Geen audiospeler hieronder? Luisteren direct op Soundcloud.

DOUG.   Ransomware, meer ransomware en TPM-kwetsbaarheden.

Dat alles, en meer, op de Naked Security-podcast.

[MUZIEK MODEM]

Welkom bij de podcast, allemaal.

Ik ben Doug Aamoth; hij is Paul Ducklin.

Paul, hoe gaat het vandaag?

---

EEND.   Sneeuw en ijzel, Doug.

Dus het was een koude rit naar de studio.

Ik gebruik luchtaanhalingstekens... niet voor 'rijden', voor 'studio'.

Het is niet echt een studio, maar het is *mijn* studio!

Een kleine geheime ruimte op het hoofdkantoor van Sophos voor het opnemen van de podcast.

En het is hier heerlijk warm, Doug!

---

DOUG.   Oké, als iemand luistert... kom langs voor een rondleiding; Paul leidt je graag rond.

En ik heb er zo'n zin in Deze week in de technische geschiedenis, Paulus.

Deze week, op 06 maart 1992, kwam het slapende Michelangelo-bootsectorvirus tot leven en overschreef sectoren van de harde schijven van zijn slachtoffers.

Dit betekende toch het einde van de wereld voor computers overal, aangezien de media over zichzelf struikelden om mensen te waarschuwen voor naderend onheil?

Volgens het conferentieverslag van Virus Bulletin uit 1994, en ik citeer:

Paul Ducklin, een energieke en vermakelijke spreker, is ervan overtuigd dat de inspanningen van zowel de bedrijven als de media om voorlichting te geven in veel opzichten hun doel niet hebben bereikt..

Paul, je was erbij, man!

---

EEND.   Dat was ik, Doug.

Ironisch genoeg was 6 maart de enige dag dat Michelangelo geen virus was.

Alle andere dagen verspreidde het zich gewoon als een lopend vuurtje.

Maar op 06 maart ging het: “Aha! Het is payload-dag!”

En op een harde schijf zou het door de eerste 256 tracks gaan, de eerste 4 heads, 17 sectoren per track... wat zo ongeveer de "linkerbenedenhoek" was, als je wilt, van elke pagina van de meeste harddisks die in gebruik zijn in die tijd.

Het zou dus ongeveer 8.5 MByte van uw harde schijf kosten.

Het zapte niet alleen veel gegevens, het verpestte ook dingen zoals de bestandstoewijzingstabellen.

U kunt dus wat gegevens herstellen, maar het was een enorme en onzekere inspanning voor elk afzonderlijk apparaat dat u wilde proberen te herstellen.

Het is net zoveel werk voor de tweede computer als voor de eerste, voor de derde computer als voor de tweede… heel, heel moeilijk te automatiseren.

Gelukkig werd het, zoals je zegt, erg overhyped in de media.

Ik heb begrepen dat het virus voor het eerst werd geanalyseerd door wijlen Roger Riordan, een beroemde Australische antivirusonderzoeker in de jaren negentig, en dat hij het in februari 1990 ontdekte.

En hij praatte er met een vriend van hem over, geloof ik, en zijn vriend zei: “Oh, 6 maart, dat is mijn verjaardag. Wist je dat het ook de verjaardag van Michelangelo is?”

Omdat ik denk dat mensen die op 6 maart zijn geboren, dat misschien toevallig weten ...

Het was natuurlijk zo'n trendy en coole naam... en een jaar later, toen het de kans had gehad zich te verspreiden en, zoals je zegt, vaak sluimerde, kwam het terug.

Miljoenen computers werden niet getroffen, zoals de media leken te vrezen, en zoals wijlen John McAfee graag zei, maar dat is een koude troost voor iedereen die werd geraakt, want je bent vrijwel alles kwijtgeraakt.

Niet helemaal alles, maar het zou je een klein fortuin kosten om een ​​deel ervan terug te krijgen... waarschijnlijk onvolledig, waarschijnlijk onbetrouwbaar.

En het slechte eraan was dat het zich verspreidde op diskettes; en omdat het zich verspreidde in de bootsector; en omdat in die tijd bijna elke computer opstartte vanaf de diskettedrive als er toevallig een schijf in zat; en omdat zelfs anders lege diskettes een opstartsector hadden en elke code erin zou worden uitgevoerd, zelfs als het alleen leidde tot een "Niet-systeemschijf of schijffout, vervang en probeer het opnieuw" soort bericht ...

