Intelegerea metodelor de infectie si de raspandire folosite de ransomware este critica pentru a nu cadea victima unui astfel de atac. Post-infectie, ransomware-ul apeleaza la componenta sa de “worm” si se propaga pe alte sisteme din retea sau chiar se poate propaga in exteriorul retelei organizatiei pentru a infecta sistemele partenerilor, ale clientilor sau chiar ale furnizorilor de servicii (atac de tipul “supply chain”).
Principalii vectori de infectie folositi de un atac ransomware sunt:
- mailuri de tip phishing
- site-uri web compromise
- protocolul RDP
- exploit kit-uri
- reclame malitioase (malvertising)
- download-uri
- aplicatii de messaging
Vectorul #1 – Phishing-ul inca se pastreaza drept cea mai comuna metoda folosita de atacatori pentru a infecta un dispozitiv cu ransomware. Victimele sunt pacalite sa dea click pe un link inclus in mesaj sau sa descarce un fisier malitios atasat prin email-uri foarte bine create, cu informatii personalizate si specifice menite sa castige increderea victimei. Fisierele malitioase pot arata la fel ca fisierele normale, si atacatorii pot profita de faptul ca Windows-ul ascunde in mod implicit extensia unui fisier. De exemplu, un fisier anexat se poate numi “document.pdf”, insa numele real poate fi “document.pdf.exe” dupa examinarea extensiei. Cele mai folosite tipuri de fisiere pentru a raspandi ransomware, dar si alte forme de malware, sunt documentele Office, fisierele pdf si arhivele. GandCrab, Cerber, CryptoWall si Locky sunt variante de ransomware care folosesc phishing-ul ca metoda de infectie.
Vectorul #2 – Site-urile web compromise sunt o alta metoda preferata de hackeri pentru a raspandi ransomware. Atacatorii reusesc sa profite de anumite vulnerabilitati ale serverelor web si sa injecteze cod malitios in paginile web ale site-ului. Atunci cand victima viziteaza site-ul, care de altfel poate fi complet legitim, acesteia i se poate cere sa descarce o versiune noua a unui software, de exemplu de browser web sau de plugin. Daca utilizatorul da click, ransomware-ul se poate activa direct sau se ruleaza un script care descarca si activeaza ransomware-ul. Exemple de ransomware care folosesc site-uri compromise ca mecanism de propagare sunt GandCrab, Cerber si Revil.
Vectorul #3 – RDP (Remote Desktop Protocol) permite administratorilor IT sa acceseze si sa controleze un calculator de la distanta, insa acest lucru ar trebui facut printr-o retea securizata si nu direct prin Internet. Atacatorii pot folosi unelte precum Shodan sau Nmap pentru a identifica masini expuse in Internet care au portul deschis portul de RDP. O data identificate aceste masini, atacatorii pot folosi unelte open source precum “John the Ripper” sau “Cain and Abel” pentru a executa atacuri de tip “brute force” pentru a ghici parola de acces. Dupa ce atacatorii au acces pe sistem, isi pot escalada privelegiile si pot descarca si executa ransomware, pot pivota si spre alte sisteme pentru a mari gradul de infectie. SamSam este un tip de ransomware care exploateaza RDP-ul pentru a compromite sisteme slab protejate care folosesc acest serviciu.
Vectorul #4. Exploit kit-urile sunt programe software micute care sunt construite cu scopul de a exploata o vulnerabilitate cunoscuta a unui sistem de operare sau aplicatie, ca de exemplu Java sau Adobe Flash. GandCrab, Cerber Locky si CryptoWall sunt variante de ransomware livrate prin acest vector folosit in site-uri compromise sau prin campanii de malvertising.
Vectorul #5. Malvertising-ul se poate folosi de anumite vulnerabilitati din browser-ul web care nu a fost patch-uit la timp pentru a afisa reclame online care contin cod malitios. La executia acestui cod se va descarca ransomware care va incepe infectia statiei compromise. Desi este un mijloc de propagare mai putin utilizat, malvertising-ul este periculos intrucat nu necesita nicio actiune explicita din partea utilizatorului.
Vectorul #6. Download-urile de fisiere, mai ales din surse dubiose sau neautorizate (site-uri de file sharing, retele de torrente), sunt adesea folosite de hackeri pentru a-si raspandi malware-ul. Alte surse similare de ransomware sunt software-uri integrate in alte programe care fac “piggybacking” si se instaleaza o data cu programul principal, programe de tip crack si keygen-uri.
Vectorul #7. Aplicatiile de mesagerie instanta ca Facebook Messenger sau WhatsApp pot fi folosite pentru a trasmite imagini de tipul SVG sau jpeg care contin ransomware. Imaginile SVG, de exemplu, sunt bazate pe XML, un mod de formtare a datelor care permite atacatorilor sa insereze orice cod doresc, inclusiv malware. O data accesata imaginea, aceasta directioneaza victima catre un site aparent legimit de unde se descarca ransomware-ul.
Ransomware-ul continua sa se transforme si sa evolueze constant, cel mai recent exemplu fiind cel de Ransomware as a Service (RaaS) – o infrastructura creata de hackeri cu scopul de a vine malware-ul criminalilor cibernetici pentru un procent din rascumpararea platita de victima. Cumparatorul decide apoi care va fi tinta atacului sau si cum va livra ransomware-ul catre victima. Cu totii trebuie sa fim atenti la siguranta noastra online daca dorim sa nu fim nevoiti sa ne pierdem datele sau sa platim rascumpararea ceruta de atacatori.
Mihai Dumitrascu, Sr Systems Engineer
