Annonse
En massiv cyberattack har truffet datamaskiner over hele verden. Den svært virulente selvreplikerende ransomware - kjent som WanaCryptor, Wannacry eller Wcry - har til dels bevilget et NSAs utnyttelse sluppet ut i naturen forrige måned Cybercriminals har CIA-verktøy for hacking: Hva dette betyr for degCentral Intelligence Agencys farligste malware - som er i stand til å hacke nesten all trådløs forbrukerelektronikk - kunne nå sitte i hendene på tyver og terrorister. Så hva betyr det for deg? Les mer av en hackinggruppe kjent som The Shadow Brokers.
Ransomware antas å ha infisert minst 100 000 datamaskiner, ifølge antivirusutviklere, Avast. Det massive angrepet var hovedsakelig målrettet mot Russland, Ukraina og Taiwan, men spredte seg til store institusjoner over minst 99 andre land. Bortsett fra å kreve 300 dollar (rundt 0,17 Bitcoin i skrivende stund), er infeksjonen også kjent for sin flerspråklige tilnærming til å sikre løsepenger: skadelig programvare støtter mer enn to dusin språk.
Hva skjer?
WanaCryptor forårsaker massiv, nesten enestående forstyrrelse. Ransomware påvirker banker, sykehus, telekommunikasjon, strømforsyninger, og annen oppdragskritisk infrastruktur Når regjeringer angriper: Nation-State Malware blir utsattEn cyberwar finner sted akkurat nå, skjult av internett, og resultatene er sjelden observert. Men hvem er spillerne i dette krigens teater, og hva er deres våpen? Les mer .
Bare i Storbritannia, i det minste 40 NHS (National Health Service) stoler erklærte nødssituasjoner, og tvang avlysningen av viktige operasjoner, samt undergraving pasientsikkerhet og sikkerhet og nesten helt sikkert føre til dødsfall.
Politiet er på Southport Hospital, og ambulanser er "sikkerhetskopiert" ved A&E når personalet takler den pågående hackekrisen #NHSpic.twitter.com/Oz25Gt09ft
- Ollie Cowan (@Ollie_Cowan) 12. mai 2017
WanaCryptor dukket først opp i februar 2017. Den første versjonen av ransomware endret berørte filtypene til “.WNCRY” i tillegg til å merke hver fil med strengen “WANACRY!”
WanaCryptor 2.0 sprer seg raskt mellom datamaskiner ved å bruke en utnyttelse tilknyttet Equation Group, a hacking-kollektiv som er nært knyttet til NSA (og ryktes sterkt å være deres “skitne” hacking i huset enhet). Den respekterte sikkerhetsforskeren, Kafeine, bekreftet at utnyttelsen kjent som ETERNALBLUE eller MS17-010 sannsynligvis ville ha omtalt i den oppdaterte versjonen.
WannaCry / WanaCrypt0r 2.0 utløser faktisk ET-regel: 2024218 "ET EXPLOIT Mulig ETERNALBLUE MS17-010 Echo Response" pic.twitter.com/ynahjWxTIA
- Kafeine (@kafeine) 12. mai 2017
Flere utnyttelser
Dette ransomware-utbruddet er forskjellig fra det du allerede har sett (og jeg håper ikke opplevd). WanaCryptor 2.0 kombinerer den lekkede SMB (Server Message Block, en Windows nettverks fildelingsprotokoll) utnytt med en selvrepliserende nyttelast slik at ransomware kan spres fra en sårbar maskin til neste. Denne løsepengerorm kutter ut den vanlige leveringsmetoden for løsepenger for en infisert e-post, lenke eller annen handling.
