UPDATE: CTB-Locker criptează conținutul site-urilor web

2016/03/10
Popularitate 996

Foto:

CTB Locker (Curve-Tor-Bitcoin Locker), cunoscut și sub numele de Critroni, reprezintă un software malițios, de tip ransomware, al cărui scop este de a cripta fișierele stocate pe sistemul afectat. Acesta a fost lansat la mijlocul lunii iulie a anului 2014 și vizează toate versiunile de Windows, inclusiv Windows XP, Windows Vista, Windows 7 și Windows 8.

Detalii suplimentare despre versiunea inițială a CTB Locker se regăsesc în articolul publicat de CERT-RO la sfârșitul lunii Ianuarie 2015:

https://cert.ro/articol.php?idarticol=905

În Februarie 2015 a fost identificată o versiune de CTB Locker care a fost dezvoltată pentru infectarea și criptarea conținutului site-urilor web.

 

DESCRIERE

Scopul ransomware-ului care vizează serverele web este criptarea conținutului acestora și revendicarea unei sume echivalente a mai puțin de jumătate de Bitcoin (0.4 Bitcoin ≈ 150 USD) pentru recuperarea datelor într-un termen limită prestabilit. Dacă termenul limită este depășit, suma pentru decriptarea datelor se dublează.

Pasul 1: Defacement

Pentru ca serverul web să fie infectat cu CTB-Locker este absolut necesar ca acesta să fie în prealabil vulnerabil, iar numai prin exploatarea acelei vulnerabilități atacatorul va obține accesul la resursele sale.

Odată exploatat, conținutul site-ului va fi modificat (defacement), respectiv prima pagină php/html va fi înlocuită cu o nouă pagină de tip index.php, care va fi utilizată ulterior pentru criptarea datelor, folosind algoritmul AES-256 și pentru afișarea unei  pagini care va conține toate detaliile necesare (pașii de urmat) pentru obținerea datelor originale.

Este important de menționat că nu se șterge codul sursă al paginii originale, ci este stocat în siguranță sub altă denumire în varianta criptată.

În mesajul care conține detaliile referitoare la ce modificări a suferit site-ul în urma infectării acestuia cu ransomware-ul CTB-Locker, atacatorul include link-uri către articole și tutoriale pentru creșterea credibilității mesajului, implicit pentru facilitarea modalității de plată a răscumpărării datelor.

De asemenea, în meniul de home page sunt incluse și alte funcționalități ale malware-ului precum decriptarea gratuită a două fișiere selectate în mod aleator de către atacatori și posibilitatea de deschidere a unei conversații online (chat) cu autorii ransomware-ului, după o autentificare a utilizatorului victimă realizată în prealabil.

Pasul 2: Criptarea datelor

În momentul de față, încă nu se știe exact modul în care ransomware-ul CTB-Locker își alege serverele victimă din Internet, dar din analiza serverelor infectate de către specialiștii companiilor de securitate informatică, un lucru este cert: foarte multe dintre acestea utilizau platforma pentru administrarea conținutului (CMS) WordPress. Platforma WordPress este cunoscută pentru multiplele vulnerabilități pe care le-a avut în anii trecuți și mai mult decât atât, plugin-urile care pot fi importate în aceasta reprezintă o altă sursă importantă de posibile vulnerabilități care pot fi exploatate de către atacatorii din mediul cibernetic. 

Odată obținut accesul, autorul malware-ului poate schimba prima pagină a site-ului infectat și poate iniția rutina de criptare a datelor din conținutul acestuia.

Inițial, serverul vulnerabil va primi două chei AES-256 pentru a fi utilizate de către noul fișier index.php.  Una dintre ele - create_aes_cipher($keytest) va fi utilizată pentru criptarea a două fișiere prestabilite care ulterior vor putea fi decriptate de către utilizatorul victimă, iar cealaltă - create_aes_cipher($keypass) va fi utilizată pentru criptarea restului de fișiere din conținutul site-ului.

În primă fază, se va realiza o listă care conține toate fișierele ale căror extensie a fost comparată și validată cu una dintre extensiile existente în fișierul text  /extensions.txt din structura de fișiere a ransomware-ului. Fișierele rezultate, împreună cu cele două prestabilite pentru decriptarea gratuită, vor fi criptate cu AES-256.

