Globálny útok na Ransomware a ako chrániť vaše údaje

Reklama

Masívny kybernetický útok zasiahol počítače po celom svete. Vysoko virulentný samoreplikujúci sa ransomware - známy ako WanaCryptor, Wannacry alebo Wcry - si čiastočne vyhradil využitie národnej bezpečnostnej agentúry (NSA). prepustený do voľnej prírody minulý mesiac Počítačoví zločinci majú hackerské nástroje CIA: Čo to pre vás znamenáNajnebezpečnejší malware ústrednej spravodajskej služby - schopný preniknúť takmer do celej bezdrôtovej spotrebnej elektroniky - by teraz mohol sedieť v rukách zlodejov a teroristov. Čo to pre vás znamená? Čítaj viac hackerskou skupinou známou ako The Shadow Brokers.

Podľa vývojárov antivírusových programov napadlo ransomware najmenej 100 000 počítačov. avast. Masívny útok bol zameraný predovšetkým na Rusko, Ukrajinu a Taiwan, ale rozšíril sa na hlavné inštitúcie najmenej v 99 ďalších krajinách. Okrem náročných 300 dolárov (približne 0,17 bitcoínu v čase písania) je infekcia pozoruhodná za jeho viacjazyčný prístup k zabezpečeniu výkupného: malware podporuje viac ako dve desiatky jazykmi.

Čo sa deje?

WanaCryptor spôsobuje masívne, takmer bezprecedentné narušenie. Ransomware ovplyvňuje banky, nemocnice, telekomunikácie, energetické spoločnosti, a iná kritická infraštruktúra Keď vlády napadnú: Odhalený malvér štátuKybernetický vojak sa práve teraz odohráva, skrytý internetom, jeho výsledky sa zriedka pozorujú. Kto sú však hráči tohto vojnového divadla a aké sú ich zbrane? Čítaj viac .

Len v Spojenom kráľovstve najmenej 40 NHS (National Health Service) Trusts vyhlásil mimoriadnu udalosť a nútil zrušenie dôležitých chirurgické zákroky, ako aj oslabenie bezpečnosti a ochrany pacientov, ktoré takmer určite vedú k osudovosti.

Polícia je v nemocnici Southport a sanitky sú v A&E „zálohované“, pretože pracovníci sa vyrovnávajú s prebiehajúcou hackerskou krízou #NHSpic.twitter.com/Oz25Gt09ft

- Ollie Cowan (@Ollie_Cowan) 12. mája 2017

WanaCryptor sa prvýkrát objavil vo februári 2017. Počiatočná verzia ransomware zmenila prípony súborov, ktorých sa to týka, na „.WNCRY“, ako aj označenie každého súboru reťazcom „WANACRY!“.

WanaCryptor 2.0 sa rýchlo šíri medzi počítačmi pomocou exploitu spojeného s Equation Group, a hackerské kolektívy úzko spojené s NSA (a ťažko sa hovorí, že sú ich „špinavými“ hackingmi) Jednotka). Údajný výskumný pracovník v oblasti bezpečnosti, Kafeine, potvrdil, že zneužitie známe ako ETERNALBLUE alebo MS17-010 sa pravdepodobne objavilo v aktualizovanej verzii.

WannaCry / WanaCrypt0r 2.0 skutočne spúšťa pravidlo ET: 2024218 „ET EXPLOIT Možná ETERNALBLUE MS17-010 Echo Response“ pic.twitter.com/ynahjWxTIA

- Kafeín (@ kafeín) 12. mája 2017

Viacnásobné využitie

Toto prepuknutie ransomware sa líši od toho, čo ste už možno videli (a dúfam, že ho nezažili). WanaCryptor 2.0 kombinuje únikové SMB (Server Message Block, protokol zdieľania sieťových súborov Windows) využívajte so samoreprodukujúcim sa užitočným zaťažením, ktoré umožňuje ransomware šíriť sa z jedného zraniteľného počítača na internet Ďalšie. Tento výkupný červ vylúči obvyklý spôsob doručenia infikovaného e-mailu, odkazu alebo inej akcie pomocou ransomware.

Adam Kujawa, výskumník v Malwarebytes povedal Ars Technica „Počiatočný vektor infekcie je niečo, čo sa stále snažíme zistiť... Vzhľadom na to, že sa zdá, že tento útok je cielené, mohlo to byť buď zraniteľnosťou v obrane siete alebo veľmi dobre vypracovaným phishingom oštepu zaútočiť. Bez ohľadu na to sa šíri infikovanými sieťami pomocou zraniteľnosti EternalBlue a infikuje ďalšie nespravované systémy. “

WanaCryptor tiež využíva DOUBLEPULSAR, ďalšie vykorisťované využitie NSA CIA Hacking & Vault 7: Váš sprievodca najnovším vydaním WikiLeaksKaždý hovorí o WikiLeaks - znova! Ale CIA vás skutočne nevidí prostredníctvom vašej inteligentnej televízie, však? Uniknuté dokumenty sú určite falšované? Alebo možno je to zložitejšie. Čítaj viac . Toto je backdoor, ktoré sa používa na diaľkové vstrekovanie a spúšťanie škodlivého kódu. Táto infekcia vyhľadáva hostiteľov, ktorí boli predtým infikovaní zadným počítačom, a ak je nájdená, použije existujúcu funkciu na inštaláciu programu WanaCryptor. V prípade, že hostiteľský systém nemá zadné zadné dvierka DOUBLEPULSAR, malware sa vráti naspäť na využitie ETERNALBLUE SMB.

