S3 Ep140: Så du tror du kjenner løsepengevare?

S3 Ep140: Så du tror du kjenner løsepengevare?

Tidsstempel: 22. juni 2023 12:48
S3 Ep140: So you think you know ransomware? PlatoBlockchain Data Intelligence. Vertical Search. Ai.
by Paul Ducklin

LYTT OG LÆR

Gee Whiz BASIC (sannsynligvis). Tror du kjenner løsepengevare? Megaopplasting, 11 år etter. ASUS advarer om kritiske ruterfeil. MOVEit kaos del III.

Ingen lydspiller under? Lytte direkte på Soundcloud.

Med Doug Aamoth og Paul Ducklin. Intro- og outromusikk av Edith Mudge.

Du kan lytte til oss på Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher og hvor som helst hvor du finner gode podcaster. Eller bare dropp URL til RSS-feeden vår inn i din favoritt podcatcher.

LES TRANSKRIPTET

DOUG.  Ruterproblemer, Megaupload i megatrøbbel og mer MOVEit-kaos.

Alt det og mer på Naked Security-podcasten.

[MUSIKK MODEM]

Velkommen til podcasten, alle sammen.

Jeg er Doug Aamoth; han er Paul Ducklin.

Paul, hvordan har du det?

AND.  Bare en disambiguering for våre britiske og Commonwealth engelske lyttere, Doug ...

DOUG.  "Ruter." [UTTALES UK-STIL SOM "ROOTER", IKKE US-STIL SOM "ROWTER"]

AND.  Du mener vel ikke trebearbeidingsverktøyene?

DOUG.  Nei! [LETER]

AND.  Du mener de tingene som lar skurker bryte seg inn i nettverket ditt hvis de ikke blir lappet i tide?

DOUG.  Ja!

AND.  Hvor oppførselen til det vi vil kalle en 'ROOTER' gjør med nettverket ditt mer som det en 'ROWTER' ville gjort med kanten av bordet ditt? [LETER]

DOUG.  Nøyaktig! [LETER]

Vi kommer til det snart.

Men først vår Denne uken i teknisk historie segment.

Paul, denne uken, 18. juni, helt tilbake i 1979: et stort skritt fremover for 16-bit databehandling da Microsoft lanserte en versjon av sitt BASIC-programmeringsspråk for 8086-prosessorer.

Denne versjonen var bakoverkompatibel med 8-bits prosessorer, noe som gjorde BASIC, som hadde vært tilgjengelig for Z80- og 8080-prosessorene, og som allerede ble funnet på rundt 200,000 XNUMX datamaskiner, en pil i de fleste programmerers kogger, Paul.

AND.  Hva skulle bli GW-BASIC!

Jeg vet ikke om dette er sant, men jeg fortsetter å lese at GW-BASIC står for "GEE WHIZZ!" [LETER]

DOUG.  Ha! [LATTER]

AND.  Jeg vet ikke om det er sant, men jeg liker å tro det er det.

DOUG.  Ok, la oss komme inn på historiene våre.

Før vi kommer til ting som er i nyhetene, er vi glade, nei begeistret, over å kunngjøre den første av tre episoder av Tror du at du kjenner til ransomware?

Dette er en 48-minutters dokumentarserie fra vennene dine på Sophos.

«The Ransomware Documentary» – splitter ny videoserie fra Sophos som starter nå!

Den første episoden, kalt Opprinnelsen til nettkriminalitet, er nå tilgjengelig for visning på https://sophos.com/ransomware.

Episode 2, som heter Jegere og jaktet, vil være tilgjengelig 28. juni 2023.

Episode 3, Våpen og krigere, faller 5. juli 2023.

Sjekk det ut på https://sophos.com/ransomware.

Jeg har sett den første episoden, og den er kjempebra.

Den svarer på alle spørsmålene du måtte ha om opprinnelsen til denne plagen som vi fortsetter å kjempe år etter år, Paul.

AND.  Og det går veldig bra inn i det vanlige lyttere vet er favorittordtaket mitt (håper jeg ikke har gjort det til en klisje nå), nemlig: De som ikke kan huske historien er dømt til å gjenta den.

Ikke vær den personen! [LETER]

DOUG.  Ok, la oss holde oss til emnet kriminalitet.

Fengselstid for to av de fire Megaupload-gründerne.

Brudd på opphavsrett som er aktuelt her, Paul, og omtrent et tiår på vei?

