Trocha histórie:
Ešte v roku 2018 spoločnosť Nyotron, zaoberajúca sa riešeniami bezpečnosti pre koncové stanice (End Point Security) informovala tucet výrobcov antimalware a antiransomware výrobcov (medzi inými Sophos, McAfee, Microsoft, Trend Micro …), že objavila spôsob, ako si existujúca ochrana proti ransomware útoku nemusí všimnúť, že dochádza k útoku.
Štandardne totiž ransomware vykonáva nasledujúce akcie:
- Otvorí a číta originálny súbor
- Šifruje jeho obsah v pamäti
- Deštruuje originálny súbor a to
- zápisom zašifrovaného obsahu do originálneho súboru
- zápisom zašifrovaného premenovaného súboru a vymazaním originálneho súboru
- zápisom zašifrovaného súboru a jeho premenovaním s menom originálneho súboru
Pri všetkých týchto úkonoch dochádza k systémovým volaniam, ktoré sú kontrolované antiransomwarom a ten následne spúšťa ochranné procesy.
Nyotron však objavil, že pokiaľ sa najprv zrealizuje prelinkovanie súboru volaním vytvárajúcim tzv. symbolickú linku a až následne premenovanie, tak kontrolné procesy zlyhajú. Dôjde tak premenovaniu súboru a teda šifrovanie bude úspešné.
Ransomware flowchart, zdroj: bleepingcomputer.com
Napriek včasným varovaniam len dve z dvanástich oslovených spoločností – Kaspersky a Carbon Black – reagovali a modifikovali svoje softvéry tak, aby reagovali aj na novú situáciu. Ostatné spoločnosti považovali použitý postup za málo pravdepodobný.
Proof-of-concept
Koncom novembra spoločnosť Nyotron zverejnil informáciu, Proof-of-Concept aj utilitu, ktorou je možné otestovať, či používané antivírové/antiransomware riešenie je odolné voči takému útoku. Informáciu o metodike zverejnil aj portál Bleepingcomputer 21.11.2019.
Bola dostupná a na portály spoločnosti Nyotron. A krátke pdf s vysvetlením nájdete aj u nás.
Uplynulo viac ako 6 mesiacov a portál Threatpost.com v týchto dňoch informuje o zrejme prvom ransomware, resp. rovno o nástroji Ransomware-as-a-Service s názvom Thanos, ktorý využíva taktiku RIPlace popísanú spoločnosťou Nyotron.
Rok 2020
Thanos ako ransomware builder sa prvýkrat objavil koncom januára 2020 a dnes poskytuje okolo 80 rôznych čŕt, ktoré si útočník môže v nástroji nakomponovať. Neprináša žiadne prevratné „útočné novinky“, ale RIPlace črta – schopnosť obísť niektoré antiransomware riešenia ho robí momentálne výnimočným.
Bezpečnostní výskumníci z Recorded Future tvrdia, že Thanos je ešte pod aktívnym vývojom svojich operátorov a ma pozitívnu spätnú väzbu od kybernetických zločincov na underground fórach. Tvrdia, že tento nástroj „funguje bezchybne“ a požadujú „udržiavať aktualizácie v platnosti“. Aj keď do dnešného dňa nezaznamenali výslovne, že by Thanos bol používaný ako súčasť skutočného útoku na nejakú spoločnosť, je to skôr otázka času.
Obrázok: Thanos: The Mad Titan – komiksová postava spoločnosti Marvel
