TeleBots- γίνονται καλύτεροι με την εξάσκηση;
Η αποτελεσματικότητα του ransom ware PETYA οφείλεται στο Eternal Blue ή μήπως πρόκειται για ένα είδος εξάσκησης;
Νέα ευρήματα σχετικά με την πιθανή προέλευση των μαζικών κρουσμάτων παραλλαγών του ransomware Petya φέρνει στη δημοσιότητα η διεθνής εταιρία ασφαλείας επιχειρήσεων και καταναλωτών,ESET.
Σύμφωνα με αποτελέσματα διαχρονικής έρευνας, πολλές από τις εκστρατείες που έχει πραγματοποιήσει η ομάδα κυβερνοεγκληματιών TeleBots στην Ουκρανία, καθώς και κάποια στοιχεία από τα διαρκώς μεταβαλλόμενα
εργαλεία τους, τα οποία έχουν χρησιμοποιηθεί σε επιθέσεις μεταξύ Δεκεμβρίου 2016 και Μαρτίου 2017, εμφανίζουν ομοιότητες με τα κρούσματα του Disk coder C (γνωστό και ως Petya) που σημειώθηκαν στις 27 Ιουνίου
2017.
«Οι αντιστοιχίες με την επίθεση εναντίον χρηματοπιστωτικών ιδρυμάτων,το Δεκέμβριο του 2016, και τη συνακόλουθη ανάπτυξη ενός κακόβουλου λογισμικού KillDisk για Linux,που χρησιμοποιήθηκε από την ομάδα
TeleBots, αποτελούν ισχυρές ενδείξεις που, σε συνδυασμό με τις αυξανόμενες επιθέσεις σε συστήματα υπολογιστών στην Ουκρανία, αξίζουν προσεκτικότερης εξέτασης όσον αφορά στην ομάδαTeleBots» δήλωσε ο Anton
Cherepanov, Senior ESET Malware Researcher.
Ο τρόπος που λειτουργεί η συγκεκριμένη ομάδα βασίζεται σταθερά στη χρήση του KillDisk για να αντικαταστήσει τα αρχεία με συγκεκριμένες επεκτάσεις στους δίσκους των θυμάτων.
Δεν υπήρχαν στοιχεία για να επικοινωνήσει το θύμα με τον άνθρωπο που βρισκόταν πίσω από την επίθεση – εμφανιζόταν, μόνο, μία εικόνα από την τηλεοπτική σειρά Mr. Robot. Συνεπώς, ήταν απίθανο η ενέργεια να αποσκοπούσε σε λύτρα, καθώς τα αρχεία δεν ήταν κρυπτογραφημένα, αλλά είχαν αντικατασταθεί.
Ενώ στις επόμενες επιθέσεις προστέθηκαν η κρυπτογράφηση, τα στοιχεία επικοινωνίας και άλλα χαρακτηριστικά του ransomware, τα περιστατικά εξακολουθούσαν να μη συνδέονται.
Η εικόνα που εμφάνιζε το malware Kill Disk malware στο πρώτο κύμα επιθέσεων το Δεκέμβρη 2016.
Από τον Ιανουάριο ως τον Μάρτιο του 2017, η ομάδα TeleBots παραβίασε μια εταιρεία λογισμικού στην Ουκρανία χρησιμοποιώντας VPN tunnels και απέκτησε πρόσβαση στα δίκτυα αρκετών χρηματοπιστωτικών ιδρυμάτων, αποκαλύπτοντας ενισχυμένο οπλοστάσιο εργαλείων σε κώδικα Python.
Στα τελευταία στάδια αυτής της εκστρατείας, το ransomware εξαπλώθηκε με τη χρήση κλεμμένων διαπιστευτηρίων των Windows και εργαλείων PsExec της σουίτας SysInternals. H ESET ανίχνευσε αυτό το νέο ransom ware ως Win32/Filecoder.NKH. Ακολούθησε το ransom ware για Linux, που ανιχνεύτηκε ως Python/Filecoder.R, το οποίο, όπως μπορεί εύκολα να προβλέψει κανείς, ήταν γραμμένο σε κώδικα Python.
Στη συνέχεια, στις 18 Μαΐου 2017, η ομάδα TeleBots προχώρησε στην εξάπλωση του Win32/Filecoder.AESNI.C (γνωστό ως XData), το οποίο διαδόθηκε κυρίως στην Ουκρανία μέσω μιας ενημέρωσης του M.E.Doc, λογισμικού για λογιστική χρήση που χρησιμοποιείται ευρέως σ’ αυτή τη χώρα.
