködniük és az illetőnek mi a telefonszáma, akkor bizony szükség esetén a terv nem sokat fog érni. Rendszeresen teszteljük a BCP és DRP terveket!

Az elmúlt napokban nagyon sok cikk jelent meg a témában, én most csak a Microsot elemzését linkelem: https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/