Adam Kujawa, forsker ved Malwarebytes fortalte Ars Technica “Den første infeksjonsvektoren er noe vi fortsatt prøver å finne ut… Tatt i betraktning at dette angrepet virker målrettet, kan det ha vært enten gjennom en sårbarhet i nettverksforsvaret eller en veldig godt laget spydfisking angripe. Uansett sprer det seg gjennom infiserte nettverk ved hjelp av sårbarheten EternalBlue, og infiserer ytterligere ikke-sendte systemer. ”
WanaCryptor utnytter også DOUBLEPULSAR, en annen lekket NSA-utnyttelse CIA Hacking & Vault 7: Din guide til den siste utgivelsen av WikiLeaksAlle snakker om WikiLeaks - igjen! Men CIA ser ikke virkelig på deg via smart-TV-en, ikke sant? Sikkert de lekkede dokumentene er forfalskninger? Eller kanskje er det mer komplisert enn det. Les mer . Dette er en bakdør som brukes til å injisere og kjøre ondsinnet kode eksternt. Infeksjonen søker etter verter som tidligere er smittet med bakdøren, og når den blir funnet bruker den eksisterende funksjonaliteten til å installere WanaCryptor. I tilfeller der vertssystemet ikke har en eksisterende DOUBLEPULSAR-bakdør, går malware tilbake til ETERNALBLUE SMB-utnyttelsen.
Kritisk sikkerhetsoppdatering
Den enorme lekkasjen av NSA-hackingverktøy fikk overskrifter over hele kloden. Umiddelbar og uten sidestykke bevis for at NSA samler inn og lagrer uutgitte utnyttelser på null dager til eget bruk er der ute. Dette utgjør en enorm sikkerhetsrisiko 5 måter å beskytte deg selv fra en nulldagers utnyttelseNulldagers utnyttelse, programvaresårbarheter som utnyttes av hackere før en oppdatering blir tilgjengelig, utgjør en ekte trussel mot dataene dine og personvernet. Slik kan du holde hackere i sjakk. Les mer , som vi nå har sett.
Heldigvis Microsoft lappet Eternalblue utnytter i mars før Shadow Brokers 'enorme våpenklasse utnyttelseskorps traff overskriftene. Gitt arten av angrepet, at vi vet at denne spesifikke utnyttelsen er i spill, og den raske smitten, vil det virke som et stort antall organisasjoner har ikke klart å installere den kritiske oppdateringen Hvordan og hvorfor du trenger å installere den sikkerhetsoppdateringen Les mer - mer enn to måneder etter utgivelsen.
Til syvende og sist vil berørte organisasjoner ønske å spille skylden. Men hvor skal fingeren peke? I dette tilfellet er det nok skyld å dele rundt: NSA for lagre farlige nulldagers utnyttelser Hva er en sårbarhet med null dager? [MakeUseOf Explains] Les mer , de malefaktorene som oppdaterte WanaCryptor med de lekke utnyttelsene, de mange organisasjonene som ignorerte en kritisk sikkerhetsoppdatering, og videre organisasjoner som fortsatt bruker Windows XP.
At folk kan ha dødd fordi organisasjoner fant byrden med å oppgradere sitt primære operativsystem, er ganske enkelt oppsiktsvekkende.
Microsoft har straks løslatt en kritisk sikkerhetsoppdatering for Windows Server 2003, Windows 8 og Windows XP.
Microsoft slipper #WannaCrypt beskyttelse for out-of-support-produkter Windows XP, Windows 8 og Windows Server 2003: https://t.co/ZgINDXAdCj
- Microsoft (@Microsoft) 13. mai 2017
Er jeg i faresonen?
WanaCryptor 2.0 spredte seg som en fyrbål. På en måte hadde folk utenfor sikkerhetsbransjen glemt den raske spredningen av en orm, og panikk det kan forårsake. I denne hyperkoblede tidsalderen, og kombinert med krypto-ransomware, var malware-utleverere på en skremmende vinner.
Er du i faresonen? Heldigvis, før USA våknet og gikk sin datadag, fant MalwareTechBlog en drepebryter skjult i malware-koden, og reduserte spredningen av infeksjonen.
Kill-switch involverte et veldig langt nonsensisk domenenavn - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - som skadelig programvare ber om.
Så jeg kan bare legge til "tilfeldigvis stoppet et internasjonalt cyberangrep" til Résuméen min. ^^
- ScarewareTech (@MalwareTechBlog) 13. mai 2017
Hvis forespørselen kommer tilbake (dvs. aksepterer forespørselen), infiserer ikke skadelig programvare maskinen. Dessverre hjelper ikke det noen som allerede er smittet. Sikkerhetsforskeren bak MalwareTechBlog registrerte adressen for å spore nye infeksjoner via forespørslene sine, og skjønte ikke at det var nødhjelpsbryteren.
