Lesley Fowler
0 
3595
885
Et massivt cyberattack har ramt computere over hele verden. Den meget virulente selvreplicerende ransomware - kendt som WanaCryptor, Wannacry eller Wcry - har til dels bevillet en National Security Agency (NSA) udnyttelse frigivet i naturen sidste måned Cybercriminals Besidder CIA Hacking Tools: Hvad dette betyder for dig Cybercriminals besidder CIA Hacking Værktøjer: Hvad dette betyder for dig Det centrale efterretningsagenturs farligste malware - der er i stand til at hacking næsten al trådløs forbrugerelektronik - kunne nu sidde i hænderne på tyve og terrorister. Så hvad betyder det for dig? af en hackinggruppe kendt som The Shadow Brokers.
Ransomware menes at have inficeret mindst 100.000 computere, ifølge antivirusudviklere, Avast. Det massive angreb overvejende målrettede Rusland, Ukraine og Taiwan, men spredte sig til større institutioner i mindst 99 andre lande. Bortset fra at kræve $ 300 (ca. 0,17 Bitcoin i skrivende stund), er infektionen også kendt for sin flersprogede tilgang til at sikre løsepenge: malware understøtter mere end to dusin sprog.
Hvad sker der?
WanaCryptor forårsager massiv, næsten hidtil uset forstyrrelse. Ransomware påvirker banker, hospitaler, telekommunikation, strømforsyninger og anden missionskritisk infrastruktur, når regeringer angriber: Nation-State Malware udsættes, når regeringer angriber: Nation-State Malware Exposed. En cyberwar finder sted lige nu, skjult af internettet, resultaterne er sjældent observeret. Men hvem er spillerne i dette krigsteater, og hvad er deres våben? .
I Storbritannien alene erklærede mindst 40 NHS (National Health Service) trusts nødsituationer, hvilket tvang aflysning af vigtige operationer samt undergravning af patientsikkerhed og sikkerhed og næsten helt sikkert fører til dødsulykker.
Politiet er på Southport Hospital og ambulancer er 'sikkerhedskopieret' ved A&E, da personalet håndterer den igangværende hakkekrise #NHS pic.twitter.com/Oz25Gt09ft
- Ollie Cowan (@Ollie_Cowan) 12. maj 2017
WanaCryptor dukkede først op i februar 2017. Den oprindelige version af ransomware ændrede berørte filtypenavne til “.WNCRY” samt markering af hver fil med strengen “WANACRY!”
WanaCryptor 2.0 spreder sig hurtigt mellem computere ved hjælp af en udnyttelse, der er forbundet med Equation Group, et hackingkollektivt, der er tæt forbundet med NSA (og rygter stærkt at være deres interne “snavset” hacking enhed). Den respekterede sikkerhedsforsker, Kafeine, bekræftede, at udnyttelsen kendt som ETERNALBLUE eller MS17-010 sandsynligvis ville have vist sig i den opdaterede version.
WannaCry / WanaCrypt0r 2.0 udløser faktisk ET-regel: 2024218 "ET EXPLOIT Mulig ETERNALBLUE MS17-010 Echo Response" pic.twitter.com/ynahjWxTIA
- Kafeine (@kafeine) 12. maj 2017
Flere udnyttelser
Dette ransomware-udbrud er forskelligt fra det, du muligvis allerede har set (og jeg håber, ikke oplevet). WanaCryptor 2.0 kombinerer den lækkede SMB (Server Message Block, en Windows-netværksfildelingsprotokol) -udnyttelse med en selvreplicerende nyttelast, der gør det muligt for ransomware at sprede sig fra en sårbar maskine til den næste. Denne løsepenge-orm udskærer den sædvanlige leveringsmetode for ransomware for en inficeret e-mail, link eller anden handling.
Adam Kujawa, en forsker ved Malwarebytes fortalte Ars Technica “Den oprindelige infektionsvektor er noget, vi stadig prøver på at finde ud af… I betragtning af at dette angreb synes målrettet, kan det have været enten gennem en sårbarhed i netværksforsvaret eller et meget veludviklet spyd phishing-angreb. Uanset hvad, spreder det sig gennem inficerede netværk ved hjælp af EternalBlue-sårbarheden og inficerer yderligere ikke-udsendte systemer.”
