← Sajber vesti
CP.STR.02 · SAJBER VESTI VEST · № ID0723
Napadi ↳ CyberPress

Ransomware WantToCry ne probija zaštitu, loguje se sa ključem — dovoljni su izložen SMB i slaba lozinka

WantToCry je ransomware kampanja koja ne iskorišćava nijednu ranjivost — na žrtvin sistem se prosto prijavi. Ulazna vrata su SMB servis (Windows deljenje fajlova) izložen na internet i slaba ili ukradena lozinka: napadači automatizovano pogađaju lozinke na sistemima kojima su portovi 139 i 445 izloženi ka internetu, otvore prijavljenu SMB sesiju i kroz nju provlače fajlove na svoju infrastrukturu. Tamo ih zaključavaju, pa ih tako zaključane vrate preko iste sesije i pobrišu originale — što znači da na žrtvinoj mašini nema nikakvog virusa, pa zaštita koja traži lokalni ransomware napad nema šta da pronađe. Ostavljaju poruku !Want_To_Cry.txt i fajlovima dodaju nastavak .want_to_cry, a otkup traže između 400 i 1.800 dolara, uz kontakt preko QTox-a ili Telegrama i jedinstvenu Bitcoin adresu. Dvostruke ucene (pretnje objavljivanjem ukradenih podataka) za sada nema, a ime kampanje namerno podseća na WannaCry iz 2017 — s tom razlikom što je WannaCry kroz isti SMB servis provaljivao pravim exploitom, dok WantToCry samo iskorišćava blatantni propust administratora.

↯ ŠTA ZNAČI

Najgori deo nije zastarela tehnika — brute-force preko izloženog SMB-a bebe hakeri izgovore pre nego „mama” — nego realna računica iza nje: napadači znaju da i dalje ima dovoljno otvorenih i slabo zaštićenih meta, pa ne gube vreme na exploite, nego prosto idu po parkingu i traže otključana vrata. Na hiljadama servera, neko je sigurno zaboravio da zaključa. Skoro deceniju nakon što je WannaCry svima održao lekciju da servis za deljenje nema šta da traži na otvorenom internetu, port 445 i dalje visi vani. To vam je kao da vetrite stan u predgrađu Černobilja nakon eksplozije reaktora. U ovom slučaju se ne koristi ni propust u softveru, već slaba ili poznata lozinka. Retko je to zla namera administratora; najčešće je u pitanju stari fajl-server kojeg se niko više i ne seća, NAS kutija koju je proizvođač isporučio sa uključenim deljenjem, ili privremeno otvoren port koji je takav ostao zauvek. Kod nas je upravo to tipična meta — mala firma bez posebnog IT-ja — a pošto se šifrovanje dešava na udaljenoj lokaciji, antivirus na mašini nema šta da prijavi.

→ PREPORUČENI KORACI

  1. 01 Zatvori dolazne portove 139 i 445 na firewall-u — SMB nema zašto da bude dostupan sa interneta
  2. 02 Isključi SMBv1 i ukloni gost/anoniman pristup deljenim resursima
  3. 03 Pojačaj lozinke na nalozima sa pristupom i ograniči broj pokušaja prijave, jer napad počinje običnim pogađanjem lozinke
  4. 04 Proveri šta ti je od deljenih resursa, NAS uređaja i starih servera uopšte vidljivo spolja — često toga ima više nego što se očekuje
  5. 05 Postavi nadzor nad naglim, masovnim promenama fajlova na deljenim resursima — to je ovde glavni znak da napad traje
otvori izvor → ← nazad na sve vesti