S3 Ep140: Så du tror att du känner till ransomware?

S3 Ep140: Så du tror att du känner till ransomware?

Tidsstämpel: 22 juni 2023 12:48
S3 Ep140: Så du tror att du känner till ransomware? PlatoBlockchain Data Intelligence. Vertikal sökning. Ai.
by Paul Ducklin

LYSSNA OCH LÄR

Gee Whiz BASIC (förmodligen). Tror du vet ransomware? Megauppladdning, 11 år senare. ASUS varnar för kritiska routerbuggar. Flytta den kaos del III.

Ingen ljudspelare nedan? Lyssna direkt på Soundcloud.

Med Doug Aamoth och Paul Ducklin. Intro och outro musik av Edith Mudge.

Du kan lyssna på oss på soundcloud, Apple Podcasts, Google Podcasts, Spotify, häft och överallt där bra poddar finns. Eller bara släpp URL till vårt RSS-flöde till din favoritpodcatcher.

LÄS TRANSKRIPTET

DOUG.  Routerproblem, Megaupload i megaproblem och mer MOVEit-kaos.

Allt det och mer i podcasten Naked Security.

[MUSIKALT MODEM]

Välkommen till podden, alla.

Jag är Doug Aamoth; han är Paul Ducklin.

Paul, hur gör du?

ANKA.  Bara en disambiguation för våra brittiska och samväldets engelska lyssnare, Doug...

DOUG.  "Router." [UTTALAS UK-STIL SOM "ROOTER", INTE US-STIL SOM "ROWTER"]

ANKA.  Du menar väl inte träbearbetningsverktygen?

DOUG.  Nej! [skrattar]

ANKA.  Du menar de saker som låter skurkar bryta sig in i ditt nätverk om de inte åtgärdas i tid?

DOUG.  Ja!

ANKA.  Där beteendet hos vad vi skulle kalla en "ROOTER" gör med ditt nätverk mer som vad en "ROWTER" skulle göra med kanten av ditt bord? [skrattar]

DOUG.  Exakt! [skrattar]

Vi kommer till det inom kort.

Men först vår Denna vecka i teknisk historia segmentet.

Paul, denna vecka, den 18 juni, långt tillbaka 1979: ett stort steg framåt för 16-bitars datoranvändning när Microsoft rullade ut en version av sitt BASIC-programmeringsspråk för 8086-processorer.

Denna version var bakåtkompatibel med 8-bitars processorer, vilket gjorde BASIC, som hade varit tillgänglig för Z80- och 8080-processorerna, och som redan fanns på cirka 200,000 XNUMX datorer, en pil i de flesta programmerares koger, Paul.

ANKA.  Vad skulle bli GW-BASIC!

Jag vet inte om detta är sant, men jag fortsätter att läsa att GW-BASIC står för "GEE WHIZZ!" [skrattar]

DOUG.  ha! [SKRATT]

ANKA.  Jag vet inte om det är sant, men jag tycker om att tro att det är det.

DOUG.  Okej, låt oss gå in på våra berättelser.

Innan vi kommer till saker som är i nyheterna är vi glada, nej glada, att tillkännage det första av tre avsnitt av Tror du att du känner till Ransomware?

Det här är en 48-minuters dokumentärserie från dina vänner på Sophos.

"The Ransomware Documentary" – helt ny videoserie från Sophos som börjar nu!

Första avsnittet, kallat Ursprunget till cyberbrottslighet, finns nu för visning på https://sophos.com/ransomware.

Avsnitt 2, som heter Jägare och jagade, kommer att finnas tillgänglig den 28 juni 2023.

Avsnitt 3, Vapen och krigare, släpps den 5 juli 2023.

Kolla in det på https://sophos.com/ransomware.

Jag har sett första avsnittet, och det är fantastiskt.

Den svarar på alla frågor du kan ha om ursprunget till detta gissel som vi fortsätter att bekämpa år efter år, Paul.

ANKA.  Och det matar mycket bra in i vad vanliga lyssnare kommer att veta är mitt favoritordspråk (jag hoppas att jag inte har förvandlat det till en klyscha vid det här laget), nämligen: De som inte kan minnas historien är dömda att upprepa den.

Var inte den personen! [skrattar]

DOUG.  Okej, låt oss hålla oss till ämnet brott.

Fängelsetid för två av de fyra Megaupload-grundarna.