Megaupload-duoen vil endelig gå i fengsel, men Kim Dotcom kjemper videre...

AND.  Ja.

Husk forrige uke da jeg omskrev den vitsen om: "Å, vet du hvordan busser er? Ingen kommer på evigheter, og så kommer tre på en gang?" [LATTER]

Men jeg måtte omforme det til "to kommer på en gang" ...

...og ikke før jeg hadde sagt det før den tredje kom. [LATTER]

Og dette er utenfor New Zealand, eller Aotearoa, som det alternativt kalles.

Megaupload var en beryktet tidlig såkalt "file locker"-tjeneste.

Det er ikke "fillås" som i løsepengeprogramvare som låser filene dine.

Det er "filskap" som et treningsskap ... skystedet hvor du laster opp filer slik at du kan få dem senere.

Den tjenesten ble fjernet, først og fremst fordi FBI i USA fikk en ordre om fjerning, og påsto at dens primære formål faktisk ikke var så mye å være en mega *opplasting* tjeneste som å være en mega *nedlasting* tjeneste, forretningsmodellen som var basert på å oppmuntre og stimulere til brudd på opphavsrett.

Den primære grunnleggeren av denne virksomheten er et velkjent navn: Kim Dotcom.

Og det er virkelig etternavnet hans.

Han endret navnet sitt (jeg tror han opprinnelig var Kim Schmitz) til Kim Dotcom, opprettet denne tjenesten, og han har nettopp kjempet mot utlevering til USA og fortsetter å gjøre det, selv om Aotearoa-domstolene har avgjort at det ikke er noen grunn til at han kan ikke bli utlevert.

En av de fire andre, en kar ved navn Finn Batato, døde dessverre av kreft i fjor.

Men to av de andre personene som var primus motorene for Megaupload-tjenesten, Mathias Ortmann og Bram van der Kolk...

…de kjempet mot utlevering (du kan forstå hvorfor) til USA, hvor de potensielt sto overfor store fengselsstraffer.

Men til slutt så det ut til at de hadde gjort en avtale med domstolene i NZ [New Zealand/Aotearoa] og med FBI og justisdepartementet i USA.

De gikk med på å bli tiltalt i NZ i stedet, å erkjenne straffskyld og å bistå amerikanske myndigheter i deres pågående etterforskning.

Og de endte opp med fengselsstraffer på henholdsvis 2 år 7 måneder og 2 år 6 måneder.

DOUG.  Dommeren i den saken hadde noen interessante observasjoner, følte jeg.

AND.  Jeg tror du har rett, Doug.

Spesielt at det ikke var et spørsmål om at retten sa: "Vi aksepterer det faktum at disse enorme megaselskapene over hele verden tapte milliarder og milliarder av dollar."

Faktisk sa dommeren at du må ta disse påstandene med en klype salt, og siterte bevis som tyder på at du ikke bare kan si at alle som lastet ned en piratkopiert video ellers ville ha kjøpt originalen.

Så du kan ikke summere de økonomiske tapene på den måten som noen av megakorpsene liker å gjøre det.

Likevel, sa han, gjør det det ikke riktig.

Og enda viktigere, sa han: "Du såret virkelig de små gutta også, og det betyr like mye."

Og han siterte saken om en uavhengig programvareutvikler fra Sørøya i NZ som hadde skrevet til retten for å si: «Jeg la merke til at piratkopiering gjorde et stort innhugg i inntekten min. Jeg fant ut at jeg 10 eller 20 ganger måtte appellere til Megaupload for å få fjernet krenkende innhold; det tok meg mye tid å gjøre det, og det gjorde aldri den minste forskjell. Og så jeg sier ikke at de er helt ansvarlige for det faktum at jeg ikke lenger kunne tjene til livets opphold på min virksomhet, men jeg sier at jeg gjorde alt dette for å få dem til å ta ned tingene som de sa at de ville gjøre det, men det fungerte aldri."

Det kom faktisk frem et annet sted i dommen... som er på 38 sider, så den er ganske lang lesning, men den er veldig lesbar og jeg synes den er veldig verdt å lese.

Spesielt sa dommeren til de tiltalte at de måtte bære ansvaret for at de innrømmet at de ikke ønsket å gå for hardt ut mot opphavsrettskrenker fordi "Vekst er hovedsakelig basert på brudd."

Og han bemerket også at de utviklet et fjerningssystem som i utgangspunktet, hvis det var flere nettadresser for å laste ned den samme filen ...

