Co je RobbinHood Ransomware a jak se proti němu chránit?
RobbinHoodse jmenuje po středověkém psanci, jen s jiným pravopisem – the Robin Hood ze Sherwoodského lesa má jen jedno 'b'
Výzkumníci z oblasti kybernetické bezpečnosti si tohoto ransomwaru poprvé všimli v dubnu 2019. Jeho první velký útok směřoval na kanceláře Město Greenville v Severní Karolíně a následující měsíc pokračovala v útoku na město Baltimore v Marylandu.
Stejně jako většina ransomwaru útočí RobbinHood na počítače, na kterých běží Okna operační systém. Malware představuje nízkoúrovňové jádro, které je určeno pro základní desku vytvořenou Gigabyte. Tento systém byl zastaralý a je známý svými chybami, takže podniky, které se zotavují z útoku RobbinHooda, potřebují obnovit své soubory a přeinstalovat operační systém přímo do BIOSu, abyste se této chyby zbavili. Bohužel ani těm, kteří zaplatí výkupné za získání dešifrovacího klíče, se tento problém s jádrem nevyřeší automaticky.
Odkud RobbinHood pochází?
RobbinHood není součástí rodiny ransomwaru ani není produktem známého hackerského gangu. Analytici kybernetické bezpečnosti nevědí nic o skupině, která vytvořila RobbinHooda, ani o tom, kde sídlí. Ve výkupném vytvořeném pro RobbinHooda však existuje vodítko. Druhý odstavec končí slovy: „Tak neztrácejte čas a pospěšte si! Tik Tak, Tik Tak, Tik Tak!'
Hodiny říkají různé věci v různých jazycích – v angličtině slyšíme hodiny říkat „ Tik tak .“ V japonštině hodiny říkají „ Kachi Kachi “, v čínštině je to „ Dida dida “ a v korejštině hodiny říkají „ Ttok ttak .“ Hodiny říkají ' tik tak “ v holandštině a ruštině. Vzhledem k tomu, že většina ransomwaru na světě se vyrábí v Rusku, je to pravděpodobnější RobbinHood je Rus spíše než holandský.
Dalším náznakem, že se jedná o práci Rusů, je, že kód jednoho z modulů, Steel.exe odkazuje na uživatelský adresář s názvem Michail .
Jak se RobbinHood ransomware dostane do počítače?
Ransomware RobbinHood používá několik různých metod, jak se dostat do počítače. Primárním způsobem, jak se ransomware objeví, je jako příloha k a phishingový e-mail . To přiměje uživatele ke stažení a spuštění přílohy. Další metoda je průchozí infikované webové stránky . Tento malware přidá na web vyskakovací okno, které uživateli sdělí, že prohlížeč je zastaralý. Klikněte na OK ve vyskakovacím okně způsobí stažení, které po spuštění nainstaluje první část útoku RobbinHood namísto slíbené aktualizace prohlížeče. Další způsob distribuce je prostřednictvím systémy pro sdílení souborů . Instalační program se maskuje jako žádoucí video, které má přimět lidi, aby si jej stáhli a otevřeli.
První část instalačního programu je legitimní program, který má bezpečnostní chybu. Tohle je řidič pro základní desku Gigabyte. Řidič je to, co je známé jako jádro . Interpretuje příkazy operačního systému do akcí na fyzických součástech počítače. Bohužel tento ovladač má brouk, a společnost Gigabyte jej zavrhla. Počítače však nevědí, že soubor již není platný, protože má všechny potřebné bezpečnostní prověrky.
Jakmile je tento ovladač v počítači, zpřístupní hackerovi vstupní bod prostřednictvím známé chyby. Ovladač umožňuje načíst další systémové soubory a nahradit stávající systémy. To se dostane pod systém správy souborů Okna a umožňuje hackerům odstranit zámky na souborech. Umožňuje také hackerské dávkové soubory zabíjet procesy .
Co se stane při útoku ransomwaru RobbinHood?
Dávkové soubory, které instalační program načte, zabíjí mnoho běžících procesů, včetně antivirové systémy . Bez spuštěného AV může malware běžet bez detekce. Zabije také jakýkoli editor, který by mohl mít otevřený soubor. To by zahrnovalo Word a Excel. Žádný soubor, který je otevřený pro úpravy, nelze přepsat šifrovanou verzí.
