Pred kratkim smo bili priča nenavadnemu primeru okužbe z izsiljevalskim virusom, ko se je škodljiva koda povsem nepričakovano prikradla na strežnik nekega francoskega podjetja. Šlo je za virus iz družine Crysis, ki je luč sveta ugledala v prvi polovici letošnjega leta.

V laboratorijih PandaLabs se dnevno srečujejo s tisoči napadov po celem svetu, a je ta dotični primer še posebej vzbudil njihovo pozornost, saj je odstopal od ostalih. Ponavadi je za okužbo z izsiljevalskim virusom kriva uporabniška napaka, tokrat pa se je okužena datoteka nenadoma znašla na računalniku, ki ga naj ne bi uporabljal nihče. Poleg tega na tem računalniku ni bil nameščen niti poštni odjemalec niti spletni brskalnik. Računalnik se je kljub temu okužil.

Kako je virus prišel v računalnik?

V PandaLabs so želeli ugotoviti, kako se je virus znašel na računalniku in zakaj noben varnostni mehanizem okuženi datoteki ni preprečil vstopa v računalnik. Začeli so raziskovati in izkazalo se je, da je bil na strežniku zagnan protokol RDP, preko katerega so spletni kriminalci izvajali metodo »brute force«, da bi uganili poverilnice za dostop do strežnika.

Žal v splošnem velja, da poverilnic za dostop ni težko uganiti. Večina uporabnikov namreč nima omogočene avtentikacije 2FA, njihova gesla pa niso niti kompleksna niti naključna. S tako nizko stopnjo varnosti predstavljajo podjetja in posamezniki lahko tarčo za vse spletne kriminalce, ki lahko z malo potrpljenja hitro pridobijo dostop do strežnika.

Pred letom dni je neko Špansko podjetje utrpelo enak poskus napada, nepridipravi pa ponavadi to metodo izvajajo ponoči ali med vikendi, ko je v podjetju malo ljudi ali po možnosti nikogar.

Kako je napad potekal?

V tem primeru se je napad na strežnik začel 16. maja 2016. Ta dan so napadalci izvedli 700 poskusov ‘brute-force’ vdorov na strežnik. Poskusi so se izvajali samodejno, v povprečju je ena perioda napadov trajala dve uri. Večina period se je odvila med 1. in 3. uro zjutraj ali med 3. in 5. uro zjutraj. Od 16. maja dalje so se napadi izvajali vsakodnevno, npr. 18. maja je bilo zabeležnih 1976 poskusov vdora, 1. julija je bilo zabeleženih 1342 poskusov vdora itd., …

Štiri mesece in 100.000 poskusov vdorov kasneje, so napadalci končno uganili poverilnice, pridobili dostop do strežnika in na njem pustili datoteko z izsiljevalskim virusom Crysis.

Kriza je zajela ves svet

Napada iz Francije in Španije pa nista osamljena primera. Kolegi iz Trend Micra so septembra poročali o enakih napadih v Avstraliji in na Novi Zelandiji. Na žalost lahko trdimo, da se je trend tovrstnega širjenja izsiljevalskih virusov razširil po celem svetu.

Če predvidevamo, da na vašem računalniku teče protokol RDP, računalnik pa ima povezavo z internetom, potem je vredno preveriti, kako močna so vaša gesla. Najboljši način za povečanje nivoja varnosti je implementacija avtentikacije 2FA, npr. SMS koda, pri čemer postanejo vse ‘brute-force’ metode ugibanja gesel povsem neuporabne.