Globalny atak ransomware i jak chronić swoje dane

Reklama

Ogromny cyberatak uderzył w komputery na całym świecie. Bardzo zjadliwe samoreplikujące się oprogramowanie ransomware - znane jako WanaCryptor, Wannacry lub Wcry - częściowo zawłaszczyło exploita Narodowej Agencji Bezpieczeństwa (NSA) wypuszczony na wolność w zeszłym miesiącu Cyberprzestępcy posiadają narzędzia hakerskie CIA: co to oznacza dla CiebieNajniebezpieczniejsze złośliwe oprogramowanie Centralnej Agencji Wywiadowczej - zdolne do włamania się do niemal całej bezprzewodowej elektroniki użytkowej - mogło teraz znaleźć się w rękach złodziei i terrorystów. Co to dla ciebie znaczy? Czytaj więcej przez grupę hakerską znaną jako The Shadow Brokers.

Według twórców oprogramowania antywirusowego ransomware zainfekowało co najmniej 100 000 komputerów, Avast. Masowy atak skierowany był głównie na Rosję, Ukrainę i Tajwan, ale rozprzestrzenił się na główne instytucje w co najmniej 99 innych krajach. Oprócz żądania 300 USD (około 0,17 Bitcoin w momencie pisania), infekcja jest również godna uwagi za wielojęzyczne podejście do zabezpieczenia okupu: złośliwe oprogramowanie obsługuje ponad dwa tuziny Języki.

Co się dzieje?

WanaCryptor powoduje ogromne, prawie bezprecedensowe zakłócenia. Oprogramowanie ransomware wpływa na banki, szpitale, telekomunikację, narzędzia energetyczne, oraz inna infrastruktura o znaczeniu krytycznym Atak rządowy: Narażone złośliwe oprogramowanie państwaObecnie trwa cyberwojna, ukryta w Internecie, rzadko obserwowana. Ale kim są gracze w tym teatrze wojny i jaka jest ich broń? Czytaj więcej .

W samej Wielkiej Brytanii przynajmniej 40 NHS (National Health Service) Trusts ogłosiło sytuacje kryzysowe, zmuszając do anulowania ważnych operacje, a także podważanie bezpieczeństwa pacjentów i prawie na pewno do nich prowadzą ofiary śmiertelne.

Policja przebywa w szpitalu Southport, a karetki pogotowia są „wspierane” w A&E, gdy pracownicy radzą sobie z trwającym kryzysem hackerskim #NHSpic.twitter.com/Oz25Gt09ft

- Ollie Cowan (@Ollie_Cowan) 12 maja 2017 r

WanaCryptor po raz pierwszy pojawił się w lutym 2017 r. Początkowa wersja oprogramowania ransomware zmieniła zmienione rozszerzenia plików na „.WNCRY”, a także oznaczała każdy plik ciągiem „WANACRY!”

WanaCryptor 2.0 szybko rozprzestrzenia się między komputerami, wykorzystując exploit związany z Equation Group, a kolektyw hakerski blisko związany z NSA (i podobno są to ich „brudne” hakowania) jednostka). Szanowany badacz bezpieczeństwa, Kafeine, potwierdził, że exploit znany jako ETERNALBLUE lub MS17-010 prawdopodobnie pojawił się w zaktualizowanej wersji.

WannaCry / WanaCrypt0r 2.0 faktycznie wyzwala regułę ET: 2024218 „ET EXPLOIT Możliwe ETERNALBLUE MS17-010 Odpowiedź echa” pic.twitter.com/ynahjWxTIA

- Kafeine (@kafeine) 12 maja 2017 r

Wiele exploitów

Ta epidemia oprogramowania ransomware różni się od tego, co już widziałeś (i mam nadzieję, że nie doświadczyłeś). WanaCryptor 2.0 łączy wyciek SMB (Server Message Block, protokół udostępniania plików w sieci Windows) wykorzystują samoreplikujący się ładunek, umożliwiając ransomware rozprzestrzenianie się z jednej podatnej na ataki maszyny na Kolejny. Ten robak-okup odcina zwykłą metodę dostarczania ransomware zainfekowanego e-maila, łącza lub innej akcji.