… toen was het te laat.

Dus als je per ongeluk een schijf in de drive hebt laten zitten, en je de volgende ochtend aanzet, tegen de tijd dat je dat bericht "Niet-systeemschijf of schijffout" zag en dacht: "Oh, ik zal de floppy uit en start opnieuw op vanaf de harde schijf "...

…tegen die tijd stond het virus al op je harde schijf en verspreidde het zich naar elke diskette die je had.

Dus zelfs als je het virus had en het vervolgens verwijderde, als je niet je hele bedrijfsvoorraad floppy diskettes doorzocht, zou er een Typhoid Mary zijn die het op elk moment opnieuw zou kunnen introduceren.

---

DOUG.   Er is een fascinerend verhaal.

Ik ben blij dat je er was om het een beetje op te ruimen!

En laten we nog wat opruimen.

Deze Trusted Platform Module... soms controversieel.

Wat gebeurt er als de code die nodig is om uw machine te beschermen, zelf is kwetsbaar, Paulus?

Serieuze beveiliging: TPM 2.0-kwetsbaarheden - lopen uw superveilige gegevens gevaar?

---

EEND.   Als je dit hele TPM-gedoe wilt begrijpen, wat klinkt als een geweldig idee, juist... er is een klein dochterbord-dingetje dat je in een klein slotje op je moederbord steekt (of misschien is het vooraf ingebouwd), en het heeft er een kleine, kleine speciale coprocessor-chip die alleen deze kerncryptografische dingen doet.

Veilig opstarten; Digitale handtekeningen; sterke opslag voor cryptografische sleutels ... dus het is niet per se een slecht idee.

Het probleem is dat je je zou voorstellen dat, omdat het zo'n klein apparaatje is en het alleen deze kerncode bevat, het toch vrij eenvoudig is om het uit elkaar te halen en het eenvoudig te maken?

Nou ja, alleen de specificaties voor de Trusted Platform Module, of TPM... ze hebben samen: 306 pagina's, 177 pagina's, 432 pagina's, 498 pagina's, 146 pagina's, en de grote slechterik aan het eind, het "Deel Vier: Ondersteunende Routines - Code", waar de bugs zijn, 1009 PDF-pagina's, Doug.

---

DOUG.   [LACHT] Gebruik wat licht lezen!

---

EEND.   [ZUCHT] Gewoon wat licht lezen.

Er is dus veel werk. en veel plaats voor bugs.

En de nieuwste... nou ja, er zijn er nogal wat die in de laatste errata zijn genoteerd, maar twee ervan hebben daadwerkelijk CVE-nummers gekregen.

Er is CVE-2023-1017 en CVE-2023-1018.

En helaas zijn het bugs, kwetsbaarheden, die kunnen worden gekieteld (of bereikt) door commando's die een normaal gebruikersruimteprogramma zou kunnen gebruiken, zoals iets dat een systeembeheerder of u zelf zou kunnen uitvoeren, alleen om de TPM te vragen dit te doen iets veiligs voor jou.

Je kunt dus dingen doen als: 'Hé, ga wat willekeurige getallen voor me halen. Ga een cryptografische sleutel voor me maken. Ga weg en verifieer deze digitale handtekening.

En het is fijn als dat gebeurt in een aparte kleine processor waar de CPU of het besturingssysteem niet mee kan knoeien - dat is een geweldig idee.

Maar het probleem is dat in de gebruikersmoduscode die zegt: "Hier is het commando dat ik je presenteer"...

... helaas, het ontrafelen van de parameters die worden doorgegeven om de functie uit te voeren die je wilt - als je de manier waarop die parameters aan de TPM worden geleverd, boobytrapt, kun je het misleiden om extra geheugen te lezen (een buffer leesoverloop), of erger nog, als het ware dingen overschrijven die van de volgende zijn.

Het is moeilijk in te zien hoe deze bugs zouden kunnen worden misbruikt voor zaken als het uitvoeren van code op de TPM (maar, zoals we al vaak hebben gezegd: "Zeg nooit nooit").

