Global Ransomware Attack og Hvordan beskytte dataene dine
En massiv cyberattack har rammet datamaskiner over hele verden. Den svært virulente selvrepliserende ransomwareen, kjent som WanaCryptor, Wannacry, eller Wcry, har delvis bevilget et NSA-utnytte utgitt i det siste i fjor. Cybercriminals Possess CIA Hacking Tools: Hva dette betyr for deg Cyberkriminelle har CIA Hacking Verktøy: Hva dette betyr for deg Det sentrale etterretningsagenturs farligste malware - i stand til å hacke nesten alle trådløse forbrukerelektronikk - kunne nå sitte i hendene på tyver og terrorister. Så hva betyr det for deg? Les mer av en hackinggruppe kjent som The Shadow Brokers.
Ransomware antas å ha infisert minst 100 000 datamaskiner, ifølge antivirusprogrammer, Avast. Det massive angrepet riktet seg hovedsakelig mot Russland, Ukraina og Taiwan, men spredte seg til store institusjoner i minst 99 andre land. Bortsett fra å kreve $ 300 (rundt 0,17 Bitcoin på tidspunktet for skriving), er infeksjonen også kjent for sin flerspråklige tilnærming til sikring av løsepenge: malware støtter mer enn to dusin språk.
Hva skjer?
WanaCryptor forårsaker massiv, nesten uovertruffen forstyrrelse. Ransomware påvirker banker, sykehus, telekommunikasjon, strømforsyninger og annen misjonskritisk infrastruktur Når regjeringer angriper: Nasjonalstatlig malware eksponert når regjeringer angrep: Nasjonalstatlig malware eksponert En cyberwar finner sted akkurat nå, skjult av internett, resultatene er sjelden observert. Men hvem er spillerne i dette krigskriget, og hva er deres våpen? Les mer .
I U.K. alene, erklærte minst 40 NHS (National Health Service) Trusts nødstilfeller, tvinger avbestillingen av viktige operasjoner, samt undergraver pasientens sikkerhet og sikkerhet og nesten helt sikkert fører til dødsfall.
Politiet er på Southport Hospital og ambulanser er "sikkerhetskopiert" hos A & E som ansatte takler den pågående hackkrisen #NHS pic.twitter.com/Oz25Gt09ft
- Ollie Cowan (@Ollie_Cowan) 12. mai 2017
WanaCryptor oppstod først i februar 2017. Den opprinnelige versjonen av ransomware endret berørte filutvidelser til “.WNCRY” samt markere hver fil med strengen “WANACRY!”
WanaCryptor 2.0 sprer seg raskt mellom datamaskiner ved hjelp av en utnyttelse forbundet med Equation Group, en hacking kollektiv nært forbundet med NSA (og tungt ryktet for å være deres interne “skitten” hacking enhet). Respektert sikkerhetsforsker, Kafeine, bekreftet at utnyttelsen kjent som ETERNALBLUE eller MS17-010 var sannsynlig å ha omtalt i den oppdaterte versjonen.
WannaCry / WanaCrypt0r 2.0 utløser faktisk ET-regel: 2024218 "ET EXPLOIT Mulig ETERNALBLUE MS17-010 Echo Response" pic.twitter.com/ynahjWxTIA
- Kafeine (@kafeine) 12. mai 2017
Flere utnytelser
Dette ransomware utbruddet er annerledes enn det du allerede har sett (og jeg håper, ikke opplevd). WanaCryptor 2.0 kombinerer den lekkede SMB (Server Message Block, en Windows Network File Sharing Protocol) utnytte med en selvrepliserende nyttelast slik at ransomware kan spres fra en sårbar maskin til den neste. Denne løsepengeen kutter ut den vanlige ransomware-leveringsmetoden for en infisert e-post, lenke eller annen handling.
Adam Kujawa, en forsker ved Malwarebytes, sa til Ars Technica “Den første infeksjonsvektoren er noe vi fortsatt prøver å finne ut ... Med tanke på at dette angrepet ser ut til å være målrettet, kan det ha vært enten gjennom et sårbarhet i nettverksforsvaret eller et svært godt utformet spydfiskeangrep. Uansett sprer den seg gjennom smittede nettverk ved hjelp av EternalBlue sårbarheten, infiserer ekstra upakket systemer.”