Malware překvapivě odpojí všechny připojené disky. Zdá se, že je to ztracená příležitost rozšířit se na další počítače. Zdá se však, že je třeba se vypořádat s pracovním postupem procesu šifrování jeden počítač najednou . Očekává se, že replikační služba v rámci balíčku ransomwaru šíření šifrování spustitelné na jiných počítačích v síti. Každý koncový bod bude tedy šifrován samostatně.
Ransomware byl velmi úspěšný v držení celého podnikového systému, který infikuje. Neimplementuje šifrování okamžitě, ale čeká dokud nebude infikováno mnoho počítačů. Analytici nevědí, jak řadič ransomwaru ví, kdy bylo dosaženo dostatečného počtu koncových bodů. Může použít standardní nástroj pro monitorování sítě ke generování seznamu všech koncových bodů připojených ke stejné síti jako je počáteční cíl .
Zdá se, že ransomware RobbinHood přechází do jiných počítačů v síti pomocí Protokol vzdálené plochy (RDP). Některé weby nevyžadují heslo pro tento protokol implementovaný jako nástroj v operačním systému Windows. Dalším bezpečnostním selháním tohoto systému je použití snadno uhodnutelného hesla, jako je např Heslo nebo 123456789 .
Poslední fází přípravy je a úklid , který odstraní všechny soubory protokolu a odstraní stínové kopie vytvořené funkcemi automatického ukládání. Toto finále před útokem také deaktivuje režim obnovení po spuštění systému Windows.
Proces šifrování RobbinHood
Po provedení všech těchto úkolů k rozšíření po síti a změně jádra každého kompromitovaného počítače může být útok stále odvolán. Hackeři zabudovali last minute on-site kontrolní mechanismus .
Šifrování používá dvě vrstvy šifrování s vnějším obalem RSA , systém šifrování veřejného klíče. Před zahájením šifrovací rutiny ransomware hledá uložený šifrovací klíč RSA v adresáři Windows Temp. Kapátko pravděpodobně nainstalovalo tento soubor pro balíček ransomware. Pokud jej však šifrovací proces nemůže najít, celá procedura ransomwaru ano odvolán .
Vzhledem k tomu, že celý systém je instalován společně stejným kapátkem, proč by se mohlo stát, že by tam soubor klíče nebyl? Je možné, že některý z předchozích procesů volitelně odstraní soubor šifrovacího klíče. Ruští hackeři nebudou útočit na počítače, které mají ruština jako systémový jazyk. Tato zdvořilost se vztahuje na jazyky všech národů bývalého SSSR s výjimkou pobaltských států. Průzkumný proces může vymazat soubor klíče, pokud zjistí chráněnou národnost.
Proces šifrování používá AES šifra s novým klíčem pro každý soubor. Původní název každého souboru a klíč použitý k jeho zašifrování jsou pak uloženy v souboru, který je zašifrován šifrou RSA pomocí 4096bitový klíč nalezen v adresáři Temp. Každý útok lze tedy identifikovat pomocí stejného klíče RSA, který chrání mnoho klíčů AES.
Jakmile je každý soubor zašifrován, jeho název se změní na Encrypted_
Výkupné za RobbinHooda
RobbinHood zahodil čtyři kopie výkupné v textovém formátu na zašifrované jednotce a vygeneruje soubor HTML verze zobrazená na obrazovce oběti. Tato poznámka k poptávce obsahuje odkaz na kontaktní formulář. Cílovou stránku však lze otevřít pouze v prohlížeči Tor. Hackeři dají oběť čtyři dny na zaplacení výkupné, nebo se zvýší o 10 000 $ za den, pokud nebude utraceno. Poznámka také vysvětluje, že jednou deset dní prošly bez platby, záznam o dešifrovacím klíči bude smazán a všechny šance na obnovení budou trvale ztraceny.
Zprávy naznačují, že hackeři svůj slib dodržují a plní dešifrovač a klíč k těm, kteří platí. Původní výkupné se pohybuje mezi 0,8 bitcoiny a 13 bitcoiny v závislosti na tom, kolik počítačů bylo infikováno.
Vyřešení problému bude nakonec stát víc než jen výkupné. Například město Greenville spočítalo, že jejich celkové náklady na obnovu dosáhly 18,2 milionu dolarů – včetně výkupného, které zaplatili.