…de beholdt én kopi av filen, og hvis du klaget på nettadressen, ville de fjerne *den nettadressen*.

DOUG.  Ah ha!

AND.  Så du skulle tro de hadde fjernet filen, men de ville la filen ligge der.

Og han beskrev det slik: "Du visste og hadde til hensikt at fjerninger ikke ville ha noen vesentlig effekt."

Det er akkurat det denne indie-kiwi-programvareutvikleren hevdet i sin uttalelse til retten.

Og de må absolutt ha tjent mye penger på det.

Hvis du ser på bildene fra det kontroversielle raidet på Kim Dotcom tilbake i 2012 ...

…han hadde denne enorme eiendommen, og alle disse flash-bilene med rare nummerskilt [kjøretøymerker] som GOD og GUILTY, som om han forutså noe. [LETER]

Fjerning av megaupload skaper overskrifter og vinker mens Mr Dotcom søker om kausjon

Så Kim Dotcom kjemper fortsatt mot utleveringen hans, men disse to andre har bestemt seg for at de ønsker å få det hele overstått.

Så de erkjente straffskyld, og som noen av våre kommentatorer har påpekt på Naked Security, "Golly, for det det ser ut til at de gjorde da du leste gjennom dommen i detalj, høres det ut som om straffen deres var lett."

Men måten det ble beregnet på, er at dommeren fant ut at han mente at maksimumsstraffene de burde få under Aotearoa-loven burde være rundt 10 år.

Og så regnet han med, basert på det faktum at de erklærte seg skyldige, at de kom til å samarbeide, at de kom til å betale tilbake 10 millioner dollar, og så videre og så videre, at de skulle få 75 % rabatt.

Og min forståelse er at det betyr at de vil legge denne frykten for at de vil bli utlevert til USA, fordi min forståelse er at justisdepartementet har sagt: "OK, vi lar domfellelsen og straffeutmålingen skje i et annet land ."

Mer enn ti år senere, og fortsatt ikke over!

Du bør si det, Doug...

DOUG.  Yesss!

Vi vil holde øye med dette.

Takk skal du ha; la oss gå videre.

Hvis du har en ASUS-ruter, kan det hende du har litt patching å gjøre, selv om det er en ganske uklar tidslinje her for noen ganske farlige sårbarheter, Paul.

ASUS advarer ruterkunder: Patch nå, eller blokker alle innkommende forespørsler

AND.  Ja, det er ikke utrolig tydelig når disse oppdateringene kom ut for de forskjellige modellene av ruter som er oppført i veiledningen.

Noen av våre lesere sier: «Vel, jeg gikk og kikket; Jeg har en av disse ruterne og den er på listen, men det er ingen patcher *nå*. Men jeg fikk noen oppdateringer for en liten stund siden som så ut til å fikse disse problemene... så hvorfor rådet *nå*?»

Og svaret er: "Vi vet ikke."

Bortsett fra kanskje at ASUS har oppdaget at skurkene er på disse?

Men det er ikke bare "Hei, vi anbefaler at du lapper."

De sier at du må lappe, og hvis du ikke vil eller kan gjøre det, så "anbefaler på det sterkeste å (som i utgangspunktet betyr 'du hadde bedre') deaktivere tjenester tilgjengelig fra WAN-siden av ruteren for å unngå potensielle uønskede inntrengninger."

Og det er ikke bare din typiske advarsel, "Å, sørg for at administrasjonsgrensesnittet ditt ikke er synlig på internett."

De bemerker at det de mener med å blokkere innkommende forespørsler er at du må slå av i utgangspunktet *alt* som innebærer at ruteren aksepterer at utsiden starter en nettverkstilkobling...

...inkludert ekstern administrasjon, portvideresending (uflaks hvis du bruker det til spilling), dynamisk DNS, eventuelle VPN-servere, og det de kaller portutløsning, som jeg antar er portbanking, der du venter på en bestemt tilkobling og bare når du se den forbindelsen, starter du da opp en tjeneste lokalt.

Så det er ikke bare nettforespørsler som er farlige her, eller at det kan være en feil som lar noen logge inn med et hemmelig brukernavn.

Det er en hel rekke forskjellige typer nettverkstrafikk som hvis den kan nå ruteren din fra utsiden, kan påvirke ruteren din, ser det ut til.

Så det høres fryktelig presserende ut!