Maar het is zeker duidelijk dat wanneer je met iets te maken hebt dat, zoals je aan het begin zei: “Dit heb je nodig om je computer veiliger te maken. Het draait allemaal om cryptografische correctheid”…

...het idee dat iets zelfs maar twee bytes van de kostbare geheime gegevens van iemand anders lekt die niemand in de wereld geacht wordt te weten?

Het idee van een datalek, laat staan ​​een bufferwrite overflow in zo'n module, is inderdaad behoorlijk zorgwekkend.

Dus dat is wat je nodig hebt om te patchen.

En helaas zegt het errata-document niet: “Hier zijn de bugs; hier is hoe je ze patcht.

Er is alleen een beschrijving van de bugs en een beschrijving van hoe u uw code moet wijzigen.

Dus vermoedelijk zal iedereen het op zijn eigen manier doen, en dan filteren die wijzigingen terug naar de centrale Referentie-implementatie.

Het goede nieuws is dat er een op software gebaseerde TPM-implementatie is [libtpms] voor mensen die virtuele machines gebruiken... ze hebben al gekeken, en ze hebben wat oplossingen bedacht, dus dat is een goede plek om te beginnen.

---

DOUG.   Heerlijk.

Neem in de tussentijd contact op met uw hardwareleveranciers en kijk of ze updates voor u hebben.

---

EEND.   Ja.

---

DOUG.   We gaan verder... naar de begindagen van ransomware, die wijdverbreid waren met afpersing, en toen werd het ingewikkelder met "dubbele afpersing".

En er zijn net een heleboel mensen geweest gearresteerd in een dubbele afpersing, wat goed nieuws is!

DoppelPaymer ransomware verdachten gearresteerd in Duitsland en Oekraïne

---

EEND.   Ja, dit is een ransomware-bende die bekend staat als DoppelPaymer. ("Doppel" betekent verdubbelen In het Duits.)

Dus het idee is dat het een dubbele klap is.

Het is waar ze al je bestanden door elkaar gooien en ze zeggen: “We zullen je de decoderingssleutel verkopen. En tussen twee haakjes, voor het geval je denkt dat je back-ups volstaan, of voor het geval je erover denkt om ons te vertellen dat we moeten verdwalen en ons het geld niet te betalen, houd er dan rekening mee dat we ook eerst al je bestanden hebben gestolen. ”

"Dus, als u niet betaalt, en u *kunt* zelf decoderen en u *kunt* uw bedrijf redden... dan gaan we uw gegevens lekken."

Het goede nieuws in deze zaak is dat enkele verdachten zijn ondervraagd en gearresteerd en dat veel elektronische apparaten in beslag zijn genomen.

Dus ook al is dit, als je wilt, een koude troost voor mensen die vroeger DoppelPaymer-aanvallen hebben ondergaan, het betekent in ieder geval dat wetshandhavers niet zomaar opgeven als cyberbendes hun kop lijken te buigen.

Alleen al in de Verenigde Staten ontvingen ze blijkbaar maar liefst $ 40 miljoen aan afpersingsbetalingen.

En ze gingen notoir achter het Universitair Ziekenhuis in Düsseldorf in Duitsland aan.

Als er een dieptepunt is in ransomware...

---

DOUG.   Serieus!

---

EEND.   …niet dat het goed is dat iemand geraakt wordt, maar het idee dat je daadwerkelijk een ziekenhuis uitschakelt, vooral een academisch ziekenhuis?

Ik denk dat dat het laagste van het laagste is, nietwaar?

---

DOUG.   En we hebben wat advies.

Alleen omdat deze verdachten zijn gearresteerd: Draai uw beveiliging niet terug.

---

EEND.   Nee, in feite geeft Europol toe, in hun woorden: "Volgens rapporten heeft Doppelpaymer sindsdien een nieuwe naam gegeven [als een ransomware-bende] genaamd 'Grief'."

Het probleem is dus dat wanneer je een paar mensen in een cyberbende arresteert, je misschien niet alle servers vindt...

…als je de servers in beslag neemt, kun je niet noodzakelijkerwijs terugwerken naar de individuen.

Het maakt een deuk, maar het betekent niet dat ransomware voorbij is.

---

DOUG.   En op dat punt: Fixeer u niet alleen op ransomware.

