Franske kommuner utsatt for løsepengevirusangrep

Franske myndigheter ved CERT-FR (ANSSI) melder om at en løsepengeviruskampanje rettet spesielt mot franske kommuner er observert nylig. Som ellers ved slike angrep er filer kryptert og data gjort utilgjengelig/ubrukelig, og opplåsing tilbudt mot betaling. CERT-FR melder videre at hvem som står bak angrepene foreløpig er ukjent, men at analyser er på vei, og at skadevaren ser ut til å være av typen Pysa/Mespinoza.

Publisert: 3/24/2020

CERT-FR melder videre (rapporten er på fransk) at hvem som står bak angrepene, foreløpig er ukjent, men at analyser er på vei, og at skadevaren ser ut til å være av typen Pysa/Mespinoza.

ZDNet mener Mespinoza/Pysa-aktøren praktiserer den nye formen for "Big Game Hunting" angrep, hvor man plukker ut enkelte høyprofilerte virksomheter, bryter seg inn digitalt, installerer løsepengevirus manuelt på systemet, fjerner sikkerhetsmekanismer og setter igang kryptering. CERT-FR kaller angrepet opportunistisk og økonomisk motivert, og anser ofrene som en/noen av mange. Slik sett er ZDNet sin analyse noe annerledes - de hevder at dette ikke passer siden opportunistiske angrep som regel benytter "hagle" prinsippet: Skyt så bredt som mulig, og se om du treffer noe.

CERT-FRs rapport vil uansett gi god innsikt i PPTene og modus operandi, og avsluttes med et solid sett med anbefalte mottiltak. Rapporten er klassifisert som TLP HVIT, så det er ingen begrensning på distribusjon.

Fra CERT-FR-analysen:

Mespinoza-skadevaren har blitt brukt siden i hvert fall oktober 2018. Tidlige versjoner produserte krypterte filer og la på filtypen ".locked", noe som er ganske vanlig for løsepengevirus. I tiden etter desember 2019, har det - ifølge åpne kilder - dukket opp en ny versjon av Mespinoza, nå også med tilnavnet Pysa fordi den produserer krypterte filer med filtypen ".pysa". Skadevaren som er brukt i dette angrepet ser ut til å være en variant av Pysa.

To slike elementer ble funnet i etterforskningen:

• En kjørbar fil med navn "svchost.exe". Denne filen kom sammen med flere ".bat" skript, som blant annet hadde til oppgave å kopiere den eksekverbare filen til mappen "C: \ windows \ temp" og så kjøre den.
• En Python-komprimert fil ved navn “17535.pyz”, som inneholder Python løsepengevirus kildekode. Krypteringsfunksjonaliteten bygger på Python-bibliotekene pyaes og rsa [T1486]*.

Indikatorer/Hasher på ondsinnet programvare
Informasjon om ondsinnede filer (Kilde: ANSSI/CERT_FR)

Python-koden i "17535.pyz" inneholder flere informasjonselementer; den offentlige nøkkelen som er brukt til kryptering, løsepengenotatet / meldingen og en variabel som benyttes til å velge filtype som krypterte filer skal få. Derfor kan hashene være forskjellige siden variablene er det, og navnet på filen ser også ut til å bli valgt vilkårlig og vil derfor også variere. Flere av elementene gjør det mulig å assosiere disse ondsinnede kodene med Pysa-familien, både ut fra filtypen som er brukt for de krypterte filene og ut fra meldingene til offeret om hvordan de skal betale seg ut av problemet.

Det er likheter mellom angrepene i tekstene, prosedyrene for dekryptering og at det benyttes spesialgenererte PROTONMAIL-adresser som kontaktpunkt. Disse karakteristika faller også sammen med tidligere Mespinoza-kampanjer.

Franske kommuner angrepet av løsepengevirus
Meldingstekst til offer fra utpresser (Kilde: ANSSI/CERT-FR)

En tredje versjon?
På et av de kompromitterte systemene ble de krypterte filene utstyrt med filtypen ".newversion". Koden som gjorde dette ble ikke funnet på systemet, men teksten/meldingen fra de kriminelle inneholder de samme PROTONMAIL-adressene som i de andre angrepene. Dette tyder på at angrepet ble utført av en annen instans av Pysa enn de øvrige.