Ar mai fi de menționat aici că fișierele care vor fi utilizate de malware în faza de decriptare nu vor fi selecționate în vederea criptării. În plus, fișierele care vor conține șirurile de caractere ”/cript” și ”secret_” vor fi excluse din procesul de criptare. Lista fișierelor populate cu date care vor fi ulterior utilizate în procesul de decriptare este următoarea:

1.       ./index.php – conține rutina de criptare/decriptare

2.       ./allenc.txt – conține lista cu toate fișierele criptate

3.       ./test.txt – conține fișierele care pot fi decriptate gratuit

4.       ./victims.txt – lista fișierelor care sunt în curs de criptare sau au fost deja criptate

5.       ./extensions.txt – lista tuturor extensiilor

6.       ./secret_ - credențiale de autentificare ale victimei pentru decriptare/chat

Pasul 3: Comunicarea cu serverele de comandă și control

În cadrul paginii principale a CTB-Locker, atacatorii folosesc funcții de tip JQUERY.post() pentru interogarea serverelor proxy și POST-area de date pe acestea.

Din analiza codului de mai sus, se pot observa cele trei servere proxy utilizate în procesul de decriptare, valabile pentru cazul respectiv:

·         http://erdeni.ru/access.php

·         http://studiogreystar.com/access.php

·         http://a1hose.com/access.php

Serverele utilizate de această variantă de ransomware nu sunt permanente și sunt schimbate de către atacatori odată la un anumit interval de timp.

Mai mult decât atât, atacatorii folosesc pentru comunicarea dintre serverele infectate și serverele de comandă și control (C&C) sisteme informatice deja infectate, adăugând traficului un layer suplimentar de protecție a datelor.

 

MĂSURI PREVENTIVE ȘI RECOMANDĂRI

Recomandarea CERT-RO este să nu încercați să plătiți recompensa solicitată de atacatori, existând riscul să nu re-dobândiți accesul la fișierele criptate nici după efectuarea plății. De asemenea, plătind recompensa solicitată, contribuiți în mod direct la încurajarea acestui tip de activități frauduloase.

Pentru a minimaliza impactul daunelor ce pot fi cauzate de CTB-Locker, vă recomandăm ca la un interval regulat de timp să efectuați următoarele operații:

1.       Efectuați backup-ul datelor dvs. pe o mașină sau un mediu de stocare separate.

2.       Consultați o companie specializată în securitate informatică în vederea realizării unor audituri de securitate sau teste de penetrare pentru evaluarea corectă a posibilelor vulnerabilități identificate.

3.       Actualizați în mod regulat software-urile utilizate, dar și plugin-urile care aparțin părților terțe.

4.       Monitorizați în mod continuu funcționalitatea serverului web cu ajutorul diferitelor soluții de securitate disponibile în acest sens.

De asemenea, având în vedere că ransomware-ul vizează doar serverele care utilizează PHP, se recomandă utilizarea unei versiuni de PHP 5.6 sau mai recentă.

 

ANALIZĂ CERT-RO

În acest context, echipa CERT-RO a demarat o investigație în scopul alertării și sprijinirii cu informații ajutătoare potențialilor utilizatori victimă din România. Inițial, au fost analizate informațiile disponibile din surse deschise puse la dispoziție de către companiile de securitate informatică care au analizat deja cazul și au publicat serverele afectate de noua variantă a CTB-Locker.

În plus, au fost efectuate o serie de verificări suplimentare utilizând căutări personalizate în Internet în scopul identificării altor servere afectate de către CTB-Locker.

Lista centralizată a serverelor afectate a fost verificată îndeaproape de către specialiștii CERT-RO în vederea determinării adreselor IP, respectiv domeniilor înregistrate în România și dacă s-a luat vreo măsură în vederea remedierii problemei (au plătit suma, au făcut restore sau nu au făcut nimic).

În final, au fost identificate un număr de total de 4 domenii „.ro” afectate.

Odată cu identificarea fiecărui sistem informatic afectat de către CTB-Locker, analiștii CERT-RO au contactat entitățile responsabile  în vederea remedierii problemelor sesizate și oferirii suportului necesar.

 

STATISTICI

În urma investigației derulate, echipa CERT-RO a identificat un număr de 4 domenii „.ro” afectate, dintr-un total de peste 100 de cazuri detectate la nivel internațional.

 

REFERINȚE

[1.] https://cert.ro/articol.php?idarticol=905

[2.] http://thehackernews.com/2016/02/ctb-locker-ransomware.html
[3.] http://securityaffairs.co/wordpress/44849/cyber-crime/ctb-locker-for-websites.html
[4.] http://www.bleepingcomputer.com/news/security/ctb-locker-for-websites-reinventing-an-old-ransomware/
[5.] https://securelist.com/blog/research/73989/ctb-locker-is-back-the-web-server-edition/