Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Policja metropolitalna w Waszyngtonie ofiarą ataku ransomware’owego
Podmioty, do których ofiary ataków ransomware’owych zwracają się o pomoc, same również mogą stać się ofiarami ofiarami. W ostatnich tygodniach na blogach wyciekowych operatorów ransomware’ów publikowane są dowody nieuprawnionej eksfiltracji danych jednostek policji i prokuratury, a także kancelarii prawnych i organizacji prawniczych z całego świata. Amerykanie już od dawna powołują zespoły, które zajmują się operatorami konkretnych ransomware’ów, aby uniknąć prowadzenia spraw przeciwko jednej grupie przez wiele jednostek, a ostatnio powołany przez Departament Sprawiedliwości specjalny zespół ma zajmować się kompleksowo przestępstwami z wykorzystaniem ransomware’ów, w tym likwidowaniem infrastruktury pozwalającej przestępcom przeprowadzać kampanie ransomware’owe.
Podczas, gdy Departament Sprawiedliwości dopiero planuje działania nowo powołanego zespołu, ransomware atakuje kolejne organizacje. Wczoraj (26. kwietnia), na blogu wyciekowym ransomware’a Babuk opublikowane zostały dowody eksfiltracji danych policji metropolitalnej w Waszyngtonie. O wycieku piszą nie tylko sami atakujący, ale również media z całego świata. Amerykański “New York Times” podaje, że jest to trzeci ujawniony atak na jednostkę policji w Stanach Zjednoczonych w ciągu ostatnich sześciu tygodni i dwudziesta szósta zaatakowana amerykańska instytucja państwowa od początku roku. Atak potwierdza też sama zaatakowana jednostka. Podczas briefingu rzecznik policji waszyngtońskiej poinformował, że sprawą zajmuje się FBI, śledztwo trwa i nie może wypowiedzieć się o szczegółach ataku. Stacja BBC podaje, że atakujący grożą ujawnieniem danych policyjnych informatorów, a brytyjski SkyNews napisał wprost, że amerykańską policję zaatakowali rosyjscy hakerzy.
Babuk pobiera kopię danych atakowanych organizacji, a pozostawione u ofiary dane szyfruje (ofiara nie ma dostępu do swoich danych). Zgodnie z oświadczeniem grupy, Babuk nie dokonuje audytów w szkołach, szpitalach, organizacjach charytatywnych i w infrastrukturze małych przedsiębiorców:
W próbkach ransomware Babuk były identyfikowane słabości związane z szyfrowaniem – w wersji trzeciej Babuk miał bardzo poważne błędy, które uniemożliwiały nawet samym operatorom wygenerowanie kluczy potrzebnych do przywrócenia plików. Dla ofiar oznaczało to, że nawet po zapłacie żądanego okupu, pliki zaszyfrowane wadliwą wersją złośliwego oprogramowania, nie mogłyby być przywrócone z wykorzystaniem narzędzia deszyfrującego oferowanego przez sprawców, ponieważ sami sprawcy nie mogli odszyfrować plików. Po opublikowaniu przez Chuong Donga dokładnego opisu błędu, Babuk podziękował i obiecał poprawę.
Pozostałe zidentyfikowane przez Chuong Donga słabości dotyczą uszkadzania plików. Dla plików powyżej pewnej wielkości, niezależnie od rozszerzenia i niezależnie od wersji ransomware (jak do tej pory, na podstawie kilkudziesięciu próbek, które sami przeanalizowaliśmy), szyfrowany jest tylko ich początek, ale nie jest naruszana ich zawartość. Oznacza to, w dużym uproszczeniu, że można odczytać nieuszkodzoną zawartość pliku, próbować naprawiać uszkodzone pliki podmieniając uszkodzone części plików nieuszkodzonymi np. blokami nagłówka, które znajdują się na początku pliku, albo w inny sposób np. w przypadku plików bazodanowych przepisując nieuszkodzoną zawartość do nowej struktury, odpowiadającej tej uszkodzonej.
Chuong Dong, który analizował próbki Babuka ze zdziwieniem odnotował atak na policję metropolitalną:
W zakresie detekcji, niektóre rozwiązania antywirusowe nawet dużych dostawców, nie wykrywają Babuka – na VirusTotal detekcja najnowszej próbki to niewiele ponad 50%.
