Ransomware Thanos je schopný obísť súčasné ochrany proti ransomware

Thanos: The Mad Titan

Trocha histórie:

Ešte v roku 2018 spoločnosť Nyotron, zaoberajúca sa riešeniami bezpečnosti pre koncové stanice (End Point Security) informovala tucet výrobcov antimalware a antiransomware výrobcov (medzi inými Sophos, McAfee, Microsoft, Trend Micro …), že objavila spôsob, ako si existujúca ochrana proti ransomware útoku nemusí všimnúť, že dochádza k útoku.

Štandardne totiž ransomware vykonáva nasledujúce akcie:

  • Otvorí a číta originálny súbor
  • Šifruje jeho obsah v pamäti
  • Deštruuje originálny súbor a to
    • zápisom zašifrovaného obsahu do originálneho súboru
    • zápisom zašifrovaného premenovaného súboru a vymazaním originálneho súboru
    • zápisom zašifrovaného súboru a jeho premenovaním s menom originálneho súboru

Pri všetkých týchto úkonoch dochádza k systémovým volaniam, ktoré sú kontrolované antiransomwarom a ten následne spúšťa ochranné procesy.

Nyotron však objavil, že pokiaľ sa najprv zrealizuje prelinkovanie súboru volaním vytvárajúcim tzv. symbolickú linku a až následne premenovanie, tak kontrolné procesy zlyhajú. Dôjde tak premenovaniu súboru a teda šifrovanie bude úspešné.

Ransomware flowchart, zdroj: bleepingcomputer.com

Napriek včasným varovaniam len dve z dvanástich oslovených spoločností – Kaspersky a Carbon Black – reagovali a modifikovali svoje softvéry tak, aby reagovali aj na novú situáciu. Ostatné spoločnosti považovali použitý postup za málo pravdepodobný.

Proof-of-concept

Koncom novembra spoločnosť Nyotron zverejnil informáciu, Proof-of-Concept aj utilitu, ktorou je možné otestovať, či používané antivírové/antiransomware riešenie je odolné voči takému útoku. Informáciu o metodike zverejnil aj portál Bleepingcomputer 21.11.2019.
Bola dostupná a na portály spoločnosti Nyotron. A krátke pdf s vysvetlením nájdete aj u nás.

Uplynulo viac ako 6 mesiacov a portál Threatpost.com v týchto dňoch informuje o zrejme prvom ransomware, resp. rovno o nástroji Ransomware-as-a-Service s názvom Thanos, ktorý využíva taktiku RIPlace popísanú spoločnosťou Nyotron.

Rok 2020

Thanos ako ransomware builder sa prvýkrat objavil koncom januára 2020 a dnes poskytuje okolo 80 rôznych čŕt, ktoré si útočník môže v nástroji nakomponovať. Neprináša žiadne prevratné „útočné novinky“, ale RIPlace črta – schopnosť obísť niektoré antiransomware riešenia ho robí momentálne výnimočným.

Bezpečnostní výskumníci z Recorded Future tvrdia, že Thanos je ešte pod aktívnym vývojom svojich operátorov a ma pozitívnu spätnú väzbu od kybernetických zločincov na underground fórach. Tvrdia, že tento nástroj „funguje bezchybne“ a požadujú „udržiavať aktualizácie v platnosti“. Aj keď do dnešného dňa nezaznamenali výslovne, že by Thanos bol používaný ako súčasť skutočného útoku na nejakú spoločnosť, je to skôr otázka času.

Obrázok: Thanos: The Mad Titan – komiksová postava spoločnosti Marvel

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on pinterest
Pinterest

ĎALŠIE ČLÁNKY, KTORÉ BY ŤA MOHLI ZAUJÍMAŤ

riesenia header

10 tipov ako si bezpečne nastaviť WiFi router

Nastavte si bezpečne váš WiFi router aplikovaním nastavení, ktoré môžu eliminovať prípadný útok. Už len veľmi ťažko si vieme predstaviť domácnosť či kanceláriu kde nie…