Prevence RobbinHood ransomwarových útoků
Stejně jako u veškerého malwaru je prevence lepší než léčba. Velký problém, kterému budete čelit, není ztráta dat, ale nepořádek buggy kernel příčiny instalace. Budete muset sundat každý počítač a znovu nainstalovat celý operační systém od kovu nahoru.
Díky této kontrole souboru klíče můžete rychle imunizovat jakýkoli počítač proti šifrování RobbinHood. Bohužel různé verze používají pro tento soubor různé názvy. Například by to mohlo být hospod.klíč nebo klíč.hospoda . Vždy je však v C:WindowsTemp složku. Vytvořte tedy prázdný soubor pro každé z těchto jmen a ochrana proti zápisu jim. Instalační program pro RobbinHood tak nebude moci zkopírovat soubor klíče, a když se spustí proces šifrování, nenajde klíč, a proto spadne.
Stále však budete muset řešit problém s jádrem. Kompletní systém ochrany proti malwaru je lepší plán než rychlá oprava k zablokování jednoho konkrétního kmene ransomwaru. Zde jsou dva systémy, které byste měli zvážit pro obranu proti RobbinHood ransomwaru a veškerému malwaru.
1. CrowdStrike Falcon Insight (ZKUŠEBNÍ ZKOUŠKA ZDARMA)
CrowdStrike Falcon Insight je dobrý bezpečnostní balíček pro ochranu před širokou škálu malwaru , včetně ransomwaru RobbinHood. Bohužel RobbinHood prošel čtyřmi verzemi a nejnovější software pro systém obsahuje pouze 23 procent původního kódu. To upozorňuje na problém s tradičními AV, které pouze hledají konkrétní názvy souborů nebo procesy k detekci malwaru – i tentýž malware se v průběhu času vyvíjí, takže výmluvné znaky zastaralý. Místo toho Falcon Insight používá adaptabilní detekční systém, který odhalí nový malware.
Systém Falcon Insight je další generací detekce a reakce koncového bodu (EDR) službu. To sleduje veškerou aktivitu na koncovém bodu a identifikuje pravidelnou aktivitu pro každý uživatelský účet. Pokud se náhle objeví netypické chování, systém upozorní. Trik RobbinHooda s instalací nového jádra by do této kategorie zapadal abnormální chování .
Služba CrowdStrike Falcon Insight je koordinátor pro koncové rezidentní detekční systémy. Tyto moduly jsou dostupné samostatně jako produkt s názvem Falcon Prevent .
Služba Insight je cloudový modul, který přijímá zprávy o aktivitě od agentů koncových bodů a prohledává je na podezřelé chování. To poskytuje systém CrowdStrike dva body detekce . První se dívá na aktivitu jednoho koncového bodu, zatímco druhý hledá propojené aktivity napříč koncovými body. To je užitečné pro zjištění aktivity ransomwaru, která se šíří z jednoho koncového bodu do druhého.
Cloudový systém také přijímá zdroj informací o hrozbách a sděluje doporučené akce až do modulů koncových bodů. Služba EDR navíc zahrnuje sanační systémy, které dokážou okamžitě zablokovat vyvíjející se útok. Například může EDR karanténní software nebo zabít procesy, které vypadají hrozivě. Může také izolovat zařízení ze sítě, aby se zabránilo šíření infekce.
Můžete získat a15denní bezplatná zkušební verzespolečnosti Falcon Prevent.
CrowdStrike Falcon Insight Start 15denní zkušební verze ZDARMA
dva. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus je nezbytným nástrojem pro podniky se standardem ochrany osobních údajů, jako je např GDPR , PCI DSS nebo HIPAA . Jde o ochranu citlivých dat.
Naštěstí RobbinHood nekrade a nezveřejňuje citlivá data. Jiný malware však ano. Hrozba zveřejněním odcizených dat se stále více stává standardní další hrozbou v ransomwaru, která má oběť povzbudit k zaplacení.
DataSecurity Plus má eDiscovery modul, který vyhledává v síti úložiště citlivých dat. Jakmile je najde, kategorizuje data v každém umístění. To vám umožní zvýšit bezpečnost v těchto místech. Součástí balení je také a monitor integrity souborů která vyvolá upozornění, pokud se dotknete chráněných souborů. Tento nástroj může také zvrátit poškození obnovením ze zálohy. Může také zabít procesy a izolovat zařízení od sítě.
ManageEngine DataSecurity Plus je k dispozici pro 30denní bezplatná zkušební verze .