Ze zrzutów ekranu opublikowanych na blogu grupy Babuk ma wynikać, że atakujący uzyskali dostęp przynajmniej do części infrastruktury policji metropolitalnej w Waszyngtonie, po której mogli się swobodnie poruszać i pobierać z udostępnionych udziałów sieciowych interesujące ich pliki, a sami przestępcy twierdzą, że pobrali ich ok. 250 GB. BleepingComputer sugeruje, że do wykradzenia danych mogło dojść już 19 kwietnia br., chociaż ostatnie modyfikacje plików na stronie wyciekowej datowane są na 24 kwietnia br.
Atakujący żądają zapłaty okupu w zamian za powstrzymanie się od ujawnienia danych innym organizacjom, w tym grupom przestępczym, i wskazują, że zagrozić to może bezpieczeństwu m.in. policyjnych informatorów.
Hello! Even an institution such as DC can be threatened, we have downloaded a sufficient amount of information from your internal networks, and we advise you to contact us as soon as possible, to prevent leakage, if no response is received within 3 days, we will start to contact gangs in order to drain the informants, we will continue to attack the state sector of the usa, fbi csa, we find 0 day before you, even larger attacks await you soon
* Oświadczenie operatorów ransomware Babuk
W przeszłości inni atakujący spełniali groźby opublikowania wykradzionych organom ścigania danych, w tym raportów policyjnych i protokołów zeznań świadków. Grupa Avaddon właśnie opublikowała dowód z eksfiltracji danych innej amerykańskiej jednostki policji i grozi, że za niespełna dwa dni opublikuje kolejne.
Policja w Azusa (Kalifornia) prawdopodobnie nie zdecydowała się zapłacić okupu. Pobrane przez przestępców dane, m.in. raporty policyjne i dane o infrastrukturze IT zaatakowanej jednostki, zostały opublikowane przez operatorów DoppelPaymer w ubiegłym tygodniu. Innymi ofiarami DoppelPaymer są firmy i instytucje, w tym prokurator generalny stanu Illinois.
Wylistowanie systemów Policji w Azusa:
System operacyjny | Zliczenia |
Stacje robocze (121) | |
Windows 7 Professional | 71 |
Windows 10 Pro | 49 |
Windows 10 Pro for Workstations | 1 |
Serwery (16) | |
Windows Server 2016 Datacenter | 10 |
Windows Server 2012 R2 Standard | 3 |
Windows Server 2016 Datacenter Evaluation | 1 |
Windows Server 2016 Standard | 1 |
Windows Server 2008 R2 Standard | 1 |
Łącznie wylistowanych maszyn | 137 |
Warto tu zwrócić uwagę, że na większości zidentyfikowanych komputerów działał system Windows 7, dla którego Microsoft zakończył wsparcie 14 stycznia 2020, po ponad dziesięciu latach od jego premiery. Taki stan wynika zwykle z ogromnych zaniedbań tak po stronie działu IT, jak i po stronie decydentów. Choć zdarzają się sytuacje, w których aktualizacja takiego systemu operacyjnego może być kosztowna (na przykład z powodu szczególnego oprogramowania lub sprzętu niezgodnego z nowszymi, wspieranymi wersjami), to nic nie usprawiedliwia sytuacji, w której na takich komputerach pracuje większość pracowników i są one bez ograniczeń połączone z siecią firmową oraz z Internetem.
Bardzo często zdarza się, że takie właśnie, niezaktualizowane systemy wykorzystywane są do przeprowadzenia skutecznego ataku. Zaniedbujący poprawną konfigurację administratorzy oraz decydenci dość szybko zauważają, że pozorna oszczędność na aktualizacji była bardzo krótkotrwała, a dodatkowo może wiązać się z poważnymi sankcjami m.in. administracyjnymi i karnymi.