WanaCryptor leverer også DOUBLEPULSAR, en annen lekket NSA utnytte CIA Hacking & Vault 7: Din guide til den nyeste WikiLeaks-utgivelsen CIA Hacking & Vault 7: Din guide til den nyeste WikiLeaks-utgivelsen Alle snakker om WikiLeaks - igjen! Men CIA ser deg ikke virkelig på din smarte TV, er det? Sikkert lekkede dokumentene er falske? Eller kanskje det er mer komplisert enn det. Les mer . Dette er en bakdør som brukes til å injisere og kjøre ondsinnet kode eksternt. Infeksjonen skanner for verter som tidligere ble smittet med bakdøren, og når de er funnet, bruker den eksisterende funksjonaliteten til å installere WanaCryptor. I tilfeller der vertssystemet ikke har en eksisterende DOUBLEPULSAR-bakdør, går malware tilbake til ETERNALBLUE SMB-utnytte.
Kritisk sikkerhetsoppdatering
Den massive lekkasje av NSA-hackingsverktøy gjorde overskrifter over hele verden. Umiddelbart og uovertruffen bevis for at NSA samler og lagrer uutløste nulldagseffekter til eget bruk, er der ute. Dette gir en enorm sikkerhetsrisiko. 5 måter å beskytte deg mot fra en null-dag-utfordring. 5 måter å beskytte deg mot fra en null-dag-utfordring. Nulledagseutnyttelser, programvaresårbarheter som utnyttes av hackere før en lapp blir tilgjengelig, utgjør en ekte trussel mot dine data og personvern. Her er hvordan du kan holde hackere i sjakk. Les mer, som vi nå har sett.
Fortunately, Microsoft patched Eternalblue utnytte i mars før Shadow Brokers 'massive våpen-grade exploit-trove slo overskriftene. Gitt angrepets natur, at vi vet at denne spesifikke utnytningen er i spill, og infeksjonens raske natur, det ser ut som et stort antall organisasjoner har mislyktes i å installere den kritiske oppdateringen. Hvordan og hvorfor du trenger å installere det sikkerhetsoppdateringen. Hvordan & Hvorfor du trenger å installere det sikkerhetsoppdateringen Les mer - mer enn to måneder etter utgivelsen.
Til slutt vil berørte organisasjoner ønske å spille skylden spillet. Men hvor skal fingeren peke? I dette tilfellet er det nok skyld for å dele rundt: NSA for lagring av farlige nulldagseffekter Hva er et sikkerhetsproblem i null dag? [MakeUseOf Forklarer] Hva er et sikkerhetsproblem i null dag? [MakeUseOf Forklarer] Les mer, de malefactors som oppdaterte WanaCryptor med lekkede utnyttelser, de mange organisasjonene som ignorerte en kritisk sikkerhetsoppdatering, og flere organisasjoner som fortsatt bruker Windows XP.
At folk kan ha dødd fordi organisasjoner funnet byrden på å oppgradere deres primære operativsystem er ganske enkelt oppsiktsvekkende.
Microsoft har umiddelbart gitt ut en kritisk sikkerhetsoppdatering for Windows Server 2003, Windows 8 og Windows XP.
Microsoft utgir #WannaCrypt-beskyttelse for utelukkende produkter Windows XP, Windows 8, og Windows Server 2003: https://t.co/ZgINDXAdCj
- Microsoft (@Microsoft) 13 mai, 2017
Er jeg i fare?
WanaCryptor 2.0 spredes som en brannfire. På en måte hadde folk utenfor sikkerhetsbransjen glemt den raske spredningen av en orm, og panikk det kan forårsake. I denne hyperforbundne alderen, og kombinert med krypto-ransomware, var malware-forhandlerne på en skremmende vinner.
Er du i fare? Heldigvis, før USA våknet opp og gikk om sin datedag, fant MalwareTechBlog en drepebryter som er skjult i malware-koden, som begrenser infeksjonens spredning.
Kill-bryteren involvert et veldig langt uanstendig domenenavn - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - at malware gjør en forespørsel om.
