WastedLocker: jedna od najopasnijih novih sajber pretnji

U maju 2020. pojavio se ransomware koji beleži puno uspeha zahvaljujući funkcionalnostima kojima izbegava anti-ransomware i druge sajber bezbednosne alate. Napadači za dekriptor zahtevaju milione dolara. Jedna od najnovijih žrtvi je proizvođač pametnih gedžeta Garmin. Ovaj ransomware je najverovatnije delo ruske hakerske grupe Evil Corp, koja je poznata po konstantnom unapređivanju i prilagođavanju svojih alata.

Analitičari iz kompanije Sophos detaljno su analizirali WastedLocker i otkrili da su se autori svojski potrudili oko izbegavanja detekcije. Malver obavlja niz manevara s ciljem da “zbuni” i izbegne detekciju od strane anti-ransomware rešenja koja analiziraju ponašanje pretnje. Posebno je interesantno šta malver radi sa mapiranjem u Windowsu kako bi izbegao anti-ransomware alate. U pitanju su veoma sofisticirani potezi koji govore da napadači poseduju dubinsko znanje o konceptima i mehanizmima funkcionisanja Windowsa, odnosno znanje koje bi samo oni koji su ih razvili trebalo da imaju. Zbog toga uspevaju da unesu konfuziju i prevare bezbednosne alate.

Kompanija Garmin je 23. jula doživela WastedLocker ransomware napad zbog čega 4 dana nisu radili servisi poput Garmin Connect, flyGarmin, Strava, inReach. Napadači su za dekriptor inicijalno tražili $10 miliona. Iako nisu želeli da komentarišu da li su i koliko platili za dekriptor, može se opravdano pretpostaviti da jesu s obzirom da su nakon 4 dana krenuli da podižu svoje servise. U prilog pretpostavci da je plaćena otkupnina ide i činjenica da WastedLocker nema poznatih enkripcijskih slabosti i da nije moguće napraviti dekriptor besplatno.

Dalje, BleepingComputer je imao uvid u alat koji je napravilo IT odeljenje Garmina koji služi za otključavanje radnih stanica i koji zatim instalira razna bezbednosna rešenja. Alat sadrži instalacione pakete za bezbednosna rešenja, dekripcijski ključ, WastedLocker dekriptor i skriptu koja ih sve pokreće. Na osnovu analize dekriptora, uspostavljena je veza sa sajber bezbednosnom firmom Emsisoft i firmom Coveware koja pruža usluge pregovaranja sa ransomware grupama. Emsisoft je poznat kao firma koja pravi bolje verzije dekriptora na osnovu alata za dekripciju koje im pošalju ransomware operatori, a koji često imaju bagove ili presporo otključavaju. Uz to, firme koje angažuju Emsisoft žele da se uvere da dekriptor koji pošalju napadači ne sadrži neki backdoor trojanac.

Mnoge familije malvera koriste tehnike obfuskacije koda kako bi sakrile maliciozne namere i izbegle detekciju, ali WastedLocker ide korak dalje tako što uspostavlja interakciju sa Windows API funkcijama iz same memorije, odakle ga je teže detektovati. Ono što anti-ransomware rešenjima zasnovanim na praćenju ponašanja otežava posao je korišćenje I/O mapiranih u memoriji za kriptovanje fajla. Tehnika omogućava da ransomware transparentno kriptuje keširana dokumenta u memoriji, bez dodatnog I/O na disku, što ga štiti od softvera koji prate ponašanje. Kada se infekcija detektuje, onda je već kasno (obično se primeti tek kada napadači odluče da započnu ransomware napad i pošalju poruku o otkupnini, zahtevajući milione dolara za dekriptor).

Napadi su detaljno isplanirani, uz aktivno učešće napadača u svakoj fazi procesa, a obično počinju zloupotrebom ukradenih login kredencijala. Ukoliko su to kredencijali za admin naloge, onda mogu da urade praktično šta god požele. Sa admin privilegijama mogu da onemoguće rad bezbednosnih alata, a ako ne postoji multifaktorska autentifikacija (MFA), mogu da se uloguju u RDP, VPN i admin alate.

Preporuke za zaštitu

Zbog masovnog prelaska na rad od kuće usled COVID-19 pandemije, stvoreni su optimalni uslovi za ovakve sajber kriminalne kampanje. Preporuka kompanijama je da usvoje bezbednosne procedure poput nekorišćenja default lozinki za remote prijavu na portale i primene MFA kao dodatnog sloja zaštite naloga i sistema. Takođe, obavezno redovno instalirajte bezbednosna ažuriranja, jer napadači često gledaju da iskoriste poznate ranjivosti.