---

EEND.   Inderdaad!

Ik denk dat bendes zoals DoppelPaymer dit overduidelijk maken, nietwaar?

Tegen de tijd dat ze je bestanden komen door elkaar halen, hebben ze ze al gestolen.

Dus tegen de tijd dat je daadwerkelijk het ransomware-gedeelte krijgt, hebben ze al N andere elementen van cybercriminaliteit gedaan: inbreken; het rondkijken waarschijnlijk een paar achterdeuren openen zodat ze later weer naar binnen kunnen, of toegang verkopen aan de volgende man; enzovoort.

---

DOUG.   Wat aansluit bij het volgende advies: Wacht niet tot bedreigingswaarschuwingen op uw dashboard verschijnen.

Dat is misschien makkelijker gezegd dan gedaan, afhankelijk van de volwassenheid van de organisatie.

Maar er is hulp beschikbaar!

---

EEND.   [LACHT] Ik dacht dat je het zou noemen Door Sophos beheerde detectie en respons even daar, Doug.

---

DOUG.   Ik probeerde het niet te verkopen.

Maar we kunnen helpen!

Er is wat hulp; laat het ons weten.

---

EEND.   Losjes gezegd, hoe eerder je er bent; hoe eerder je het opmerkt; hoe proactiever uw preventieve beveiliging is...

…hoe kleiner de kans dat criminelen een ransomware-aanval kunnen uitvoeren.

En dat kan alleen maar goed zijn.

---

DOUG.   Tenslotte: Geen oordeel, maar betaal niet als je het eventueel kunt vermijden.

---

EEND.   Ja, ik denk dat we min of meer verplicht zijn om dat te zeggen.

Omdat het betalen van geld de volgende golf van cybercriminaliteit is, zeker weten.

En ten tweede krijg je misschien niet waar je voor betaalt.

---

DOUG.   Laten we van de ene criminele onderneming naar de andere gaan.

En dit is wat er gebeurt als een criminele onderneming elke gebruikt Tool, techniek en procedure in het boek!

Feds waarschuwen voor juiste Royal ransomware-rampage die het hele scala aan TTP's omvat

---

EEND.   Dit is van CISA – de VS Agentschap voor cyberbeveiliging en infrastructuurbeveiliging.

En in dit geval, in bulletin AA23 (dat is dit jaar) streepje 061A-voor-alfa, hebben ze het over een bende genaamd Royal ransomware.

Koninklijk met een hoofdletter R, Doug.

Het slechte van deze bende is dat hun tools, technieken en procedures "tot en met alles wat nodig is voor de huidige aanval" lijken te zijn.

Ze schilderen met een heel brede kwast, maar ze vallen ook aan met een heel diepe schep, als je begrijpt wat ik bedoel.

Dat is het slechte nieuws.

Het goede nieuws is dat er ontzettend veel te leren valt, en als je het allemaal serieus neemt, heb je een zeer brede preventie en bescherming tegen niet alleen ransomware-aanvallen, maar ook tegen wat je eerder in het Doppelpaymer-segment noemde: "Don' niet alleen fixeren op ransomware.”

Maak je zorgen over alle andere dingen die ertoe leiden: keylogging; gegevens stelen; achterdeur implantatie; wachtwoord diefstal.

---

DOUG.   Oké, Paul, laten we enkele punten uit het CISA-advies samenvatten, te beginnen met: Deze oplichters breken in met behulp van beproefde methoden.

---

EEND.   Zij doen!

De statistieken van CISA suggereren dat deze specifieke bende gebruik maakt van ouderwetse phishing, die in 2/3 van de aanvallen slaagde.

Als dat niet goed werkt, gaan ze op zoek naar ongepatchte spullen.

Bovendien kunnen ze in 1/6 van de gevallen nog steeds binnenkomen met behulp van RDP ... goede oude RDP-aanvallen.

Omdat ze maar één server nodig hebben die u bent vergeten.

En trouwens, CISA meldde dat, als ze eenmaal binnen zijn, zelfs als ze er niet in zijn geslaagd om RDP te gebruiken, het erop lijkt dat ze nog steeds merken dat veel bedrijven een wat liberaler beleid hebben met betrekking tot RDP-toegang * binnen* hun netwerk.