#Vil gråte nyttelast for forplantning inneholder tidligere uregistrert domene, utførelsen mislykkes nå som domenet er blitt synket pic.twitter.com/z2ClEnZAD2
- Darien Huss (@darienhuss) 12. mai 2017
Dessverre er det muligheten for at andre varianter av ransomware eksisterer, hver med sin egen kill-switch (eller ikke i det hele tatt)
Sårbarheten kan også bli redusert ved å deaktivere SMBv1. Microsoft gir en grundig opplæring om hvordan du gjør dette for Windows og Windows Server. På Windows 10 kan dette være raskt oppnådd ved å trykke Windows-tast + X, velge PowerShell (Admin), og lime inn følgende kode:
Deaktiver-WindowsOptionalFeature -Online -FeatureName smb1protocolSMB1 er en gammel protokoll. Nyere versjoner er ikke sårbare for WanaCryptor 2.0-varianten.
I tillegg, hvis systemet ditt har oppdatert som normalt, er du det usannsynlig å føle de direkte effektene av denne infeksjonen. Når det er sagt, hvis du fikk en NHS-avtale kansellert, bankutbetaling gått galt, eller en viktig pakke ikke klarte å ankomme, har du blitt påvirket, uansett.
Og ord til de kloke, en lappet utnyttelse gjør ikke alltid jobben. Conficker, noen?
Hva skjer etterpå?
I Storbritannia ble WanaCryptor 2.0 opprinnelig beskrevet som et direkte angrep på NHS. Dette har blitt diskontert. Men problemet gjenstår at hundretusener av enkeltpersoner opplevde direkte forstyrrelse på grunn av skadelig programvare.
Den skadelige programvaren kjennetegner et angrep med drastisk utilsiktede konsekvenser. Cybersecurity-ekspert, Dr. Afzal Ashraf, fortalte BBC at “de antagelig angrep et lite selskap forutsatt at de ville få en liten sum penger, men det kom inn i NHS-systemet og nå har statens fullmakt mot dem - fordi regjeringen åpenbart ikke har råd til at denne typen ting skal skje og være vellykket."
Det er ikke bare NHS, selvfølgelig. I Spania, El Mundorapporterer at 85 prosent av datamaskiner på Telefonica ble rammet av ormen. Fedex bekjentgjorde at de var blitt berørt, så vel som Portugal Telecom, og Russlands MegaFon. Og det er uten å ta hensyn til de store leverandørene av infrastruktur.
To bitcoin-adresser opprettet (her og her) for å motta løsepenger inneholder nå en samlet 9,21 BTC (rundt $ 16 000 USD i skrivende stund) fra 42 transaksjoner. Når det er sagt, og som støtter teorien om "utilsiktede konsekvenser", er mangelen på systemidentifikasjon som følger med Bitcoin-betalingene.
Kanskje jeg savner noe. Hvis så mange Wcry-ofre har den samme bitcoin-adressen, hvordan er det de som kan fortelle hvem som har betalt? Noe ...
- BleepingComputer (@BleepinComputer) 12. mai 2017
Så hva skjer videre? Opprydningsprosessen begynner, og berørte organisasjoner teller tapene sine, både økonomiske og databaserte. Videre vil berørte organisasjoner ta en lang, hard titt på deres sikkerhetspraksis og - jeg virkelig, virkelig håp - oppdatering, og etterlater det antikke og nå farlige operativsystemet Windows XP bak.
Vi håper.
Ble du direkte påvirket av WanaCryptor 2.0? Har du mistet data, eller fått en avtale kansellert? Tror du regjeringer bør tvinge oppdragskritisk infrastruktur til å oppgradere? Gi oss beskjed om WanaCryptor 2.0-opplevelsene dine nedenfor og gi oss en del hvis vi har hjulpet deg.
Bildekreditt: Alt jeg gjør via Shutterstock.com
Gavin er seniorforfatter for MUO. Han er også redaktør og SEO Manager for MakeUseOfs kryptofokuserte søsterside, Blocks Decoded. Han har en BA (Hons) samtidsskriving med digital kunstpraksis piller fra åsene i Devon, i tillegg til over et tiår med profesjonell skrivingerfaring. Han liker store mengder te.
