Ένα νέο στέλεχος ransomware με το όνομα GodDamn γίνεται πρωτοσέλιδο για μια τεχνική που θα έπρεπε να ανησυχήσει όποιον πιστεύει ότι το λογισμικό προστασίας από ιούς έχει τον τελευταίο λόγο για το τι εκτελείται στον υπολογιστή του. Σύμφωνα με το ρεπορτάζ του Dark Reading, οι επιτιθέμενοι πίσω από το GodDamn χρησιμοποιούν έναν κακόβουλο οδηγό πυρήνα που η ίδια η Microsoft υπέγραψε, μετατρέποντας ένα έμπιστο ψηφιακό πιστοποιητικό σε όπλο ενάντια στα ίδια τα εργαλεία ασφαλείας που θα έπρεπε να το σταματήσουν. Αυτό είναι ένα σχολικό παράδειγμα μιας επίθεσης BYOVD, συντομογραφία του «Bring Your Own Vulnerable Driver», και γίνεται ένα από τα πιο αξιόπιστα κόλπα στο οπλοστάσιο ενός χειριστή ransomware.

Τι συνέβη

Το ransomware GodDamn χτυπά εταιρείες στις ΗΠΑ αναπτύσσοντας έναν οδηγό επιπέδου πυρήνα που φέρει μια νόμιμη υπογραφή της Microsoft. Επειδή τα Windows εμπιστεύονται τους υπογεγραμμένους οδηγούς να λειτουργούν βαθιά μέσα στο λειτουργικό σύστημα, αυτός ο οδηγός μπόρεσε να ξεφύγει από τις άμυνες και να τερματίσει το λογισμικό ασφαλείας πριν καν εκτελεστεί το ωφέλιμο φορτίο του ransomware. Μόλις η προστασία των τελικών σημείων απενεργοποιηθεί, οι επιτιθέμενοι είναι ελεύθεροι να κρυπτογραφήσουν αρχεία και να κινηθούν μέσα στο δίκτυο σε μεγάλο βαθμό απαρατήρητοι. Το γεγονός ότι η Microsoft υπέγραψε εξαρχής τον οδηγό είναι η πιο εντυπωσιακή λεπτομέρεια εδώ: σημαίνει ότι ο κακόβουλος κώδικας δεν χρειάστηκε να εκμεταλλευτεί ένα ελάττωμα στα Windows, αλλά μάλλον εκμεταλλεύτηκε την εμπιστοσύνη που έχει τοποθετηθεί στην ίδια τη διαδικασία υπογραφής.

Πώς το BYOVD παρακάμπτει τη στοίβα ασφαλείας σας

Οι οδηγοί πυρήνα λειτουργούν στο υψηλότερο επίπεδο προνομίων σε ένα μηχάνημα Windows, ουσιαστικά κάτω από το επίπεδο όπου εκτελούνται τα περισσότερα antivirus και εργαλεία ανίχνευσης τελικών σημείων. Αυτός ακριβώς είναι ο λόγος που οι επιτιθέμενοι θέλουν έναν. Ένας οδηγός με έγκυρη υπογραφή δεν ενεργοποιεί τον ίδιο έλεγχο που θα είχε ένα μη υπογεγραμμένο ή άγνωστο εκτελέσιμο, οπότε μπορεί να φορτωθεί αθόρυβα και στη συνέχεια να χρησιμοποιηθεί για να απενεργοποιήσει, να τυφλώσει ή να σκοτώσει άλλες διεργασίες ασφαλείας που εκτελούνται στο σύστημα.