Upphovsrättsintrång i fråga här, Paul, och ungefär ett decennium på väg?

Megaupload-duon kommer äntligen att hamna i fängelse, men Kim Dotcom kämpar vidare...

ANKA.  Ja.

Kommer du ihåg förra veckan när jag parafraserade det där skämtet om, "Åh, vet du hur bussar är? Ingen kommer på evigheter, och sedan kommer tre på en gång?” [SKRATT]

Men jag var tvungen att omvandla det till "två anländer på en gång"...

...och inte förr hade jag sagt det förrän den tredje kom. [SKRATT]

Och det här är från Nya Zeeland, eller Aotearoa, som det alternativt kallas.

Megaupload var en ökända tidig så kallad "filskåp"-tjänst.

Det är inte "filskåp" som i ransomware som låser dina filer.

Det är "filskåp" som ett gymskåp... molnet där du laddar upp filer så att du kan hämta dem senare.

Den tjänsten togs ner, främst för att FBI i USA fick en order om borttagning och påstod att dess primära syfte faktiskt inte var att vara en mega *uppladdningstjänst* som att vara en mega *nedladdningstjänst, affärsmodellen varav baserades på att uppmuntra och uppmuntra till intrång i upphovsrätten.

Den primära grundaren av denna verksamhet är ett välkänt namn: Kim Dotcom.

Och det är verkligen hans efternamn.

Han bytte namn (jag tror att han ursprungligen var Kim Schmitz) till Kim Dotcom, skapade den här tjänsten, och han har precis kämpat mot utlämning till USA och fortsätter att göra det, även om domstolarna i Aotearoa har beslutat att det inte finns någon anledning till varför han kan inte utlämnas.

En av de andra fyra, en kille vid namn Finn Batato, dog tyvärr i cancer förra året.

Men två av de andra individerna som var drivkrafterna för Megaupload-tjänsten, Mathias Ortmann och Bram van der Kolk...

…de kämpade mot utlämning (du kan förstå varför) till USA, där de potentiellt riskerade stora fängelsestraff.

Men så småningom verkade de ha gjort ett avtal med domstolarna i NZ [Nya Zeeland/Aotearoa] och med FBI och justitiedepartementet i USA.

De gick med på att bli åtalade i NZ istället, att erkänna sig skyldiga och att hjälpa de amerikanska myndigheterna i deras pågående utredning.

Och de slutade med fängelsestraff på 2 år 7 månader respektive 2 år 6 månader.

DOUG.  Domaren i det fallet hade några intressanta iakttagelser, kände jag.

ANKA.  Jag tror att du har rätt, Doug.

Särskilt att det inte var en fråga om att domstolen skulle säga: "Vi accepterar det faktum att dessa enorma megabolag runt om i världen förlorade miljarder och miljarder dollar."

Faktum är att domaren sa att man måste ta dessa påståenden med en nypa salt, och citerade bevis som tyder på att man inte bara kan säga att alla som laddat ner en piratkopierad video annars skulle ha köpt originalet.

Så du kan inte lägga ihop de monetära förlusterna på det sätt som vissa av megakårerna gillar att göra det.

Ändå, sa han, stämmer det inte.

Och ännu viktigare, han sa: "Du sårade verkligen de små killarna också, och det betyder lika mycket."

Och han citerade fallet med en indiemjukvaruutvecklare från South Island i NZ som hade skrivit till domstolen för att säga: "Jag märkte att piratkopiering gjorde en stor buckla i min inkomst. Jag upptäckte att jag 10 eller 20 gånger var tvungen att vädja till Megaupload för att få inkräktande innehåll borttaget; det tog mig mycket tid att göra det, och det gjorde aldrig den minsta skillnad. Och så jag säger inte att de är helt och hållet ansvariga för det faktum att jag inte längre kunde försörja mig på min verksamhet, men jag säger att jag gjorde allt detta för att få dem att ta ner grejerna som de sa att de skulle göra det, men det fungerade aldrig."

Det kom faktiskt fram någon annanstans i domen... som är på 38 sidor, så den är ganska lång att läsa, men den är väldigt läsbar och jag tycker att den är mycket väl värd att läsa.

Noterbart sa domaren till de tilltalade att de måste bära ansvaret för att de erkände att de inte ville vara för hårda mot upphovsrättsintrång eftersom "Tillväxt är främst baserad på intrång."