WanaCryptor udnytter også DOUBLEPULSAR, en anden lækket NSA-udnytter CIA Hacking & Vault 7: Din guide til den nyeste WikiLeaks-udgivelse CIA Hacking & Vault 7: Din guide til den seneste WikiLeaks-udgivelse Alle taler om WikiLeaks - igen! Men CIA ser ikke rigtig dig via dit smart TV, er det? De lækkede dokumenter er bestemt forfalskninger? Eller måske er det mere kompliceret end det. . Dette er en bagdør, der bruges til at injicere og køre ondsindet kode eksternt. Infektionen søger efter værter, der tidligere er inficeret med bagdøren, og når den findes, bruger den eksisterende funktionalitet til at installere WanaCryptor. I tilfælde, hvor værtssystemet ikke har en eksisterende DOUBLEPULSAR-bagdør, vender malware tilbage til ETERNALBLUE SMB-udnyttelsen.
Kritisk sikkerhedsopdatering
Den massive lækage af NSA-hackingværktøjer skabte overskrifter over hele kloden. Øjeblikkelig og uovertruffen bevis for, at NSA indsamler og opbevarer uudgivne udnyttelsesdage til nul dage til eget brug, er derude. Dette udgør en enorm sikkerhedsrisiko 5 måder at beskytte dig selv fra en nul-dages udnyttelse 5 måder at beskytte dig selv mod en nul-dages udnyttelse Nul-dages udnyttelse, softwaresårbarheder, der udnyttes af hackere, før en patch bliver tilgængelig, udgør en ægte trussel mod dine data og privatliv. Sådan kan du holde hackere i skak. , som vi nu har set.
Heldigvis lappede Microsoft patch til Eternalblue-udnyttelsen i marts, før Shadow Brokers 'massive våbenklasse-udnyttelsestrove ramte overskrifterne. I betragtning af angrebets art, at vi ved, at denne specifikke udnyttelse er i spil, og den hurtige beskaffenhed, ser det ud til, at et stort antal organisationer ikke har installeret den kritiske opdatering. Hvordan & hvorfor du har brug for at installere den sikkerhedspatch & Hvorfor du har brug for at installere den sikkerhedspatch - mere end to måneder efter dens frigivelse.
I sidste ende vil berørte organisationer ønske at spille skylden. Men hvor skal fingeren pege? I dette tilfælde er der nok skyld i at dele: NSA for at lagre farlige nul-dages udnyttelse Hvad er en nul dag sårbarhed? [MakeUseOf Explains] Hvad er en sårbarhed med nul dag? [MakeUseOf Explains], de malefaktorer, der opdaterede WanaCryptor med de lækkede udnyttelser, de mange organisationer, der ignorerede en kritisk sikkerhedsopdatering, og yderligere organisationer, der stadig bruger Windows XP.
At folk måske er død, fordi organisationer fandt byrden ved at opgradere deres primære operativsystem, er simpelthen overraskende.
Microsoft har straks udgivet en kritisk sikkerhedsopdatering til Windows Server 2003, Windows 8 og Windows XP.
Microsoft frigiver #WannaCrypt-beskyttelse til out-of-support-produkter Windows XP, Windows 8 og Windows Server 2003: https://t.co/ZgINDXAdCj
- Microsoft (@Microsoft) 13. maj 2017
Er jeg i fare?
WanaCryptor 2.0 spredte sig som en ild. På en måde havde folk uden for sikkerhedsbranchen glemt den hurtige spredning af en orm, og panik, det kan forårsage. I denne hyperforbundne tidsalder og kombineret med crypto-ransomware var malware-udlevererne på en skræmmende vinder.
Er du i fare? Heldigvis, før De Forenede Stater vågnede op og begyndte sin computerdag, fandt MalwareTechBlog en dræbte-switch skjult i malware-koden, der begrænsede spredningen af infektionen.
Kill-switch involverede et meget langt nonsensisk domænenavn - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - at malware indgiver en anmodning om.
