Ransomware dedykowany dla systemu Linux. Odkryto sprawcę głośnych incydentów

10 listopada 2020, 13:39
blue-matrix-5041719_960_720
Fot. Matryx/Pixabay

Zidentyfikowano nową rodzinę oprogramowania ransomware, która została specjalne stworzona z myślą o cyberatakach na urządzenia funkcjonujące w oparciu o system Linux. Wirus był wykorzystany podczas ostatnich głośnych operacji hakerskich wymierzonych w między innymi Trybunał Sprawiedliwości Brazylii, spółkę transportu publicznego w Montrealu oraz Departament Transportu Teksasu.

Podczas prowadzenia analizy działalności hakerów w sieci specjaliści Kaspersky Lab natchnęli się na trojana szyfrującego, który został opracowany do atakowania urządzeń opartych na systemie Linux. Głębsze badanie wykazało, że zidentyfikowany ransomware to „RansomEXX”, czyli wirus zaliczany do nowej odmiany złośliwego oprogramowania.

RansomEXX to złośliwe oprogramowanie znane z atakowania dużych organizacji, które najbardziej aktywne było na początku bieżącego roku

Fragment raportu RansomEXX Trojan attacks Linux systems opracowanego przez Kaspersky Lab

 

Jak wskazują specjaliści, RansomEXX to „wysoce ukierunkowany trojan”. Każda jego próbka zawiera zakodowaną na stałe nazwę organizacji będącej celem cyberataku. Co więcej, zarówno zaszyfrowane rozszerzenie pliku, jak i adres e-mail do kontaktowania się z hakerami zawiera imię i nazwisko ofiary.

W ostatnich miesiącach wrogie operacje z udziałem RansomEXX wymierzono nie tylko w podmioty prywatne (na przykład Konica Minolta), ale również państwowe z różnych krajów, w tym między innymi Departament Transportu Teksasu, spółkę transportu publicznego z Montrealu (Société de transport de Montréal (STM) oraz Trybunał Sprawiedliwości Brazylii (Superior Tribunal de Justiça – STJ).

Opisywane oprogramowanie jest wykorzystywane przez ugrupowania hakerskie, których celem są znaczące podmioty, co pozwala im na osiąganie dużych korzyści finansowych (poprzez między innymi wysoki okup). Wynika to z faktu, że cyberprzestępcy są świadomi tego, iż wiele firm lub agencji rządowych nie może sobie pozwolić na wstrzymanie działalności i paraliż systemów, ponieważ będzie się to wiązało z poważnymi konsekwencjami (jak na przykład w sektorze ochrony zdrowia).

Według raportu Kaspersky Lab po uruchomieniu RansomEXX szyfruje wszystkie pliki znajdujące się na urządzeniu ofiary, pozostawiając jedynie informację dotyczącą wysokości żądanego okupu za odblokowanie danych. Poza możliwością szyfrowania wirus nie posiada żadnej dodatkowej funkcjonalności, która stanowiłaby zagrożenie dla poszkodowanych podmiotów.  

Obserwując wydarzenia z ostatnich miesięcy można zauważyć, że ransomware staje się jednym z głównych wyzwań dla całego środowiska cyberbezpieczeństwa. Skala prowadzonych operacji z udziałem tego typu złośliwego oprogramowania, generowane straty oraz zakres ofiar sprawia, że jest to zagrożenie, które jest trudne do neutralizacji. Dodatkowo podkreśla to fakt nieustannego rozwoju ransomware, tworzenia nowych jego odmian oraz ewolucji samej taktyki działania hakerów.

Potwierdzeniem wagi problemu może być raport Europolu, w którym przedstawiono katalog głównych zagrożeń w sieci. Ransomware zajęło w nim pierwsze miejsce, pozostawiając w tyle inne rodzaje cyberataków. Klasyfikacji dokonano na podstawie obserwacji zjawiska cyberprzestępczości w ciągu ostatnich 12 miesięcy.   