Och han noterade också att de skapade ett borttagningssystem som i princip, om det fanns flera webbadresser för att ladda ner samma fil...

…de behöll en kopia av filen, och om du klagade på webbadressen, skulle de ta bort *den webbadressen*.

DOUG.  Ah ha!

ANKA.  Så man skulle kunna tro att de hade tagit bort filen, men de skulle lämna filen där.

Och han beskrev det så här: "Du visste och tänkte att borttagningar inte skulle ha någon materiell effekt."

Vilket är exakt vad denna indie Kiwi-programutvecklare hade hävdat i sitt uttalande till domstolen.

Och de måste verkligen ha tjänat mycket pengar på det.

Om du tittar på bilderna från den kontroversiella raiden på Kim Dotcom 2012...

...han hade denna enorma egendom, och alla dessa blixtbilar med konstiga nummerskyltar [fordonsetiketter] som GOD och GUILTY, som om han anade något. [skrattar]

Nedtagning av megaupload skapar rubriker och vinkar när Mr Dotcom ansöker om borgen

Så Kim Dotcom kämpar fortfarande mot sin utlämning, men dessa andra två har bestämt sig för att de vill få det hela över.

Så de erkände sig skyldiga, och som några av våra kommentatorer har påpekat om Naked Security, "Golly, för vad det verkar som de gjorde när du läste igenom domen i detalj, låter det som att deras straff var lätt."

Men hur det beräknades är att domaren kom fram till att han tyckte att de maximala straffen som de borde få enligt Aotearoa-lagen borde vara cirka 10 år.

Och sedan tänkte han, baserat på det faktum att de erkände sig skyldiga, att de skulle samarbeta, att de skulle betala tillbaka 10 miljoner dollar, och så vidare och så vidare, att de skulle få 75 % rabatt.

Och jag förstår att det betyder att de kommer att lägga denna rädsla för att de ska utlämnas till USA, eftersom jag förstår att justitiedepartementet har sagt, "OK, vi låter fällande dom och domen ske i ett annat land .”

Mer än tio år senare, och fortfarande inte över!

Du borde säga det, Doug...

DOUG.  Yesss!

Vi kommer att hålla ett öga på detta.

Tack; låt oss gå vidare.

Om du har en ASUS-router kan det hända att du har lite patch att göra, även om det är en ganska grumlig tidslinje här för några ganska farliga sårbarheter, Paul.

ASUS varnar routerkunder: Lagra nu eller blockera alla inkommande förfrågningar

ANKA.  Ja, det är inte otroligt tydligt när dessa patchar kom ut för de olika många modellerna av router som är listade i rådgivningen.

Några av våra läsare säger: "Ja, jag gick och tittade; Jag har en av dessa routrar och den finns på listan, men det finns inga patchar *nu*. Men jag fick några patchar för ett tag sedan som verkade fixa dessa problem... så varför rådgivandet *nu*?”

Och svaret är: "Vi vet inte."

Förutom kanske att ASUS har upptäckt att skurkarna är på dessa?

Men det är inte bara "Hej, vi rekommenderar att du lappar."

De säger att du måste lappa, och om du inte vill eller kan göra det, då "rekommenderar starkt att (vilket i princip betyder "du hade bättre") inaktivera tjänster som är tillgängliga från WAN-sidan av din router för att undvika potentiella oönskade intrång."

Och det är inte bara din typiska varning, "Åh, se till att ditt administratörsgränssnitt inte är synligt på internet."

De noterar att vad de menar med att blockera inkommande förfrågningar är att du måste stänga av i princip *allt* som innebär att routern accepterar att utsidan initierar någon nätverksanslutning...

...inklusive fjärradministration, vidarebefordran av portar (otur om du använder det för spel), dynamisk DNS, alla VPN-servrar och vad de kallar porttriggning, vilket jag antar är portknackning, där du väntar på en viss anslutning och bara när du se den kopplingen startar du då upp en tjänst lokalt.

Det är alltså inte bara webbförfrågningar som är farliga här, eller att det kan finnas någon bugg som låter någon logga in med ett hemligt användarnamn.

Det är en hel rad olika typer av nätverkstrafik som om den kan nå din router från utsidan, skulle kunna pwn din router, verkar det som.

Så det låter fruktansvärt bråttom!