Adam Kujawa, badacz w Malwarebytes powiedziałem Ars Technica „Początkowy wektor infekcji jest czymś, co wciąż próbujemy dowiedzieć się… Biorąc pod uwagę, że ten atak wydaje się ukierunkowane, mogło to wynikać z luki w zabezpieczeniach sieci lub z bardzo dobrze spreparowanego wyłudzania włóczni atak. Niezależnie od tego rozprzestrzenia się przez zainfekowane sieci wykorzystując lukę EternalBlue, infekując dodatkowe niezałatane systemy. ”

WanaCryptor wykorzystuje również DOUBLEPULSAR, kolejny wyciek wykorzystał NSA CIA Hacking & Vault 7: Twój przewodnik po najnowszej wersji WikiLeaksWszyscy mówią o WikiLeaks - znowu! Ale CIA tak naprawdę nie ogląda cię za pośrednictwem inteligentnego telewizora, prawda? Z pewnością wyciekły dokumenty to podróbki? A może to bardziej skomplikowane. Czytaj więcej . Jest to backdoor używany do zdalnego wstrzykiwania i uruchamiania złośliwego kodu. Infekcja skanuje w poszukiwaniu hostów wcześniej zainfekowanych backdoorem, a gdy zostanie znaleziona, wykorzystuje istniejącą funkcjonalność do zainstalowania WanaCryptor. W przypadkach, gdy system hosta nie ma backdoora DOUBLEPULSAR, złośliwe oprogramowanie powraca do exploita ETERNALBLUE SMB.

Krytyczna aktualizacja zabezpieczeń

Ogromny wyciek narzędzi hakerskich NSA trafił na nagłówki na całym świecie. Natychmiastowe i bezkonkurencyjne dowody na to, że NSA gromadzi i przechowuje niewydane exploity zero-dniowe na własny użytek. Stwarza to ogromne zagrożenie bezpieczeństwa 5 sposobów, aby uchronić się przed exploitem zero-dayExploity zero-day, luki w oprogramowaniu, które są wykorzystywane przez hakerów zanim łatka stanie się dostępna, stanowią prawdziwe zagrożenie dla twoich danych i prywatności. Oto, w jaki sposób możesz trzymać hakerów na dystans. Czytaj więcej , jak widzieliśmy.

Na szczęście Microsoft załatane exploit Eternalblue w marcu, zanim olbrzymi zestaw exploitów Shadow Brokers trafił na pierwsze strony gazet. Biorąc pod uwagę naturę ataku, wiemy, że ten konkretny exploit jest w grze, i szybki charakter infekcji, wydaje się, że ogromna liczba organizacji nie udało się zainstalować aktualizacji krytycznej Jak i dlaczego musisz zainstalować tę poprawkę bezpieczeństwa Czytaj więcej - ponad dwa miesiące po wydaniu.

Ostatecznie dotknięte organizacje będą chciały zagrać w winę. Ale gdzie powinien wskazywać palec? W tym przypadku jest wystarczająca wina, aby podzielić się z: NSA za gromadzenie niebezpiecznych exploitów zero-day Co to jest luka w zabezpieczeniach związana z zerowym dniem? [MakeUseOf wyjaśnia] Czytaj więcej , złoczyńcy, którzy zaktualizowali WanaCryptor za pomocą wyciekających exploitów, liczne organizacje, które zignorowały krytyczną aktualizację zabezpieczeń, oraz kolejne organizacje nadal korzystające z systemu Windows XP.

Że ludzie mogli umrzeć, ponieważ obciążenia związane z aktualizacją podstawowego systemu operacyjnego są po prostu zaskakujące.

Microsoft ma natychmiast zwolniony krytyczna aktualizacja zabezpieczeń dla systemu Windows Server 2003, Windows 8 i Windows XP.

Wydania Microsoft #WannaCrypt ochrona produktów nieobsługiwanych w systemie Windows XP, Windows 8 i Windows Server 2003: https://t.co/ZgINDXAdCj

- Microsoft (@Microsoft) 13 maja 2017 r

Czy jestem zagrożony?

WanaCryptor 2.0 rozprzestrzenia się jak pożar. W pewnym sensie ludzie spoza branży bezpieczeństwa zapomnieli o szybkim rozprzestrzenianiu się robaka i wywołanej przez niego paniki. W tym hiperłącznym wieku, w połączeniu z oprogramowaniem do szyfrowania programów ransomware, dostawcy złośliwego oprogramowania znaleźli się w przerażającym zwycięstwie.

Czy jesteś zagrożony? Na szczęście, zanim Stany Zjednoczone się obudziły i rozpoczęły swój dzień informacyjny, MalwareTechBlog znalazł przełącznik zabijania ukryty w kodzie złośliwego oprogramowania, ograniczając rozprzestrzenianie się infekcji.

Kill-switch obejmował bardzo długą bezsensowną nazwę domeny - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - na którą szkodliwe oprogramowanie wysyła żądanie.

