Zapłacili grube miliony za odszyfrowanie infrastruktury. Ale zapomnieli o jednej rzeczy… więc zaszyfrowali ich ponownie!

03 lutego 2021, 13:46 | W biegu | komentarzy 7
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Ciekawy wpis na blogu NCSC (National Cyber Security Centre). Autorzy wspominają o pewnej firmie, która zapłaciła równowartość około 30 milionów PLN (po obecnym kursie BTC) za dekryptor. Oczywiście wszystko w wyniku ataku ransomware. Napastnicy po uiszczeniu opłaty rzeczywiście dostarczyli działający dekryptor.

Wszystko pięknie, ładnie. Firma wróciła do normalności, ciesząc się że problem rozwiązany. Ale prawdopodobnie zupełnie nie spojrzała na techniczne bezpieczeństwo swojej infrastruktury, więc… po dwóch tygodniach napastnicy znowu zaatakowali oraz zaszyfrowali infrastrukturę. Co zrobiła firma? Zapłaciła ponownie…:

We’ve heard of one organisation that paid a ransom (a little under £6.5million with today’s exchange rates) and recovered their files (using the supplied decryptor), without any effort to identify the root cause and secure their network. Less than two weeks later, the same attacker attacked the victim’s network again, using the same mechanism as before, and re-deployed their ransomware. The victim felt they had no other option but to pay the ransom again.

Pamiętajcie, że obecnie ransomware bardzo często dostaje się do firm poprzez niezabezpieczone zdalne dostępy, rzadziej są to podatności aplikacyjne czy w komponentach sieciowych (choć też to się zdarza). W połączeniu z kiepskim bezpieczeństwiem wewnątrz sieci (w tym brak odpowiedniej separacji sieci, brak sensownego łatania czy wręcz jakiegokolwiek podejścia do bezpieczeństwa IT w LAN) – to proszenie się o (kolejną) katastrofę (można też sprawdzić swoje aktualne bezpieczeństwo jeszcze przed atakiem – wykonując np. sensowne testy bezpieczeństwa).

W skrócie – pamiętajmy żeby leczyć przyczynę a nie tylko skutki incydentów bezpieczeństwa. Po ataku ransomware warto też zrobić naprawdę solidną analizę powłamaniową – kto wie jakie niespodzianki zostawili napastnicy?

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. M

    Potrzebny im jest cyberlekarz

    Odpowiedz
  2. Paweł

    Kiedy będzie tak, że jak malware wejdzie przez dziurę w RDP, to koszty zwraca Microsoft ?

    Odpowiedz
    • Szymin

      Nie wchodzi przez dziurę rdp tylko przez słabe hasła, lub hasła które wyciekły, dodatkowo część adminów nie wyłącza opcji podpowiedzi ostatniego zalogowanego usera przez co napastnicy znają właściwą nazwę użytkownika

      Odpowiedz
      • No to niespodzianka. Były już przynajmniej 3 dziury w RDP (licząc tylko od 2012), które umożliwiały zdalne wejście znając tylko nazwę istniejącego użytkownika, który dodatkowo może być nawet zablokowany. Wejście następowało na jego prawach, bez znajomości hasła. Ostatnia z nich nazywa się BlueKeep, doczytaj sobie szczegóły.

        Aby było zabawniej, na Windows Server w 99% instalacji istnieje chociaż jeden z 2 użytkowników domyślnych, najczęściej zablokowany, ale bez wyrzucenia z grupy Administratorzy: „admin” lub „Administrator”.

        I Dharma/Phobos, która w Polsce robi 90% infekcji, wchodzi właśnie w ten sposób. Teraz z AWS lecą na cały świat exploity na BlueKeep, wcześniej leciały różne inne, m.in. jeszcze te wykradzione parę lat temu z NSA.

        Odpowiedz
    • smutek

      uodo, mają tyle kasy

      Odpowiedz
    • penester

      Zaraz po tym jak będziesz w stanie udowodnić, że RDP był dostępny wyłącznie przez VPN z 2FA i że hasła nie były niezabezpieczone.
      Dziury w sofcie były są i będą. Trzeba je łatać na bieżąco ale nie da się być załatanym w 100% i dlatego właśnie trzeba stosować wielowarstwowe bezpieczeństwo (m.in. 2FA, segmentację sieci, VPN, audyty itd.)

      Odpowiedz
  3. mih

    Ciekawe czy hołudują zasadzie „do trzech razy sztuka” XD

    Odpowiedz

Odpowiedz