Případová studie: Útok Ransomware a obnova pomoci systému Chronos

Souhrnná informace

Je bohužel již běžné číst v médiích o firmách, které postihl útok ransomware a které buď zaplatily výkupné nebo začaly budovat svoji IT strukturu znovu prakticky od nuly. Takový proces je buď nesmírně drahý (výkupné) nebo náročný na čas i prostředky. Přitom ani poctivá a funkční záloha nemusí být dostatečným řešením: útočníci totiž často kradou také data, zejména ta citlivá a snaží se oběť vydírat pod hrozbou jejich vyzrazení. Takto postižené firmě hrozí ztráta reputace, postihy od úřadů na ochranu osobních údajů a další sankce… Jde o zločineckou praxi, se kterou se setkáváme stále častěji. Správným postupem je najít zdroj útoku, jeho stopy v systému, vše vyšetřit a pokud je to nutné, také obnovit a systém vyztužit proti dalším útokům. 

Volně přeložený článek ukazuje postup týmu Incident Respond firmy CSIS Security Group, která se tímto zabývá a má za sebou stovky menších
i velkých firem, postavených „na nohy“ v krátkém čase. Díky využití své vlastní platformy forenzního systému Chronos poskytuje CSIS nejlepší služby Incident Response ve své třídě a minimalizuje škody způsobené
i masívním útokem ransomwaru.

Můžete si přečíst detaily vyšetřování, způsob práce i závěry. Šlo o útok na velkou nadnárodní IT společnost se sídlem v Dánsku: byla zasažena útokem ransomwaru, který vygeneroval náklady ve výši 20 milionů DKK (cca 2,7 milionu EUR).

„Forenzní nástroj Chronos má schopnost analyzovat data pro různé účely.“ Může být použit jako vyšetřovací nástroj pro incidenty, což je jeho primární funkce. Lze jej však také nakonfigurovat, aby třeba identifikoval chybějící bezpečnostní politiky a stav bezpečnostních řešení, což poskytuje snadný pohled na soulad sítě s předpisy (compliance).“
– Ian Qvist Principal Consultant & Incident Response Techlead CSIS Security Group

Podrobnosti

CSIS byla kontaktována prostřednictvím linky nouzové pomoci 24/7 a IT společnost uvedla, že žádný z jejích systémů nereaguje. Po pochopení závažnosti situace byl okamžitě vyslán tým konzultantů CSIS IR.

Úvodní „situační setkání“ vedlo k závěru, že za účelem zastavení narůstajících finančních ztrát dá vrcholový management pokyn k zastavení všech nepodstatných činností, aby bylo možné většinu zaměstnanců a konzultantů poslat domů.

„Chronos má jedinečný smysl pro detail a poskytuje přehled o aktivitách útočníka rychleji než jakákoli jiná platforma. Vyhledávání případů napadení, inteligence, časová osa a komplexní analýza na dosah ruky pomáhají poskytovat rychle odpovědi na otázky našich zákazníků.“
– Michael Bisbjerg Senior Consultant & Incident Responder CSIS Security Group

Tým Incident Respond (IR) zahájil okamžitě vyšetřování a položil tři klíčové otázky, které je třeba zodpovědět při jakémkoli incidentu, aby byl zajištěn důkladný proces nápravy, který také minimalizuje pravděpodobnost opakování stejného incidentu:

1. Jak k incidentu došlo? Jde o nalezení vektoru infekce a trasování všech aktivit útočníka.
2. Jaká data byla odcizena? Odpověď na tuto otázku pomáhá přijmout vhodná a relevantní opatření v rámci GDPR, včetně nezbytných oznámení a veřejných prohlášení.
3. Kdy došlo k útoku? Často se zjistí, že útočníci měli přístup k síti déle, než se původně předpokládalo. Přehlédnutí tohoto typu může skončit ponecháním otevřených zadních vrátek pro útočníka. Může tak způsobit nepředvídané komplikace a také prodloužit nápravy.

Nasazení systému Chronos

Chronos je klíčovou součástí práce týmu Incident Respond (IR) firmy CSIS Security Group A/S.