DOUG.  De två största sårbarheterna här...

…det finns en nationell sårbarhetsdatabas, NVD, som poängsätter sårbarheter på en skala från ett till tio, och båda dessa är 9.8/10.

Och så finns det en hel massa andra som är 7.5, 8.1, 8.8... en hel massa saker som är ganska farliga här. Paul.

ANKA.  Ja.

"9.8 KRITISK", allt med versaler, är den typ av sak som betyder [VISKANDE], "Om skurkarna kommer på det här, kommer de att vara över det som ett utslag."

Och det som kanske är det konstigaste med dessa två 9.8/10-svårigheter med dåliga poäng är att en av dem är CVE-2022-26376, och det är en bugg i HTTP-unescaping, vilket i princip är när du har en URL med roliga tecken i, som, utrymmen...

…du kan inte lagligt ha ett mellanslag i URL:en; du måste sätta %20 istället dess hexadecimala kod.

Det är ganska grundläggande för att bearbeta någon form av URL på routern.

Och det var en bugg som avslöjades, som du kan se av numret, 2022!

Och det finns ytterligare ett i det så kallade Netatalk-protokollet (som ger stöd för Apple-datorer) som var sårbarheten, Doug, CVE-2018-1160.

DOUG.  Det var länge sedan!

ANKA.  Det var!

Det fixades faktiskt i en version av Netatalk som jag tror var version 3.1.12, som kom ut den 20 december *2018*.

Och de varnar bara för att "du måste skaffa den nya versionen av Netatalk" just nu, eftersom även det, det verkar, kan utnyttjas via ett oseriöst paket.

Så du behöver ingen Mac; du behöver inte Apple-programvara.

Du behöver bara något som talar Netatalk på ett tvivelaktigt sätt, och det kan ge dig godtycklig minnesskrivåtkomst.

Och med ett felpoäng på 9.8/10, måste du anta att det betyder "fjärrutomstående petar i ett eller två nätverkspaket, tar över din router helt med root-åtkomst, fjärrkodexekveringsskräck!"

Så varför det tog dem så lång tid att varna folk att de behövde fixa detta fem år gamla fel...

…och varför de faktiskt inte hade korrigeringen för den fem år gamla buggen för fem år sedan förklaras inte.

DOUG.  OK, så det finns en lista över routrar som du bör kontrollera, och om du inte kan patcha, är det meningen att du ska göra allt det där "blockera alla inkommande saker".

Men jag tror att vårt råd skulle vara patch.

Och mitt favoritråd: Om du är en programmerare, sanera dina ingångar, tack!

ANKA.  Ja, Little Bobby Tables har dykt upp igen, Doug.

Eftersom en av de andra buggarna som inte var på 9.8-nivån (detta var på 7/10- eller 8/10-nivån) var CVE-2023-28702.

Det är i princip buggen av MOVEit-typ igen: Ofiltrerade specialtecken i inmatning av webbadresser kan orsaka kommandoinjektion.

Så det låter som en ganska bred pensel för cyberkriminella att måla med.

Och det var CVE-2023-31195 som fångade min uppmärksamhet, under sken av en Session kapning.

Programmerarna satte vad som i huvudsak är autentiseringstoken-cookies... de magiska strängarna som, om webbläsaren kan återkoppla dem i framtida förfrågningar, bevisar för servern att användaren tidigare under sessionen hade rätt användarnamn, rätt lösenord , rätt 2FA-kod, vad som helst.

Och nu tar de med sig detta magiska "åtkomstkort".

Så det är meningen att du ska tagga dessa cookies när du ställer in dem så att de aldrig kommer att överföras i okrypterade HTTP-förfrågningar.

På så sätt gör det det mycket svårare för en skurk att kapa dem... och det glömde de att göra!

Så det är en annan sak för programmerare: Gå och granska hur du ställer in riktigt viktiga cookies, sådana som antingen har privat information eller autentiseringsinformation, och se till att du inte lämnar dem öppna för oavsiktlig och enkel exponering.

DOUG.  Jag markerar detta (mot mitt bättre omdöme, men det här är den andra av två berättelser hittills) som en som vi kommer att hålla ett öga på.

ANKA.  Jag tror att du har rätt, Doug, för jag vet inte riktigt varför, med tanke på att för vissa av routrarna hade dessa patchar redan dykt upp (om än senare än du kanske ville)... varför *nu*?