[LACHT] Wie heeft er behoefte aan ingewikkelde PowerShell-scripts waarmee je gewoon verbinding kunt maken met de computer van iemand anders en het op je eigen scherm kunt bekijken?

---

DOUG.   Eenmaal binnen proberen de criminelen programma's te vermijden die duidelijk als malware kunnen verschijnen.

Dat wordt ook wel 'leven van het land' genoemd.

---

EEND.   Ze zeggen niet alleen: “Ach, laten we het PsExec-programma van Microsoft Sysinternal gebruiken, en laten we dit ene populaire PowerShell-script gebruiken.

Ze hebben een aantal tools om een ​​aantal verschillende dingen te doen die heel nuttig zijn, van tools die IP-nummers achterhalen tot tools die ervoor zorgen dat computers niet slapen.

Allemaal tools die een goed geïnformeerde systeembeheerder heel goed zou kunnen hebben en regelmatig gebruiken.

En losjes gesproken is er maar één stukje pure malware dat deze boeven binnenbrengen, en dat is het spul dat voor de laatste versleuteling zorgt.

Vergeet trouwens niet dat als je een ransomware-crimineel bent, je niet eens je eigen encryptietoolkit hoeft mee te nemen.

Je zou, als je zou willen, een programma kunnen gebruiken zoals bijvoorbeeld WinZip of 7-Zip, dat een functie bevat om "een archief aan te maken, de bestanden erin te verplaatsen" (wat betekent dat je ze verwijdert zodra je ze in het archief hebt geplaatst), "en versleutel ze met een wachtwoord."

Zolang de boeven de enige mensen zijn die het wachtwoord kennen, kunnen ze nog steeds aanbieden om het aan u terug te verkopen...

---

DOUG.   En om nog wat zout op de wonde te gooien: Voordat ze bestanden versleutelen, proberen de aanvallers uw weg naar herstel te bemoeilijken.

---

EEND.   Wie weet of ze nieuwe geheime beheerdersaccounts hebben gemaakt?

Opzettelijk geïnstalleerde buggy-servers?

Opzettelijk verwijderde patches zodat ze een manier weten om er de volgende keer weer in te komen?

Keyloggers laten liggen, waar ze op een later moment worden geactiveerd en ervoor zorgen dat uw problemen helemaal opnieuw beginnen?

En dat doen ze omdat het in hun voordeel is dat wanneer je herstelt van een ransomware-aanval, je niet volledig herstelt.

---

DOUG.   Oké, we hebben een aantal handige links onderaan het artikel.

Een link waarmee u meer te weten kunt komen Door Sophos beheerde detectie en respons [MDR], en nog een die je naar de Actief tegenstander-playbook, een stuk samengesteld door onze eigen John Shier.

Enkele afhaalrestaurants en inzichten die u kunt gebruiken om uw bescherming beter te versterken.

Ken je vijand! Ontdek hoe tegenstanders van cybercriminaliteit binnenkomen...

---

EEND.   Dat is als een metaversie van dat CISA-rapport "Royal ransomware".

Het zijn gevallen waarin het slachtoffer zich pas realiseerde dat er aanvallers in hun netwerk zaten toen het te laat was, vervolgens Sophos Rapid Response inschakelde en zei: “Oh god, we denken dat we zijn getroffen door ransomware... maar wat gebeurde er nog meer? ”

En dit is wat we in het echte leven hebben gevonden bij een breed scala aan aanvallen door een reeks vaak niet-verwante boeven.

Het geeft je dus een heel, heel breed beeld van het scala aan TTP's (tools, technieken en procedures) waarvan je op de hoogte moet zijn en waartegen je je kunt verdedigen.

Want het goede nieuws is dat door de boeven te dwingen al deze afzonderlijke technieken te gebruiken, zodat geen enkele van hen op zichzelf een groot alarm activeert...

... je geeft jezelf een kans om ze vroeg te zien, als je [A] maar weet waar je moet zoeken en [B] de tijd kan vinden om dat te doen.

---

DOUG.   Heel goed.

En we hebben een lezerscommentaar op dit artikel.

Naked Security-lezer Andy vraagt:

Hoe verhouden de Sophos Endpoint Protection-pakketten zich tegen dit type aanval?

