Bez kategorii

Stary vs nowy typ ransomware, czyli co wydarzyło się w CD Projekt Red

 

Ransomware towarzyszy nam od lat. Tego typu złośliwe oprogramowanie jest jednym ze sposobów w jaki grupy przestępcze zarabiają na swoich ofiarach poprzez wymuszanie opłaty okupu (stąd z j. angielskiego nazwa „ransomware”, „ransom” znaczy okup) w zamian za klucz-hasło do odszyfrowania danych.

Do początku 2020 r. ataki typu ransomware z zasady oznaczały wielkie problemy dla tych, którzy np. nie posiadali dobrej jakości kopii zapasowych swoich danych (używam określenia „dobrej jakości”, ponieważ posiadanie kopii danych to jedno, a możliwość szybkiego odtworzenia danych z kopii zapasowej to zupełnie inna sprawa). Firmy, które padały ofiarą ataku typu ransomware najczęściej traciły dane z wielu systemów naraz, co było skutkiem wbudowanego w ransomware mechanizmu automatycznego powielania się. Inaczej mówiąc, gdy jeden komputer w sieci został zainfekowany, można było się spodziewać, że wszelkie inne komputery również zostały skompromitowane.

Powrót do normalności 

Każda szanująca się firma posiada jakiś sposób tworzenia kopii zapasowych, potocznie nazywanych „backupami”. O ile backupy są tworzone codziennie i przechowywane z dala od środowiska produkcji, przywrócenie danych na swoje miejsce powinno zająć informatykom od jednego do kilku dni, zależnie od rozmiaru sieci i usług, które w niej działają.

Do procesu usuwania ransomware używa się też różnego rodzaju skanerów antywirusowych. Biorąc pod uwagę fakt, że ransomware automatycznie rozprzestrzenia się atakując sąsiednie komputery w sieci, warto jest przeskanować każde urządzenie i dyski twarde (pendrive’y, zewnętrzne dyski, NAS, nośniki backupów) aby upewnić się, że złośliwe oprogramowanie nie zaszyło się gdzieś i ponownie nie wróci, jak tylko zauważy nowe środowisko produkcyjne. Ten proces może potrwać nawet kilka dni, zależnie od ilości komputerów i nośników danych.

Czas to pieniądz

Ransomware generuje poważne straty dla każdej firmy u której zagości. Proces powrotu do normalności może trwać nawet tygodnie i nie może być w żaden sposób przyspieszony. Nieprzeskanowanie jednego komputera grozi powrotem ransomware do całej sieci, więc trzeba uzbroić się w cierpliwość i pozwolić informatykom na zakończenie swoich prac. W niektórych sytuacjach najlepszym rozwiązaniem może być kompleksowe czyszczenie dysków i na nowo wgrywanie systemu operacyjnego, co znowu jest bardzo czasochłonne.

Tak zwany „downtime”, czyli okres, kiedy przedsiębiorstwo nie funkcjonuje po prostu kosztuje pieniądze. Do tych kosztów trzeba doliczyć stracone dane, ponieważ nawet jeżeli kopie zapasowe są robione codziennie, przynajmniej dzień pracy całego zespołu został nieodwracalnie stracony.

Niespodzianki

Przywracanie danych i funkcji sieci niejednokrotnie uzewnętrznia wiele patologii technologicznych. Czasami okazuje się, że rozwiązania tworzące kopie zapasowe są wadliwe i przywrócenie danych jest wręcz niemożliwe. Dzieje się to w sytuacjach, kiedy np. oprogramowanie tworzy plik zapasowy, ale plik nie przechodzi procesu walidacji. W innych sytuacjach może się okazać, że backupy były tworzone ze zmniejszoną częstotliwością – np. raz na kilka dni – w wyniku oszczędności firmy lub ograniczeń budżetu działu IT. Wtedy zaczyna się poważny koszmar, ponieważ firma może stracić nawet kilka dni pracy, nie mówiąc o okresie downtime’u.

Grupy przestępcze chcą zarobić

Pisząc ten artykuł zakładam, że opłacenie okupu/haraczu nie wchodzi w grę. Niemniej, są takie firmy, które wybierają tę drogę i realnie mogą się spodziewać w miarę szybkiego powrotu do normalności – przynajmniej pod względem odzyskania danych. Paradoksalnie, autorom ransomware zależy na dobrym PR, ponieważ bez niego nikt by nie zapłacił okupu i cały interes rozpadłby się.