Αυτό έχει σημασία πέρα από το παραδοσιακό antivirus. Το λογισμικό πελάτη VPN, τα εργαλεία φιλτραρίσματος DNS και άλλες εφαρμογές απορρήτου ή ασφαλείας εκτελούνται επίσης ως διεργασίες στο ίδιο λειτουργικό σύστημα και μπορεί να είναι εξίσου ευάλωτα στο να τερματιστούν από έναν επιτιθέμενο σε επίπεδο πυρήνα που έχει ήδη αυτό το επίπεδο ελέγχου. Ένα VPN κρυπτογραφεί την κίνησή σας και μπορεί να βοηθήσει στην αποτροπή ορισμένων μορφών κατασκοπείας δικτύου, αλλά δεν σχεδιάστηκε ποτέ για να εμποδίσει έναν κακόβουλο οδηγό από το να απενεργοποιήσει το λογισμικό ασφαλείας σε επίπεδο λειτουργικού συστήματος. Μόλις ένας επιτιθέμενος αποκτήσει πρόσβαση στον πυρήνα, λειτουργεί κάτω από το σημείο όπου τα περισσότερα καταναλωτικά και επιχειρηματικά εργαλεία ασφαλείας μπορούν να τον δουν, γεγονός που εξηγεί ακριβώς γιατί η άμυνα σε βάθος έχει σημασία αντί να βασίζεται κανείς σε ένα μόνο εργαλείο.

Το BYOVD δεν είναι καινούργιο, αλλά έχει γίνει μια αγαπημένη τεχνική ακριβώς επειδή λειτουργεί τόσο καλά ενάντια στις σύγχρονες άμυνες. Οι χειριστές ransomware ενσωματώνουν όλο και περισσότερο αυτή τη δυνατότητα απευθείας στο κακόβουλο λογισμικό τους αντί να την αντιμετωπίζουν ως ξεχωριστό εργαλείο που αναπτύσσεται εκ των προτέρων, γεγονός που επιταχύνει τις επιθέσεις και κάνει την ανίχνευση δυσκολότερη. Το ευρύτερο μοτίβο των επιτιθέμενων που κινούνται γρήγορα μόλις βρουν κάτι που λειτουργεί είναι ορατό σε όλο το τοπίο του ransomware αυτή τη στιγμή. Ομάδες εκβιασμού έχουν επίσης δείξει προθυμία να χτυπήσουν γρήγορα κρίσιμες υποδομές, όπως φάνηκε όταν η SpaceBears στόχευσε έναν γαλλικό πάροχο τηλεπικοινωνιών νωρίτερα φέτος, και μεγάλης κλίμακας επιχειρήσεις κλοπής δεδομένων όπως αυτή που ισχυρίστηκαν οι ShinyHunters εναντίον της NAIC δείχνουν πόσα δεδομένα διακυβεύονται μόλις αποτύχουν οι αρχικές άμυνες.

Γιατί αυτό έχει σημασία για την ασφάλεια της συσκευής σας

Το βασικό μάθημα από το GodDamn δεν αφορά το ransomware μεμονωμένα, αλλά την ευθραυστότητα των μοντέλων ασφαλείας που βασίζονται στην εμπιστοσύνη. Ο υπογεγραμμένος κώδικας, τα επαληθευμένα πιστοποιητικά και η έγκριση προμηθευτών υποτίθεται ότι σηματοδοτούν ασφάλεια, αλλά οι επιτιθέμενοι συνεχίζουν να βρίσκουν τρόπους να καταχρώνται αυτά ακριβώς τα σήματα. Η ταχύτητα είναι επίσης ένας παράγοντας. Ακριβώς όπως οι επιτιθέμενοι κινήθηκαν γρήγορα για να παραβιάσουν δεκάδες χιλιάδες διακομιστές μετά την αποκάλυψη μιας κρίσιμης ευπάθειας παράκαμψης ελέγχου ταυτότητας του cPanel, τα συνεργεία ransomware είναι γρήγορα στο να θέσουν σε εφαρμογή οποιαδήποτε τεχνική, συμπεριλαμβανομένων των κακόβουλων υπογεγραμμένων οδηγών, που τους δίνει πλεονέκτημα έναντι των υπερασπιστών.