Σύμφωνα με το ESETLiveGrid®, το malware δημιουργήθηκε αμέσως μετά την εκτέλεση του λογισμικού, αποκτώντας τη δυνατότητα αυτόματων πλευρικών κινήσεων μέσα στο παραβιασμένο δίκτυο LAN. Η ESETείχε δημοσιεύσει εργαλείο αποκρυπτογράφησης για το Win32/Filecoder.AESNI.
Ωστόσο, στις 27 Ιουνίου, εμφανίστηκαν μαζικά κρούσματα παραλλαγών του malwarePetya (Diskcoder.C) - το οποίο έχει παραβιάσει πολλά συστήματα υποδομών ζωτικής σημασίας και επιχειρήσεων τόσο στην Ουκρανία, όσο και παγκοσμίως - με ικανότητα να αντικαθιστούν το Master Boot Record (MBR) με το δικό τους κακόβουλο κώδικα, τον οποίο είχαν δανειστεί από το ransom wareWin32/Diskcoder.Petya.
Οι δημιουργοί του Diskcoder.C έχουν τροποποιήσει τον κώδικα MBR, ώστε η ανάκτηση να μην είναι δυνατή και, κατά την εμφάνιση των οδηγιών πληρωμής, όπως γνωρίζουμε πλέον, οι πληροφορίες είναι άχρηστες.
Από τεχνική άποψη, υπάρχουν πολλές βελτιώσεις. Ουσιαστικά, μόλις εκτελεστεί το κακόβουλο λογισμικό, προσπαθεί να εξαπλωθεί χρησιμοποιώντας το exploit Eternal Blue, εκμεταλλευόμενο τη λειτουργία πυρήνα του back door Double Pulsar.Να σημειωθεί ότι πρόκειται για την ίδια ακριβώς μέθοδο που χρησιμοποιείται στο διαβόητο ransom ware WannaCry.
Το malware μπορεί,επίσης, να εξαπλωθεί με τον ίδιο τρόπο όπως το ransom wareWin32/Filecoder.AESNI.C (αλλιώς XData), χρησιμοποιώντας μια πιο ελαφριά έκδοση του Mimikatz, για να αποκτήσει κωδικούς πρόσβασης, και στη συνέχεια να εκτελέσει το κακόβουλο λογισμικό χρησιμοποιώντας τα εργαλεία PsExec της σουίτας SysInternals.
Επιπλέον, οι εισβολείς έχουν χρησιμοποιήσει και τρίτη μέθοδο για τη διάδοση, με τη χρήση μηχανισμού WMI.
Και οι τρείς μέθοδοι έχουν χρησιμοποιηθεί για τη διάδοση κακόβουλου λογισμικού σε δίκτυα LAN. Όμως, σε αντίθεση με το κακόβουλο λογισμικό WannaCry, στη συγκεκριμένη περίπτωση το exploit EternalBlue χρησιμοποιείται από το Diskcoder.C μόνο σε υπολογιστές μέσα στον εσωτερικό χώρο διευθύνσεων.
Η συσχέτιση της ομάδας TeleBots μ’ αυτή τη δραστηριότητα δικαιολογεί,επίσης, την ύπαρξη κρουσμάτων και σε άλλες χώρες, εκτός από την συνήθη προσήλωση στην Ουκρανία, καθώς υπήρχαν συνδέσεις VPN μεταξύ των χρηστών του M.E.Doc, των πελατών τους και των συνεργατών τους, παγκοσμίως.
Επιπρόσθετα, το M.E.Doc διαθέτει εσωτερικό σύστημα ανταλλαγής μηνυμάτων και εγγράφων, οπότε οι επιτιθέμενοι μπορούσαν να στέλνουν μηνύματα spearphishing στα θύματα.
Οι κυβερνοεγκληματίες είχαν, τέλος, αποκτήσει πρόσβαση στον server που έστελνε τις αυθεντικές ενημερώσεις λογισμικού, την οποία αξιοποίησαν για να στείλουν κακόβουλες ενημερώσεις οι οποίες εκτελούνταν αυτομάτως, χωρίς να το έχουν επιλέξει οι χρήστες.
«Έχοντας εισχωρήσει τόσο βαθιά στις υποδομές του M.E.Doc και του πελατολογίου του, οι επιτιθέμενοι είχαν στη διάθεσή τους σημαντικούς πόρους για την εξάπλωση του Diskcoder.C. Παρά την ύπαρξη κάποιων «παράπλευρων απωλειών», η επίθεση έδειξε ότι είχαν βαθιά κατανόηση των πόρων που διέθεταν.
Επιπλέον, οι πρόσθετες δυνατότητες του exploit Eternal Blue έχουν προσθέσει μια μοναδική διάσταση την οποία θα συναντά όλο και περισσότερο μπροστά της η κοινότητα του cyber security», δήλωσε χαρακτηριστικά ο Sr,Malware Researcher της ESET, AntonCherepanov.