DOUG.  De to viktigste sårbarhetene her...

…det er en nasjonal sårbarhetsdatabase, NVD, som skårer sårbarheter på en skala fra én til ti, og begge disse er 9.8/10.

Og så er det en hel haug med andre som er 7.5, 8.1, 8.8 ... en hel haug med ting som er ganske farlige her. Paul.

AND.  Ja.

"9.8 KRITISK", alt med store bokstaver, er den typen ting som betyr [HISPER], "Hvis kjeltringene finner ut av dette, kommer de til å være over det som et utslett."

Og det som kanskje er det merkeligste med de to 9.8/10-sårene med dårlighetsscore er at en av dem er CVE-2022-26376, og det er en feil i HTTP-unescaping, som i utgangspunktet er når du har en URL med morsomme tegn i, som, mellomrom...

…du kan ikke lovlig ha et mellomrom i URL-en; du må sette %20 i stedet dens heksadesimale kode.

Det er ganske grunnleggende for å behandle enhver form for URL på ruteren.

Og det var en feil som ble avslørt, som du kan se av tallet, i 2022!

Og det er en annen i den såkalte Netatalk-protokollen (som gir støtte for Apple-datamaskiner) som var sårbarheten, Doug, CVE-2018-1160.

DOUG.  Det var lenge siden!

AND.  Det var!

Det ble faktisk fikset i en versjon av Netatalk som jeg tror var versjon 3.1.12, som kom ut 20. desember *2018*.

Og de advarer bare om "du trenger å få den nye versjonen av Netatalk" akkurat nå, fordi det også, ser det ut til, kan utnyttes via en useriøs pakke.

Så du trenger ikke en Mac; du trenger ikke Apple-programvare.

Du trenger bare noe som snakker Netatalk på en tvilsom måte, og det kan gi deg vilkårlig minnetilgang.

Og med en feilscore på 9.8/10, må du anta at det betyr "ekstern utenforstående stikker i én eller to nettverkspakker, tar over ruteren din fullstendig med tilgang på rotnivå, skrekk for ekstern kodeutførelse!"

Så ganske hvorfor det tok dem så lang tid å advare folk om at de trengte å fikse denne fem år gamle feilen ...

…og hvorfor de faktisk ikke hadde reparasjonen for den fem år gamle feilen for fem år siden er ikke forklart.

DOUG.  OK, så det er en liste over rutere du bør sjekke, og hvis du ikke kan lappe, er det meningen at du skal gjøre alt som "blokkerer alle innkommende ting".

Men jeg tror vårt råd vil være lapp.

Og mitt favorittråd: Hvis du er en programmerer, kan du rense inndataene dine!

AND.  Ja, Little Bobby Tables har dukket opp igjen, Doug.

Fordi en av de andre feilene som ikke var på 9.8-nivået (dette var på 7/10- eller 8/10-nivået) var CVE-2023-28702.

Det er i bunn og grunn MOVEit-typen på nytt: Ufiltrerte spesialtegn i nettadresseinndata kan forårsake kommandoinjeksjon.

Så det høres ut som en ganske bred pensel for nettkriminelle å male med.

Og det var CVE-2023-31195 som fanget min oppmerksomhet, under dekke av en Sesjonskapring.

Programmererne satte det som i hovedsak er autentiseringstoken-cookies ... de magiske strengene som, hvis nettleseren kan mate dem tilbake i fremtidige forespørsler, beviser for serveren at tidligere i økten brukeren logget på, hadde rett brukernavn, rett passord , den riktige 2FA-koden, uansett.

Og nå bringer de dette magiske "tilgangskortet".

Så du skal merke disse informasjonskapslene når du setter dem, slik at de aldri blir overført i ukrypterte HTTP-forespørsler.

På den måten gjør det det mye vanskeligere for en kjeltring å kapre dem ... og de glemte å gjøre det!

Så det er en annen ting for programmerere: Gå og gå gjennom hvordan du setter virkelig viktige informasjonskapsler, de som enten har privat informasjon i dem eller har autentiseringsinformasjon i dem, og sørg for at du ikke lar dem være åpne for utilsiktet og enkel eksponering.

DOUG.  Jeg merker dette ned (mot bedre skjønn, men dette er den andre av to historier så langt) som en vi vil holde øye med.

AND.  Jeg tror du har rett, Doug, for jeg vet egentlig ikke hvorfor, gitt at for noen av ruterne hadde disse oppdateringene allerede dukket opp (riktignok senere enn du kanskje ville ha) ... hvorfor *nå*?