Oprogramowanie ransomware pozostaje jednym z najbardziej dominujących zagrożeń, zwłaszcza dla organizacji publicznych i prywatnych w Europie i poza nią

Fragment raportu „Internet Organised Crime Threat Assessment 2020” opracowanego przez Europol.

Zdaniem europejskiej organizacji jednym z podstawowych problemów związanych ze zwalczaniem ransomware jest fakt, że ofiary niechętnie zgłaszają incydenty do organów ścigania, co znacznie utrudnia identyfikacje hakerów oraz szczegółowe zbadanie cyberataku.

Oczywiście cele kampanii z udziałem oprogramowania szyfrującego są podmioty z wielu branż. Zwykle są to jednak firmy lub instytucje, które są znaczącymi graczami na rynku lub odgrywają istotną rolę w systemie bezpieczeństwa państwa. Jako przykład z ostatnich tygodni można przytoczyć incydent z udziałem największego pod względem dochodów producenta zabawek (między innymi Barbie czy Hot Wheels), czyli koncern Mattel. Ransomware naruszyło również systemy producenta alkoholu Campari. Co ciekawe, ofiarą hakerów, którzy szyfrują systemy dla okupu padają także przedsiębiorstwa specjalizujące się w branży IT, czyli teoretycznie powinny posiadać największe możliwości oraz know-how, aby skutecznie zabezpieczyć się przed wrogimi działaniami. W praktyce wygląda to inaczej, co pokazuje incydent w SoftServe – ukraińskim dostawy usług IT oraz twórcy oprogramowania.

Wydaje się jednak, że poważniejsze skutki z punktu widzenia zdrowia i życia ludzi mają cyberataki wymierzone w sektor ochrony zdrowia. Niestety w ostatnim czasie zauważalny jest wzrost liczby cyberataków, których celem są szpitale oraz inne instytucje działające w branży medycznej. Niepokojący trend został dodatkowo wzmocniony przez pandemię koronawirusa, co potwierdziła amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) wraz z FBI w specjalnym alercie.

Skuteczne zaszyfrowanie systemów tego typu podmiotów może mieć bardzo poważne konsekwencje dla pacjentów. Przykładem może być incydent w amerykańskim centrum medycznym – University of Vermont Medical Center (VMC) – gdzie w wyniku cyberataku władze placówki zostały zmuszone do odwołania zabiegów, wstrzymania podstawowych procedur oraz zawieszenia funkcjonowania oddziałów, w tym radiologii i onkologii.

Od kliku dni centrum nie potrafi poradzić sobie z neutralizacją wrogiej operacji, pomimo zaangażowanie w operację specjalistów zespołu Combined Cyber ​​Response 1 z Gwardii Narodowej USA. Codziennie od momentu cyberataku (koniec października br.) do chwili obecnej publikowane są kolejne komunikaty na oficjalnych kontach placówki w social mediach, informujące o dalszych utrudnieniach i odwołanych wizytach. To potwierdza, jak poważny był to incydent.

Nie należy również zapominać o innych wydarzeń z udziałem ransomware, jakie miały miejsce w ostatnich tygodniach. Wystarczy wspomnieć o cyberataku na niemiecki Instytut Roberta Kocha (główny podmiot odpowiedzialny za walkę z COVID-19 w tym kraju), część szpitali w prowincji Quebec (Kanada), szpital w New Jersey oraz 400 innych amerykańskich placówkach medycznych.

Jednak najbardziej dramatyczna w skutkach operacja z udziałem ransomware miała miejsce w Szpitalu Uniwersyteckim w Düsseldorfie. W wyniku działań hakerów doszło do zablokowania systemów i placówka nie mogła przyjmować osób potrzebujących natychmiastowej pomocy. Doprowadziło to do śmierci kobiety, która wymagała pilnej opieki lekarzy. Ze względu na zablokowanie komputerów oraz sieci pacjentka musiała zostać przewieziona do szpitala w innym mieście. Okazało się to dla niej śmiertelnym zagrożeniem.

KomentarzeLiczba komentarzy: 0
No results found.
Tweets CyberDefence24