Για τους απλούς χρήστες και τους διαχειριστές IT εξίσου, αυτό ενισχύει ένα απλό σημείο: ένα μόνο επίπεδο ασφαλείας, είτε αυτό είναι antivirus, VPN ή τείχος προστασίας, δεν αρκεί από μόνο του. Η άμυνα σε βάθος, δηλαδή οι πολλαπλές επικαλυπτόμενες προστασίες, παραμένει ο πιο ρεαλιστικός τρόπος μείωσης του κινδύνου όταν οι επιτιθέμενοι βρίσκουν ενεργά τρόπους να παρακάμπτουν οποιονδήποτε μεμονωμένο έλεγχο.

Τι σημαίνει αυτό για εσάς

Εάν διαχειρίζεστε συστήματα Windows, είτε στο σπίτι είτε σε επιχειρηματικό περιβάλλον, η εκστρατεία ransomware GodDamn είναι μια υπενθύμιση να διατηρείτε ενημερωμένα την επιβολή υπογραφής οδηγών, την ανίχνευση τελικών σημείων και τη διαχείριση επιδιορθώσεων. Τα Windows διαθέτουν μηχανισμούς για τον αποκλεισμό γνωστών κακόβουλων οδηγών και η διατήρηση αυτών των αμυνών ενημερωμένων είναι απαραίτητη, καθώς οι επιτιθέμενοι βασίζονται σε παρωχημένες λίστες αποκλεισμού για να περάσουν ευάλωτους οδηγούς απαρατήρητους.

Ένα VPN παραμένει πολύτιμο μέρος της εργαλειοθήκης απορρήτου και ασφαλείας σας, ιδιαίτερα για την κρυπτογράφηση της κίνησης σε μη αξιόπιστα δίκτυα και τον περιορισμό της έκθεσης σε ορισμένες μορφές επιτήρησης, αλλά θα πρέπει να γίνεται κατανοητό ως ένα επίπεδο μεταξύ πολλών και όχι ως πλήρης άμυνα ενάντια σε εξελιγμένο κακόβουλο λογισμικό. Ο συνδυασμός ενός αξιόπιστου VPN με ενημερωμένο λογισμικό προστασίας από ιούς, έγκαιρες επιδιορθώσεις λειτουργικού συστήματος και προσεκτικό χειρισμό λήψεων και συνημμένων email σας δίνει μια πολύ ισχυρότερη συνολική στάση από το να βασίζεστε σε οποιοδήποτε μεμονωμένο εργαλείο.

Πρακτικά συμπεράσματα

Διατηρήστε τα Windows και όλο το λογισμικό ασφαλείας πλήρως ενημερωμένα, καθώς η Microsoft ενημερώνει περιοδικά τη λίστα αποκλεισμού ευάλωτων οδηγών για να κλείσει κενά όπως αυτό. Ενεργοποιήστε τις λειτουργίες ακεραιότητας μνήμης και απομόνωσης πυρήνα στις ρυθμίσεις ασφαλείας των Windows όπου υποστηρίζονται, καθώς αυτές μπορούν να κάνουν τις επιθέσεις BYOVD δυσκολότερες να πραγματοποιηθούν. Δημιουργήστε αντίγραφα ασφαλείας κρίσιμων δεδομένων τακτικά και αποθηκεύστε αντίγραφα εκτός σύνδεσης, ώστε η κρυπτογράφηση ransomware να μην μπορεί να κρατήσει τα αρχεία σας όμηρα. Αντιμετωπίστε το VPN σας ως μέρος μιας ευρύτερης στρατηγικής ασφαλείας και όχι ως αυτόνομη ασπίδα, συνδυάζοντάς το με προστασία τελικών σημείων και ασφαλείς συνήθειες περιήγησης. Τέλος, μείνετε ενημερωμένοι για τις αναδυόμενες τεχνικές BYOVD και ransomware, καθώς η κατανόηση του πώς οι επιτιθέμενοι παρακάμπτουν τις άμυνες που βασίζονται στην εμπιστοσύνη είναι το πρώτο βήμα για να κλείσετε αυτά τα κενά πριν φτάσουν σε εσάς.