Og jeg antar at den delen av historien kanskje fortsatt må dukke opp.

DOUG.  Det viser seg at vi absolutt ikke kan *ikke* holde øye med denne MOVEit-historien.

Så, hva har vi denne uken, Paul?

MOVEit mayhem 3: "Deaktiver HTTP- og HTTPS-trafikk umiddelbart"

AND.  Vel, dessverre for Progress Software kom så å si den tredje bussen med en gang. [LATTER]

Så, bare for å oppsummere, den første var CVE-2023-34362, som var da Progress Software sa: "Å nei! Det er en null-dag – vi visste virkelig ikke om dette. Det er en SQL-injeksjon, et kommandoinjeksjonsproblem. Her er lappen. Men det var en null-dag, og vi fant ut om det fordi ransomware-skurker, utpressingskurker, aktivt utnyttet dette. Her er noen indikatorer på kompromiss [IoCs]."

Så de gjorde alle de riktige tingene, så raskt de kunne, når de visste at det var et problem.

Så gikk de og gjennomgikk sin egen kode og fant ut: "Vet du hva, hvis programmererne gjorde den feilen på ett sted, kanskje de gjorde noen lignende feil i andre deler av koden."

Og det førte til CVE-2023-35036, hvor de proaktivt lappet hull som var som det originale, men så vidt de visste, fant de dem først.

Og se, det var da en tredje sårbarhet.

Denne er CVE-2023-35708, der det ser ut til at personen som fant den, helt sikkert visste at Progress Software var helt åpen for ansvarlig avsløring og rask reaksjon...

…besluttet å gå offentlig uansett.

Så jeg vet ikke om du kaller det "full avsløring" (jeg tror det er det offisielle navnet på det), "uansvarlig avsløring" (jeg har hørt det referert til slik av andre på Sophos), eller "slippe". 0-dag for moro skyld”, og det er slik jeg tenker på det.

Så det var litt synd.

Og så sa Progress Software: «Se, noen droppet denne 0-dagen; vi visste ikke om det; vi jobber med oppdateringen. I denne lille mellomperioden er det bare å slå av nettgrensesnittet ditt (vi vet at det er et problem), og la oss fullføre testingen av oppdateringen.»

Og i løpet av omtrent en dag sa de: «Akk, her er lappen, påfør den nå. Deretter, hvis du vil, kan du slå på nettgrensesnittet igjen."

Så jeg tror alt i alt, selv om det er et dårlig utseende for Progress Software for å ha feilene i utgangspunktet...

…hvis dette noen gang skulle skje deg, så er det etter min mening en ganske morsom måte å gjøre det på å følge deres type svar!

DOUG.  Ja, vi har ros for Progress Software, inkludert vår kommentar for denne uken til denne historien.

Adam kommenterer:

Virker som det er vanskelig å gå for MOVEit i det siste, men jeg applauderer dem for deres raske, proaktive og tilsynelatende ærlige arbeid.

De kunne teoretisk ha prøvd å holde dette stille, men i stedet har de vært ganske på forhånd om problemet og hva som må gjøres med det.

Det får dem i det minste til å se mer pålitelige ut i mine øyne...

…og jeg tror det er en følelse som deles med andre også, Paul.

AND.  Det er det virkelig.

Vi har også hørt det samme på våre sosiale mediekanaler: at selv om det er beklagelig at de hadde feilen, og alle skulle ønske de ikke gjorde det, er de fortsatt tilbøyelige til å stole på selskapet.

Faktisk kan de være tilbøyelige til å stole mer på selskapet enn de var før, fordi de tror at de holder hodet kaldt i en krise.

DOUG.  Veldig bra.

Ok, takk, Adam, for at du sendte det inn.

Hvis du har en interessant historie, kommentar eller spørsmål du vil sende inn, vil vi gjerne lese den på podcasten.

Du kan sende en e-post til tips@sophos.com, du kan kommentere en av artiklene våre, eller du kan kontakte oss på sosiale medier: @nakedsecurity.

Det er showet vårt for i dag; tusen takk for at du lyttet.

For Paul Ducklin, jeg er Doug Aamoth, og minner deg på til neste gang om å...

BÅDE.  Hold deg trygg!

[MUSIKK MODEM]

Tidstempel:

Mer fra Naken sikkerhet