Infeksjonsvektor, rekognosering og intern spredning
Infeksjonsvektoren er i skrivende stund ukjent, men flere hendelser rett før angrepet kan knyttes til aksjonen og har gitt mulighet for initiell adgang eller sideveis bevegelse/forflytning.
• Brute force påloggingsforsøk på et administratorkonsoll er observert, men også på flere AD-kontoer [T1110]*. I tillegg har domeneadministrator-kontoer blitt kompromittert
• Utkopiering av en passorddatabase ble foretatt rett før angrepet [T1081]*.
• Illegitime RDP-oppkoblinger har skjedd mellom domene-kontrollere ved å benytte et ukjent vertsmaskinnavn som muligens kan kobles til kampanjen[T1076]*.

".bat"-skriptet som brukes i angrepet avslører bruk av fjerneksekverings-verktøyet PsExec [T1035]*, såvel som bruk av skriptspråket POWERSHELL [T1086]*.

Skjuling og driftstiltak på systemet
Et av de ovennevnte ".bat"-skriptene eksekverer et POWERSHELL-skript kalt "p.ps1" på maskiner i nettverket. Dette skriptet har avansert funksjonalitet, inkludert:
• Å stoppe antivirus tjenester/services og andre services og prosesser, så vel som å slette WINDOWS Defender fra systemet [T1089]*.
• Sletting av gjenopprettingspunkter og skyggekopier [T1490]*.
• Modifisering av README-filer til å godta åpning ved dobbeltklikking.
• Sending av en UDP pakke som inneholder MAC-adressen til datamaskinen på port 7.

Det ser ut til at dette skriptet gjør skadevaren bedre i stand til å skjule seg og til å forberede kjøringen av skadevaren som krypterer filene. Denne siste funksjonaliteten leder opp til at et aktørprogram kanskje lytter på port 7. Men noe slikt program eller kode er ennå ikke funnet. I angrepet ser aktøren ut til å ha brukt sitt eget binærprogram som tilsvarer powershell.exe, omdøpt til "EnNoB-1229.exe". Filnavnet ser ut til å bli vilkårlig generert.

Mulig bruk av Empire
Flere moduler av Empire post-exploitation verktøyet (åpent kildekodeverktøy som brukes etter at angriper lykkes i kompromitteringen) har blitt funnet på kompromitterte domene-kontrollere. Selv om det ikke er funnet noen teknisk kobling til bruken av løsepengeskadevaren Pysa, er det trolig at disse verktøymodulene ble benyttet av aktøren i angrepet.

Anbefalte beskyttelsestiltak

  • Gode backup-rutiner med kontroll på plassering av data, og sørg for at backup data ikke er online!
  • Hold programvare oppdatert på systemer, komponenter og applikasjoner
  • Blokkering av porter mot internett - f.eks. 135, 139, 445, 3389, 5585
  • Sørg for et sikkert passordregime for domeneadministratorer - begrens tilgangen - bruk LAPS (Local Administrator Password Solution)
  • Bruk dedikerte AD administratorkontoer for garantert sporbarhet av aktivitet, og som kun kan brukes fra dedikerte arbeidsstasjoner uten internett og kontorapplikasjoner
  • Sørg for innsamling og oppbevaring i minimum 7 mnd av viktige logger som Windows Event Log, syslog fra utstyr, nettverkslogger, Linux-logger, DHCP etc. Sentralisert loggarkiv anbefales.

Lenker:

ANSSI rapport (på fransk): https://www.cert.ssi.gouv.fr/uploads/CERTFR-2020-CTI-002.pdf

Andre:
2-SPYWARE: https://www.2-spyware.com/a-new-variant-of-pysa-ransomware-is-infecting-france-governments
ZDNet: https://www.zdnet.com/article/france-warns-of-new-ransomware-gang-targeting-local-governments/

*) [Txxxx] er klassifisering av taktikk/metoder iht Mitre Att@ck rammerverket