W przypadku tych dwóch ataków wspomnianych na początku policja może jeszcze podjąć decyzję o ewentualnej zapłacie (lub odmowie zapłaty) okupu, należy jednak pamiętać, że zarówno zapłacenie, jak i niezapłacenie okupów, których żądają sprawcy, bez wątpienia wiąże się z negatywnymi i poważnymi konsekwencjami dla zaatakowanych jednostek. Zapłacenie okupu (wstrzymanie publikacji wykradzionych przez sprawców danych i uzyskanie narzędzia deszyfrującego) może oznaczać m.in. naruszenie amerykańskich sankcji. Niezapłacenie okupu, może pociągać konsekwencje związane z ujawnieniem informacji, które są chronione na podstawie odrębnych przepisów, w tym danych identyfikujących policyjnych informatorów, co dla informatorów i ich bliskich może wiązać się z realnym zagrożeniem dla ich zdrowia i życia.
Odmowa zapłacenia okupu może oznaczać również, że jeśli dane zostały zaszyfrowane przez ransomware i policja nie będzie w stanie ich przywrócić (z narzędziem deszyfrującym lub w inny sposób), może mieć to obniżyć efektywność starań wymiaru sprawiedliwości w zakresie pociągania do odpowiedzialności karnej sprawców przestępstw, ponieważ w przeszłości z powodu utraty kluczowych dowodów, które były przechowywane w postaci cyfrowej i były bezpowrotnie utracone w wyniku infekcji złośliwym oprogramowaniem typu ransomware, upadały sprawy o poważne przestępstwa narkotykowe.
-as, gt
To nie jest tak, że dla Windows 7 „Microsoft zakończył wsparcie 14 stycznia 2020”.
MS zakończył BEZPŁATNE wsparcie. Firmy zainteresowane aktualizacjami mogą je w dalszym ciągu kupować.
Oczywiście, że chodzi o wsparcie standardowe – https://docs.microsoft.com/en-us/troubleshoot/windows-client/windows-7-eos-faq/windows-7-extended-security-updates-faq
Ale ja nie znam organizacji, która by miała ESU, a już szczególnie żeby to była administracja rządowa. Tutaj widać zaniedbania takie same, jak u nas w AP.
Niestety im organizacja bardziej publiczna, tym mniejsze zaangażowanie środków. Ostatnio widziałem premie i wydatki za 2020 w jednym z miast wojewódzkich na cały dział IT – żal patrzeć.
Tak, jak napisał Maszyna – teoretycznie ESU istnieje, w praktyce niemal nikt się na taką drogę nie decyduje. Cena (płacona oddzielnie za każdy komputer dostający poprawki) co roku się podwaja, a niedługo i tak trzeba będzie zmigrować się na nowszy system, bo nawet ESU nie będzie.
Skorzystanie z płatnego wsparcia Windows 7 to najczęściej desperacka próba zamaskowania wieloletnich zaniedbań a nie zaplanowane zarządzenie ryzykiem.
No to mam chyba wyjątkowego pecha, bo moja firma (sektor publiczny) płaci grube tysiące za wsparcie Win7 tylko dlatego, że stary sprzęt nie pozwala na migrację do Win10.
W moim przypadku ESU to nie jest teoria.
Rozumiem esu dla win 2008 / bo serwer i czasem moze to byc kor ktory trudno zmigrowac / znam taki przypadek. Ale na win 7 ? Kazde win 7 moNa eozeznac i zmigrowac w ciagu 2-3 dni. No chyba ze aplikacja nie wspiera. Ale to juz wtedy lepiej iac w terminal na 2008 i wystarczy jedno esu na wszystkich userow….
Rozwiazan jest wiele
I dobrze im tak:) Policja w usa jest brutalna.
Nasz też powinna być, to by dresy i kibole trzęsły portkami, a nie bezkarnie demolowały wspólne mienie.
Powinna być sprawna, uczciwa i sprawiedliwa. Rzadko taką bywa, bo to znacznie trudniejsze niż prymitywne wzbudzanie strachu czy katowanie zatrzymanych.
Natomiast cieszenie się z tego ataku jest niegodziwością. Nawet gdy policja jest brutalna i popełnia zbrodnie, kradzież jej danych to wciąż niesprawiedliwość. Nie tak należy reformować policję. Ukradzione dane zresztą nie dotyczą tylko funkcjonariuszy, ale też zatrzymanych, podejrzanych czy świadków.