Och jag antar att den delen av historien kanske fortfarande måste komma fram.

DOUG.  Det visar sig att vi absolut inte *inte* kan hålla ett öga på denna MOVEit-berättelse.

Så, vad har vi den här veckan, Paul?

MOVEit mayhem 3: "Inaktivera HTTP- och HTTPS-trafik omedelbart"

ANKA.  Tja, tyvärr för Progress Software kom den tredje bussen på en gång, så att säga. [SKRATT]

Så, bara för att sammanfatta, den första var CVE-2023-34362, vilket var när Progress Software sa: "Åh nej! Det finns en nolldag – vi visste verkligen inte om detta. Det är en SQL-injektion, ett kommandoinjektionsproblem. Här är lappen. Men det var en noll-dag, och vi fick reda på det eftersom ransomware-skurkar, utpressningsskurkar, aktivt utnyttjade detta. Här är några indikatorer på kompromiss [IoCs]."

Så de gjorde alla rätt saker, så snabbt de kunde, när de väl visste att det fanns ett problem.

Sedan gick de och granskade sin egen kod och tänkte: "Vet du vad, om programmerarna gjorde det misstaget på ett ställe, kanske de gjorde några liknande misstag i andra delar av koden."

Och det ledde till CVE-2023-35036, där de proaktivt lappade hål som var som originalet, men så vitt de visste hittade de dem först.

Och se och se, det fanns då en tredje sårbarhet.

Den här är CVE-2023-35708, där det verkar som att personen som hittade den, säkerligen väl visste att Progress Software var helt öppen för ansvarsfullt avslöjande och snabb reaktion...

…beslutade att bli offentlig ändå.

Så jag vet inte om du kallar det "fullständig avslöjande" (jag tror att det är det officiella namnet på det), "oansvarigt avslöjande" (jag har hört att det hänvisas till det så av andra på Sophos) eller "släppa 0-day for fun”, vilket är hur jag tänker på det.

Så det var lite synd.

Och så sa Progress Software, "Titta, någon tappade den här 0-dagen; vi visste inte om det; vi jobbar på patchen. Under den här lilla mellanperioden är det bara att stänga av ditt webbgränssnitt (vi vet att det är krångligt) och låt oss testa färdigt patchen."

Och inom ungefär ett dygn sa de: "Okej, här är plåstret, sätt på det nu. Sedan, om du vill, kan du aktivera ditt webbgränssnitt igen."

Så jag tror, ​​allt som allt, även om det är ett dåligt utseende för Progress Software för att ha buggar i första hand...

…om detta någonsin skulle hända dig, så är det enligt min mening ett ganska trevligt sätt att göra det på att följa deras typ av svar!

DOUG.  Ja, vi har beröm för Progress Software, inklusive vår kommentar för den här veckan om den här historien.

Adam kommenterar:

Det verkar vara tufft för MOVEit på sistone, men jag applåderar dem för deras snabba, proaktiva och uppenbarligen ärliga arbete.

De kunde teoretiskt ha försökt hålla det här tyst, men istället har de varit ganska uppmärksamma på problemet och vad som behöver göras åt det.

Det får dem åtminstone att se mer pålitliga ut i mina ögon...

...och jag tror att det är en känsla som delas med andra också, Paul.

ANKA.  Det är det verkligen.

Vi har hört samma sak på våra sociala mediekanaler också: att även om det är beklagligt att de hade felet, och alla önskar att de inte gjorde det, så är de fortfarande benägna att lita på företaget.

Faktum är att de kan vara benägna att lita mer på företaget än de var tidigare, eftersom de tror att de håller huvudet kallt i en kris.

DOUG.  Mycket bra.

Okej, tack, Adam, för att du skickade in det.

Om du har en intressant berättelse, kommentar eller fråga som du vill skicka in, läser vi det gärna i podden.

Du kan skicka e-post till tips@sophos.com, du kan kommentera någon av våra artiklar, eller så kan du kontakta oss på sociala medier: @nakedsecurity.

Det är vår show för idag; tack så mycket för att du lyssnade.

För Paul Ducklin, jag heter Doug Aamoth, påminner dig tills nästa gång att...

BÅDE.  Håll dig säker!

[MUSIKALT MODEM]

Tidsstämpel:

Mer från Naken säkerhet