Så jeg kan kun tilføje "ved et uheld stoppet et internationalt cyberangreb" til min Résumé. ^^
- ScarewareTech (@MalwareTechBlog) 13. maj 2017
Hvis anmodningen kommer tilbage (dvs. accepterer anmodningen), inficerer malware ikke maskinen. Desværre hjælper det ikke nogen, der allerede er inficeret. Sikkerhedsforskeren bag MalwareTechBlog registrerede adressen for at spore nye infektioner via deres anmodninger, og vidste ikke, at det var nødhjælpskontakten.
#WannaCry forplantnings nyttelast indeholder tidligere uregistreret domæne, eksekvering mislykkes nu, da domænet er blevet synket af pic.twitter.com/z2ClEnZAD2
- Darien Huss (@darienhuss) 12. maj 2017
Desværre er der muligheden for, at der findes andre varianter af ransomware, hver med deres egen kill-switch (eller overhovedet ikke, som tilfældet er).
Sårbarheden kan også mindskes ved at deaktivere SMBv1. Microsoft leverer en grundig tutorial om, hvordan man gør dette til Windows og Windows Server. På Windows 10 kan dette hurtigt opnås ved at trykke på Windows-tast + X, udvælgelse PowerShell (Admin), og indsætte følgende kode:
Deaktiver-WindowsOptionalFeature -Online -FeatureName smb1protocolSMB1 er en gammel protokol. Nyere versioner er ikke sårbare over for WanaCryptor 2.0-varianten.
Hvis dit system derudover er opdateret som normalt, er du det usandsynlig at føle de direkte virkninger af denne særlige infektion. Når det er sagt, hvis du havde aflyst en NHS-aftale, bankbetaling gik forkert, eller en vital pakke ikke nåede frem, er du blevet påvirket, uanset.
Og ord til de kloge, en lappet udnyttelse gør ikke altid jobbet. Conficker, hvem som helst?
Hvad sker der nu?
I England blev WanaCryptor 2.0 oprindeligt beskrevet som et direkte angreb på NHS. Dette er diskonteret. Men spørgsmålet er fortsat, at hundretusinder af enkeltpersoner oplevede direkte forstyrrelser på grund af malware.
Malware har kendetegn ved et angreb med drastisk utilsigtede konsekvenser. Cybersecurity-ekspert, Dr. Afzal Ashraf, fortalte BBC “de angreb sandsynligvis et lille firma under antagelse af, at de ville få en lille mængde penge, men det kom ind i NHS-systemet, og nu har de statens fulde magt imod dem - for selvfølgelig har regeringen ikke råd til, at denne slags ting kan ske og få succes.”
Det er ikke kun NHS, selvfølgelig. I Spanien, El Mundo rapporterer, at 85 procent af computere på Telefonica var påvirket af ormen. Fedex beklagede, at de var blevet påvirket såvel som Portugal Telecom og Ruslands MegaFon. Og det er uden også at overveje de største infrastrukturudbydere.
To bitcoin-adresser, der er oprettet (her og her) for at modtage løsepenge, indeholder nu en samlet 9,21 BTC (ca. $ 16.000 USD i skrivende stund) fra 42 transaktioner. Når det er sagt og bekræfter “utilsigtede konsekvenser” teori er manglen på systemidentifikation leveret med Bitcoin-betalingerne.
Måske mangler jeg noget. Hvis så mange Wcry-ofre har den samme bitcoin-adresse, hvordan kan de devs fortælle hvem der har betalt? Nogle ting ??.
- BleepingComputer (@BleepinComputer) 12. maj 2017
Så hvad sker der derefter? Oprydningsprocessen begynder, og berørte organisationer tæller deres tab, både økonomiske og databaserede. Desuden vil berørte organisationer se et langt, hårdt kig på deres sikkerhedspraksis og - jeg håber virkelig, virkelig - opdatere, hvilket efterlader det forældede og nu farlige Windows XP-operativsystem.
Vi håber.
Blev du direkte påvirket af WanaCryptor 2.0? Har du mistet data, eller har en aftale annulleret? Tror du regeringer skal tvinge missionskritisk infrastruktur til at opgradere? Fortæl os dine WanaCryptor 2.0 oplevelser nedenfor og give os en del, hvis vi har hjulpet dig med det.
Billedkredit: Alt hvad jeg gør via Shutterstock.com