Opłata okupu jest jednak grą w ciemno. Po pierwsze, nikt nie ma pewności, że ransomware nie powróci po pewnym czasie w ulepszonej formie. Po wpłacie okupu autorzy mają potwierdzenie, że dany klient jest skłonny do zapłaty. Nic więc nie stoi na przeszkodzie ponownego zaatakowania tego samego podmiotu. W takich sytuacjach nie można liczyć na jakiekolwiek zasady etyczne.

Po drugie, jest wiele wariantów złośliwego oprogramowania, a darknet jest przepełniony ofertami gotowych plików ransomware dla początkujących hakerów. Ci niedorośnięci hakerzy są wstanie zakupić gotowy produkt-ransomware za kilka bitcoinów i działać na własną rękę. Opłacając okup nie mamy więc pewności z kim się zadajemy.

Po trzecie, nie każdego stać na okup. Ransomware jest bardzo inteligentnym oprogramowaniem, które świetnie rozpoznaje środowisko, do którego się przedostało. Jeżeli wyczuje, że np. znajduje się w środowisku produkcyjnym lub ma dostęp do dużej ilości danych, kwota okupu może być astronomiczna.

Nic więc dziwnego, że są tacy, którzy postanawiają nie płacić okupu i wyjść z sytuacji swoimi zasobami. Dla hakerów stanowi to poważny problem, ponieważ w takich sytuacjach ransomware przestaje przynosić dochody i cała praca teoretycznie poszła na marne. Powstała więc potrzeba aby wymyślić nowy sposób monetyzacji złośliwego oprogramowania, oparty na przymusie prawno-finansowym.

Nowy, bardziej perfidny ransomware

Za pioniera tego typu oprogramowania można uznać ransomware „LockBit” z 2020 r.. Ten typ ransomware, poza tradycyjnym szyfrowaniem danych, wprowadził element szantażu finansowo-prawnego, poprzez kopiowanie danych i wysyłanie ich do hakerów w pierwszej kolejności.

Modus-operandi LockBita (i wszelkich pochodnych) jest bardzo zbliżony do tradycyjnego sposobu, w jaki ransomware atakuje systemy. Złośliwe oprogramowanie przedostaje się do systemów informatycznych ofiary (najczęściej przez błąd ludzki) i szybko rozprzestrzenia się po sieci, atakując każdy komputer po drodze. Jedyną różnicą jest fakt, że przed szyfrowaniem danych cała ich kopia zostaje wysłana do hakerów, aby ci mogli oszacować jej wartość rynkową.

“Posiadamy również ogromne ilości twoich prywatnych danych, w tym informacje finansowe, dane osobowe klientów, schematy sieci, hasła i tak dalej. Nie zapomnij o RODO.” – treść notatki okupu ransomware LockBit (tłumaczenie własne)

Hakerzy szybko sprawdzają możliwości monetyzacji wirtualnego łupu. Jeżeli się okaże, że np. firma jest spółką akcyjną, mogą przejść do zastraszania firmy przez groźby wysyłania press release o zhakowaniu do akcjonariuszy. Jeśli firma znajduje się na terenie Unii Europejskiej albo przetwarza dane jej obywateli, można ją straszyć karami związanymi z RODO. Inne firmy mogą posiadać istotną własność intelektualną, która może mieć ogromną wartość na rynku. 

Atak na CD Projekt Red

Niestety, CD Projekt Red spełnił wszystkie trzy warunki: jest spółką akcyjną, funkcjonuje na terenie Unii Europejskiej i jest producentem wiodących gier komputerowych. Dla hakerów stał się idealnym targetem.

Notatka okupu opublikowana przez CD Projekt Red
(źródło: https://twitter.com/CDPROJEKTRED/status/1359048125403590660)

Wieści o zhakowaniu polskiej firmy ukazały się w mediach w drugim tygodniu lutego b.r.  Po przedostaniu się do firmowej sieci, hakerzy skopiowali własność intelektualną CD Projekt Red i zostawili notatkę okupu:

Cześć CD Projekt!

Ale was mamy! 

Posiadamy pełne kopie źródłowe Cyberpunka 2077, Wiedźmina 3, Gwinta i niewydanej wersji Wiedźmina 3 pobranego z serwera Perforce. Posiadamy również wasze dokumenty księgowe, administracyjne, HR, relacji inwestorskich i więcej!

Zaszyfrowaliśmy także wasze serwery, choć spodziewamy się, że przywrócicie dane z backupów.