Ik heb uit de eerste hand gezien hoe goed de bescherming tegen ransomware is, maar als het wordt uitgeschakeld voordat de codering begint, vertrouwen we voor het grootste deel op Tamper Protection?

---

EEND.   Nou, ik hoop het niet!

Ik hoop dat een klant van Sophos Protection niet zomaar zou zeggen: “Nou, laten we alleen het kleine deel van het product gebruiken dat er is om u te beschermen als het soort Last Chance-saloon... wat we CryptoGuard noemen.

Dat is de module die zegt: "Hé, iemand of iets probeert een groot aantal bestanden te versleutelen op een manier die een echt programma zou kunnen zijn, maar het ziet er gewoon niet goed uit."

Dus zelfs als het legitiem is, zal het de boel waarschijnlijk verpesten, maar het is vrijwel zeker dat iemand je kwaad probeert te doen.

---

DOUG.   Ja, CryptoGuard is als een helm die je draagt ​​terwijl je over het stuur van je fiets vliegt.

Het is behoorlijk serieus geworden als CryptoGuard in actie komt!

---

EEND.   De meeste producten, waaronder Sophos tegenwoordig, hebben een element van sabotagebeveiliging dat een stap verder probeert te gaan, zodat zelfs een beheerder door hoepels moet springen om bepaalde onderdelen van het product uit te schakelen.

Dit maakt het moeilijker om het überhaupt te doen, en moeilijker om te automatiseren, om het voor iedereen uit te schakelen.

Maar je moet er even over nadenken...

Als cybercriminelen uw netwerk binnendringen en ze echt "sysadmin-equivalentie" op uw netwerk hebben; als ze erin geslaagd zijn om effectief dezelfde bevoegdheden te krijgen die je normale systeembeheerders hebben (en dat is hun ware doel; dat is wat ze echt willen)...

Aangezien de systeembeheerders die een product als dat van Sophos draaien, de omgevingsinstellingen kunnen configureren, deconfigureren en instellen...

…dan als de boeven *sysadmins* zijn, is het alsof ze al gewonnen hebben.

En daarom moet je ze van tevoren vinden!

Dus we maken het zo moeilijk mogelijk en we bieden zoveel mogelijk beschermingslagen, hopelijk om dit ding te stoppen voordat het zelfs maar binnenkomt.

En terwijl we toch bezig zijn, Doug (ik wil niet dat dit klinkt als een verkooppraatje, maar het is gewoon een kenmerk van onze software dat ik best leuk vind)...

We hebben wat ik noem een ​​"actieve tegenstander tegenstander" component!

Met andere woorden, als we gedrag op uw netwerk detecteren dat sterk wijst op dingen die bijvoorbeeld uw systeembeheerders niet helemaal zouden doen, of niet helemaal op die manier zouden doen...

…”actieve tegenstander tegenstander” zegt: “Weet je wat? Op dit moment gaan we de bescherming opvoeren naar hogere niveaus dan je normaal zou tolereren.”

En dat is een geweldige functie, want het betekent dat als boeven je netwerk binnendringen en ongewenste dingen beginnen te doen, je niet hoeft te wachten tot je het merkt en *dan* beslist: "Welke knoppen zullen we veranderen?"

Doug, dat was nogal een lang antwoord op een ogenschijnlijk simpele vraag.

Maar laat me even voorlezen wat ik schreef in mijn antwoord op de opmerking over Naked Security:

Ons doel is om de hele tijd waakzaam te zijn en zo vroeg, zo automatisch, zo veilig en zo resoluut mogelijk in te grijpen – voor alle soorten cyberaanvallen, niet alleen voor ransomware.

---

DOUG.   Oké, goed gezegd!

Heel erg bedankt, Andy, voor het insturen.

Als je een interessant verhaal, opmerking of vraag hebt die je wilt indienen, lezen we die graag in de podcast.

U kunt een e-mail sturen naar tips@sophos.com, u kunt reageren op een van onze artikelen, of u kunt ons op social media bereiken: @NakedSecurity.

Dat is onze show voor vandaag; heel erg bedankt voor het luisteren.

Voor Paul Ducklin, ik ben Doug Aamoth, ter herinnering. Tot de volgende keer, om…

---

BEIDE.   Blijf veilig!

[MUZIEK MODEM]