Po pierwsze do policji powinni byc przyjmowani normalni ludzie a nie wypierdki osiedlowe albo psychole jak to w Polskiej policji bywa. Po drugie jesli policjant naduzywa uprawnien i uwaza sie za homoniewiadomo i stwarza zagrozenie masz obowiazek sie bronic. A najzabawniejsze jest to ze jesli policjant bezpodstawnie uzywa srodkow przymusu bezposredniego to on moze cie oskarzyc o naruszenie nietykalnosci i napasc ale na to daja sie tylko barany zlapac na mnie np to nie dziala. Jak widze ze ktos chce mnie atakowac to odrazu wale kopa na leb i sprawdzam czy jeszcze oddycha. Ogolnie spotkalem dwa rodzaje funkcjonariuszy dla przykladu ostatnio zatrzymal mnie patrol gdy szedlem srodkiem ulicy i piwo otwarte w reku a w kieszeni kosa praktycznie na wierzchu bo kieszen byla odsunieta XD, sprawdzili mnie i pytaja „czy pan chce kogos zabic” a ja ze „takich debili co jezdza jak na torze F1 w miejscu gdzie chodza matki a kilkuletnimi dziecmi” a oni „ci obok co tam stoja?” a ja mowie „oni tez” to mowia pan dzis ich nie zabija my sie nimi zajmiemy XDDD. A drugi przyklad mialem taki ze jade sobie spokojnie rowerem pare metrow po chodniku (bo nie oplacalo mi sie zjezdzac na ruchliwa ulice skoro za chwile mialem zjazd) i zatrzymuje mnie patrol ze niby popelnilem wykroczenie a ze ja bezmozgiem nie jestem to probowali wymusic na mnie mandat wiec ich olalem i pojechalem dalej. Po kilku metrach zajezdzaja mi droge i probuja wyrwac mi rower itd a ja mowie „jeszcze raz zajedz mi drogie to na komende bedziesz lazl z buta” a oni cos tam tego zaczeli sie chamsko zachowywac i obrazac to mowie „uwazaj co mowisz pajacu bo jeszcze dzis moge sprawic ze bedziesz mial dyscyplinarne postepowanie” i cos tam zaczeli grozic i straszyc gazem pieprzowym XD to mowie „dawaj cwelu”, zdarzylem odstawic rower to jeden probowal zajsc mnie od tylu i zalozyc kajdanki to ja sru z lokcia na szczene typ sie wywalil na glebe i uciekal do radiowozu to mu sru kopa w drzwi i mu leb przycielo po chwili ide do drugiego i krzyczy „nie zblizaj sie bo gazem dostaniesz” XDDD to mowie „dawaj to bedziesz trupem” i wyrwalem mu ta puszke z gazem i walnalem piescia w krtan, gosciu stracil przytomnosc i po kilku minutach jedzie lodowa z czteroosobowym wsparciem no i wtedy to byla zabawa czterech psow mi nie moglo dac rady co podeszli to albo dostawali w krtan albo pieprzem mowie dawajcie cala komende chetnie sie pobawie ale ostatecznie darowalem im i pozwolilem sie zakoc na spokojnie bo nawet kajdanek nie potrafili zalozyc XDDD. No i w radiowozie sie zaczelo znow jakies grozby itd no to mowie koniec balu przelozylem sobie rece do przodu i jednemu zalozylem kajdankami gilotyne tak ze nawet na milimetr nie mogl sie ruszyc (ogolnie prawie zgniotlem mu krtan) a drugiemu rozwalilem kopem leb i stracil przytomnosc (znowu XD). Po chwili gdy obaj byli nieprzytomni rozkulem sobie kajdanki pozbylem sie dowodow wszelkich, wysiadlem i pojechalem dalej.
Proszę o moderowania takich idiotycznych wpisów. To nie pudelek na Boga. Mdli od samego czytania wypocin tego osobnika. Nie dopuszczajmy do „bagna” na tym zacnym portalu.
@Flash, masz chłopie fantazję!
Czasem, jak pod blokiem albo sklepem usłyszę to co opowiadają „stacze podblokowi”, to całkiem podobne historie. Brakuje jeszcze opowiastki, jak przerzuciłeś dryblasa chwytem za dzurki w nosie, niczym swego czasu Ferdek w „Kiepskich”. Ale książki mógłbyś pisać spokojnie, talent jest.