Mogę tylko dodać „moje przypadkowe zatrzymanie międzynarodowego cyberataku” do mojego CV. ^^

- ScarewareTech (@MalwareTechBlog) 13 maja 2017 r

Jeśli żądanie pojawi się ponownie (tzn. Je zaakceptuje), złośliwe oprogramowanie nie infekuje komputera. Niestety nie pomaga to nikomu, kto już został zainfekowany. Badacz bezpieczeństwa za MalwareTechBlog zarejestrował adres, aby śledzić nowe infekcje za pośrednictwem swoich żądań, nie zdając sobie sprawy, że był to wyłącznik awaryjny.

#WannaCry ładunek propagacyjny zawiera wcześniej niezarejestrowaną domenę, wykonanie kończy się niepowodzeniem teraz, gdy domena została zablokowana pic.twitter.com/z2ClEnZAD2

- Darien Huss (@darienhuss) 12 maja 2017 r

Niestety istnieje możliwość, że istnieją inne warianty oprogramowania ransomware, każdy z własnym przełącznikiem „zabicia” (w zależności od przypadku).

Lukę można również zmniejszyć, wyłączając SMBv1. Microsoft zapewnia dokładny samouczek jak to zrobić dla Windows i Windows Server. W systemie Windows 10 może to być szybko osiągnięty przez naciśnięcie Klawisz Windows + X, wybierając PowerShell (administrator)i wklejanie następującego kodu:

Wyłącz-WindowsOptionalFeature -Online -FeatureName smb1protocol

SMB1 to stary protokół. Nowsze wersje nie są wrażliwe na wariant WanaCryptor 2.0.

Ponadto, jeśli Twój system zaktualizował się normalnie, jesteś mało prawdopodobne odczuć bezpośrednie skutki tej konkretnej infekcji. To powiedziawszy, jeśli anulowano spotkanie w NHS, płatność bankowa poszła nie tak lub nie dotarła ważna paczka, to dotyczy to Ciebie, niezależnie od tego.

Mówiąc mądrze, łatany exploit nie zawsze spełnia swoje zadanie. Conficker, ktoś?

Co się potem dzieje?

W Wielkiej Brytanii WanaCryptor 2.0 został początkowo opisany jako bezpośredni atak na NHS. Zostało to zdyskontowane. Problem pozostaje jednak taki, że setki tysięcy osób doświadczyło bezpośrednich zakłóceń z powodu złośliwego oprogramowania.

Szkodnik nosi znamiona ataku o drastycznie niezamierzonych konsekwencjach. Ekspert ds. Cyberbezpieczeństwa, dr Afzal Ashraf, powiedział BBC że „prawdopodobnie zaatakowali małą firmę, zakładając, że dostaną niewielką kwotę pieniędzy, ale dostała się do systemu NHS i teraz mieć przeciwko niemu pełną władzę państwa - ponieważ, oczywiście, rząd nie może sobie pozwolić na coś takiego odnoszący sukcesy."

Oczywiście nie chodzi tylko o NHS. W Hiszpanii, El Mundozgłosiło, że 85 procent komputerów w Telefonica zostały dotknięte przez robaka. Fedex potwierdził, że zostali dotknięci, podobnie jak Portugal Telecom i rosyjski MegaFon. I to bez uwzględnienia głównych dostawców infrastruktury.

Utworzono dwa adresy bitcoin (tutaj i tutaj) do otrzymywania okupów zawierają teraz połączone 9,21 BTC (około 16 000 USD w momencie pisania) z 42 transakcji. To powiedziawszy, i potwierdzeniem teorii „niezamierzonych konsekwencji”, jest brak identyfikacji systemu zapewnianej przez płatności Bitcoin.

Może czegoś mi brakuje. Jeśli tak wiele ofiar Wcry ma ten sam adres bitcoin, w jaki sposób deweloperzy są w stanie powiedzieć, kto zapłacił? Coś ...

- BleepingComputer (@BleepinComputer) 12 maja 2017 r

Co stanie się potem? Rozpoczyna się proces czyszczenia, a dotknięte nim organizacje liczą straty, zarówno finansowe, jak i oparte na danych. Ponadto organizacje, których to dotyczy, przyjrzą się z uwagą swoim praktykom bezpieczeństwa oraz - ja naprawdę, prawdziwa nadzieja - zaktualizuj, pozostawiając przestarzały, a teraz niebezpieczny system operacyjny Windows XP za.

Mamy nadzieję.

Czy bezpośrednio dotyczy WanaCryptor 2.0? Zgubiłeś dane lub odwołałeś spotkanie? Czy uważasz, że rządy powinny zmusić infrastrukturę o kluczowym znaczeniu do aktualizacji? Daj nam znać swoje wrażenia z korzystania z WanaCryptor 2.0 poniżej i podziel się z nami swoją opinią, jeśli pomogliśmy Ci.

Zdjęcie: Wszystko, co robię za pośrednictwem Shutterstock.com