Po nasazení poskytl Chronos celkový přehled o škodlivých aktivitách útočníka na všech počítačích v síti. Chronos je velmi rychlá a snadno nasaditelná aplikace, která shromažďuje až 350 artefaktů (důkazů), přičemž jde o drobné stopy škodlivých akcí, které poskytují základní informace o tom, co se stalo během incidentu. Taková šířka a hloubka pohledu umožňuje rychlou detekci a chirurgicky přesné, ale komplexní odstranění malwaru ze sítě. Klíčovou výhodou používání Chronosu je navíc to, že zatímco běžně používaným nástrojům pro monitorování zabezpečení budou chybět ukazatele kompromitace (IOC), které předcházely instalaci nástroje, Chronos tímto slepým úhlem netrpí: shromažďuje všechna historická data týkající se aktivit na daném prostředku.

Data shromážděná a získaná automatizovanými analyzátory systému Chronos umožnila týmu IR zjistit, že útočník kompromitoval počítač v jedné ze sítí zákazníka prostřednictvím chyby zabezpečení (zranitelnosti) prostředku pro připojení vzdálené plochy, což umožnilo vzdálené spuštění kódu na serveru. Zločinec eskaloval svá oprávnění, aby se nejprve stal administrátorem domény v místním systému a následně globálním administrátorem domény, což nakonec mělo vést k získání přístupu k zákazníkově finanční databázi.

Navíc bylo zjištěno, že krátce po průniku začal útočník nasazovat ransomware na záložní server, poté se přihlásil k řadiči domény a nasadil ransomware na všechny servery a všechny klienty.

Rychlost a účinnost reakce proto byly největšími výzvami tohoto šetření. Na základě poznatků generovaných nástrojem Chronos byl tým IR schopen začít cílit a opravovat postižené systémy, aby trvale zastavil infekci. V rámci vyšetřování tým hledal ukradená data, známky zadních vrátek a jakékoli zneužitelné zranitelnosti. Jakmile byla infekce zastavena, mohl zákazník zahájit proces obnovy.

Když byly opět v provozu služby kritické pro chod firmy, přistoupilo se k posílení úrovně zabezpečení, aby v budoucnu bylo podobným útokům zabráněno. Na základě doporučení týmu IR nasadil zákazník další bezpečnostní řešení a nainstaloval účinný systém EDR na všechny stroje.

„Incident nám nedává jinou možnost. Musíme zjistit, jak k němu došlo. Hlavním důvodem, proč jsme Chronos vyvinuli, je zaplnit mezeru tam, kde je bezpečnostní monitoring nestačí.„
– Ian Qvist Principal Consultant & Incident Response Techlead CSIS Security Group

Výsledek

Za obvyklých okolností by takový případ mohl trvat přibližně 8 týdnů. Kombinace dlouhodobých a hlubokých zkušeností při vyšetřování podobných incidentů týmem Incident Respond CSIS Security Group (IR) a schopností platformy Chronos umožnila mnohem kratší dobu obnovy.

Je pozoruhodné, že při vyšetřování výše zmíněných tří otázek, došlo také k odhalení jak a kdy k útoku došlo (třebaže se po jistou dobu viditelně neprojevil), včetně identity útočníka. To zase následně obohacuje tým o další zkušenost, pochopení taktiky a metod útočníka, což ve svém důsledku posiluje proces řešení incidentů do budoucnosti.

Pokud máte zájem o více informací nebo byste třeba rádi navázali kontakt pro případ nenadálé události do budoucnosti, budeme rádi, když se ozvete. Prevence je levnější, než řešení následků!

„Vzhledem k tomu, že Chronos nám poskytuje úplný přehled o konfiguraci zabezpečení počítače, můžeme jej použít k vytvoření dobrého východiska pro zabezpečení, které bude chránit zákazníka před budoucími útoky.“

– Ian Qvist Principal Consultant & Incident Response Techlead CSIS Security Group

Zdroj textu a obrázku: CSIS Security Group