Så jeg kan bare legge til "ved et uhell stoppet et internasjonalt cyberangrep" til min resumé. ^^
- ScarewareTech (@MalwareTechBlog) 13. mai 2017
Hvis forespørselen kommer tilbake live (dvs. aksepterer forespørselen), skades ikke malware maskinen. Dessverre hjelper det ikke alle som allerede er smittet. Sikkerhetsforskeren bak MalwareTechBlog registrerte adressen for å spore nye infeksjoner via deres forespørsler, og ikke skjønte at det var nødstoppbryteren.
#WannaCry forplantning nyttelast inneholder tidligere uregistrert domene, gjennomføring utfører nå at domenet har blitt sinkholed pic.twitter.com/z2ClEnZAD2
- Darien Huss (@darienhuss) 12. mai 2017
Dessverre er det muligheten for at andre varianter av ransomware eksisterer, hver med sin egen drepebryter (eller ikke i det hele tatt, etter hvert).
Sårbarheten kan også reduseres ved å deaktivere SMBv1. Microsoft gir en grundig veiledning om hvordan du gjør dette for Windows og Windows Server. På Windows 10 kan dette raskt oppnås ved å trykke Windows-tast + X, velge PowerShell (Admin), og lime inn følgende kode:
Deaktiver-WindowsOptionalFeature -Online -FeatureName smb1protocol
SMB1 er en gammel protokoll. Nyere versjoner er ikke sårbare for WanaCryptor 2.0-varianten.
I tillegg, hvis systemet ditt har oppdatert som normalt, er du det lite sannsynlig å føle de direkte effektene av denne infeksjonen. Når det er sagt, hvis du hadde en NHS-avtale kansellert, bankbetalingen gikk galt, eller en viktig pakke mislyktes å ankomme, har du blitt påvirket, uansett.
Og ord til de kloke, gjør en patched utnyttelse ikke alltid jobben. Conficker, noen?
Hva skjer etterpå?
I U.K. ble WanaCryptor 2.0 først beskrevet som et direkte angrep på NHS. Dette har blitt diskontert. Men problemet er fortsatt at hundretusener av personer opplevde direkte forstyrrelser på grunn av skadelig programvare.
Malware bærer kjennetegn ved et angrep med drastisk utilsiktede konsekvenser. Cybersecurity-ekspert, Dr. Afzal Ashraf, fortalte BBC det “de angrep sannsynligvis et lite selskap, forutsatt at de ville få en liten sum penger, men det kom inn i NHS-systemet, og nå har de statens fulde kraft mot dem - for det er klart at regjeringen ikke har råd til at denne typen ting skal skje og bli vellykket.”
Det er ikke bare NHS, selvfølgelig. I Spania, El Mundo rapporterer at 85 prosent av datamaskiner på Telefonica var påvirket av ormen. Fedex confimed de hadde blitt rammet, så vel som Portugal Telecom, og Russlands MegaFon. Og det er uten å vurdere de store infrastrukturleverandørene også.
To bitcoin adresser opprettet (her og her) for å motta løslatelser inneholder nå en kombinert 9,21 BTC (rundt $ 16.000 USD ved skriving) fra 42 transaksjoner. Som sagt, og bekrefter “uforutsette konsekvenser” teori, er mangelen på systemidentifikasjon levert med Bitcoin-betalinger.
Kanskje jeg mangler noe. Hvis så mange Wcry-ofre har samme bitcoin-adresse, hvordan kan devs fortelle hvem som har betalt? some~~POS=TRUNC things~~POS=HEADCOMP ??.
- BleepingComputer (@BleepinComputer) 12. mai 2017
Så hva skjer neste? Oppryddingsprosessen starter, og berørte organisasjoner teller sine tap, både økonomiske og data-baserte. Videre vil berørte organisasjoner ta en lang og hard titt på deres sikkerhetspraksis, og - jeg håper virkelig, oppdatere, og forlater det antatte og nå farlige Windows XP-operativsystemet bak.
Vi håper.
Ble du direkte berørt av WanaCryptor 2.0? Har du mistet data, eller har en avtale kansellert? Tror du at regjeringer burde tvinge oppdragskritisk infrastruktur til å oppgradere? Gi oss beskjed om WanaCryptor 2.0-opplevelsene under og gi oss en del hvis vi har hjulpet deg.
Image Credit: Alt jeg gjør via Shutterstock.com
Utforsk mer om: Hacking, Ransomware.