Jeżeli nie dojdziemy do jakiegoś porozumienia, wasz kod źródłowy zostanie sprzedany albo ujawniony w internecie, a wasze dokumenty zostaną wysłane do naszych kontaktów w mediach branżowych. Wasz wizerunek publiczny zostanie zniszczony i każdy się dowie jak kiepsko funkcjonuje wasza firma. Stracicie zaufanie inwestorów, a wasze akcje spadną jeszcze niżej!

Macie 48 godzin na kontakt z nami.

(tłumaczenie własne)

 

CD Projekt Red w tym wypadku postąpił prawidłowo i firma sama odniosła się do sytuacji na łamach oficjalnego konta Twitter. Warszawska firma zapewniła, że nie będzie negocjować z przestępcami i nie opłaci haraczu. Hakerzy natychmiast odpowiedzieli, tworząc internetową aukcję zebranych danych. Cena wywoławcza to 1 milion dolarów amerykańskich, choć można kupić wszelkie dane bez licytacji za 7 milionów (źródło: https://itbiznes.pl/bezpieczenstwo/aukcja-dane-cd-projekt-red/). 

Co dalej?

Można się spodziewać, że przedsiębiorstwo rozmiarów CD Projekt Red posiada wysokiej jakości rozwiązania backupowe, więc przywrócenie zaszyfrowanych danych nie powinno stworzyć dla firmy większego wyzwania. Jeżeli chodzi o kod źródłowy, mogły wyciec pewne tajemnice służbowe dotyczące tego, w jaki sposób CD Projekt projektuje swoje gdy oraz z jakich rozwiązań korzysta. Choć takie informacje z pewnością mogą się komuś przydać, posiadanie czyjejś własności intelektualnej jest przestępstwem, więc wykorzystanie tego kodu aby wyprodukować własną grę byłoby strzałem w stopę. Biorąc pod uwagę fakt, że CD Projekt Red publicznie przyznało się do wycieku można też zakładać, że urzędy takie jak UODO zostały poprawnie poinformowane o wycieku, więc kary za wyciek raczej nie będzie, chyba, że doszło do rażącego zaniedbania o bezpieczeństwo danych osobowych przez firmę. Czas pokaże.

Poważny problem natomiast może stanowić wyciek wewnętrznych danych firmy, takich jak umowy, sprawozdania finansowe, dokumenty dotyczące relacji inwestorskich i nie tylko. CD Projekt Red jest spółką akcyjną i inwestorzy mogą negatywnie zareagować na to, co się dowiedzieli, lub stracić zaufanie do firmy. Oczywiście, mam nadzieję, że to się nie wydarzy.

Jak uniknąć takich sytuacji

Jak dowodzi przykład CD Projekt Red, nawet największe firmy technologiczne mogą paść ofiarą ataku typu ransomware. Należy więc skończyć z mitem, że jakiekolwiek rozwiązania technologiczne są w stanie zagwarantować kompleksowe zabezpieczenie danych.

Ransomware przedostaje się do wewnętrznej sieci przede wszystkim przez błąd człowieka i tu tkwi problem niemal każdej firmy, która padła ofiarą jego ataku. Codziennie pracownicy są bombardowani przez różnego rodzaju ataki socjotechniczne: od smsów podszywających się pod kuriera (smshing), podrobione wiadomości od usługodawców i partnerów biznesowych (spear phishing) po kontakty w imieniu zarządu lub osób decyzyjnych (spoofing i podszywanie się). Prezesi firm i kadry zarządzające nie mają łatwiej – na nich nakierowane są ataki typu whaling. Ofiarami tego typu ataków stają się nawet prezesi największych firm technologicznych, np. Jeff Bezos, prezes Amazona (atak na Jeffa opisaliśmy tutaj).

Jedynym sposobem ograniczenia ataków typu ransomware, jak na razie, pozostaje świadomość i korzystanie z dobrych praktyk pracy z danymi poufnymi. Pracownicy powinni wiedzieć jak wyglądają ataki socjotechniczne, na co zwracać uwagę i co zrobić, gdy podejrzewają atak. Kompleksowe szkolenie w dziedzinie cyberbezpieczeństwa powinno wyposażyć pracowników w wiedzę, która proaktywnie uchroni firmę przed błędem, który może kosztować miliony. Wszystko po to, aby nie sprawdziło się przysłowie „mądry Polak po szkodzie”.

Oceń artykuł:


16.02.2021