Kritická aktualizácia zabezpečenia

Masívny únik hackerských nástrojov NSA priniesol titulky po celom svete. Existujú okamžité a bezkonkurenčné dôkazy o tom, že NSA zbiera a ukladá nevydané nevyužité nočné ťažby na vlastné použitie. To predstavuje obrovské bezpečnostné riziko 5 spôsobov, ako sa chrániť pred nulovým zneužitímNulové zneužitie, zraniteľné miesta softvéru, ktoré hackeri zneužívajú skôr, ako bude k dispozícii oprava, predstavujú skutočnú hrozbu pre vaše údaje a súkromie. Takto môžete hackerov udržať na uzde. Čítaj viac , ako sme už videli.

Našťastie, Microsoft oprava vykorisťovanie Eternalblue v marci predtým, ako masívne vykorisťovanie zbraní Shadow Brokers zasiahlo titulky. Vzhľadom na povahu útoku, že vieme, že sa jedná o tento konkrétny zneužívanie a na rýchly charakter infekcie, zdá sa, že sa jedná o veľké množstvo organizácií. zlyhala inštalácia kritickej aktualizácie Ako a prečo potrebujete nainštalovať túto bezpečnostnú opravu Čítaj viac - viac ako dva mesiace po jeho vydaní.

Nakoniec postihnuté organizácie budú chcieť hrať hru viny. Ale kde by mal ukazovať prst? V tomto prípade je dosť viny na zdieľanie: NSA pre hromadenie nebezpečných vyťažení za deň Čo je to chyba zabezpečenia nulového dňa? [MakeUseOf vysvetľuje] Čítaj viac , malfaktori, ktorí aktualizovali WanaCryptor únikovými zneužitiami, početné organizácie, ktoré ignorovali kritickú aktualizáciu zabezpečenia, a ďalšie organizácie, ktoré stále používajú systém Windows XP.

To, že ľudia možno zomreli, pretože organizácie zistili, že bremeno modernizácie ich primárneho operačného systému je jednoducho prekvapujúce.

Microsoft má okamžite prepustený dôležitá aktualizácia zabezpečenia pre systémy Windows Server 2003, Windows 8 a Windows XP.

Vydania spoločnosti Microsoft #WannaCrypt ochrana produktov mimo podpory Windows XP, Windows 8 a Windows Server 2003: https://t.co/ZgINDXAdCj

- Microsoft (@Microsoft) 13. mája 2017

Som v ohrození?

WanaCryptor 2.0 sa šíri ako požiar. V určitom zmysle ľudia mimo bezpečnostného priemyslu zabudli na rýchle šírenie červa a paniku to môže spôsobiť. V tomto hyperspojenom veku a v kombinácii s kryptomansanwarom boli malwaroví vynálezcovia hrozivým víťazom.

Ste v ohrození? Našťastie pred tým, ako sa Spojené štáty prebudili a pokračovali v výpočtovom dni, MalwareTechBlog našiel v škodlivom kóde skrytý spínač, ktorý obmedzil šírenie infekcie.

Prepínač kill zahŕňal veľmi dlhý nezmyselný názov domény - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - na ktorý malvér žiada.

K môjmu Résumé teda môžem pridať len „náhodne zastavený medzinárodný kybernetický útok“. ^^

- ScarewareTech (@MalwareTechBlog) 13. mája 2017

Ak sa žiadosť ožije znova (t. J. Žiadosť prijme), škodlivý softvér počítač nenapáda. Bohužiaľ, nepomôže to už infikovaným. Výskumník bezpečnosti za MalwareTechBlog zaregistroval adresu na sledovanie nových infekcií prostredníctvom ich požiadaviek, neuvedomujúc si, že to bol núdzový vypínač.

#WannaCry užitočné zaťaženie propagácie obsahuje predtým neregistrovanú doménu, vykonávanie zlyhá teraz, keď bola doména preplnená pic.twitter.com/z2ClEnZAD2

- Darien Huss (@darienhuss) 12. mája 2017

Bohužiaľ existuje možnosť, že existujú ďalšie varianty ransomwaru, každá s vlastným zabíjačom (alebo vôbec, podľa okolností).

Zraniteľnosť sa dá zmierniť aj deaktiváciou SMBv1. Spoločnosť Microsoft poskytuje podrobný návod o tom, ako to urobiť pre Windows a Windows Server. V systéme Windows 10 to môže byť rýchlo sa dosiahne stlačením Kláves Windows + X, výber PowerShell (správca)a vloženie nasledujúceho kódu:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

SMB1 je starý protokol. Novšie verzie nie sú citlivé na variant WanaCryptor 2.0.

Okrem toho, ak sa váš systém aktualizoval ako normálny, máte pravdu nepravdepodobný cítiť priame účinky tejto konkrétnej infekcie. To znamená, že ak ste zrušili schôdzku NHS, bankové platby sa zhoršili alebo sa nepodarilo doručiť dôležitý balík, bez ohľadu na to vás to ovplyvnilo.

A povedzme múdrym, záplatované vykorisťovanie nie vždy robí svoju prácu. Conficker, niekto?

Čo sa stane ďalej?

V Spojenom kráľovstve bol WanaCryptor 2.0 pôvodne opísaný ako priamy útok na NHS. Toto bolo znížené. Problém však zostáva, že stovky tisíc jednotlivcov zažili priame prerušenie v dôsledku škodlivého softvéru.

Malvér nesie znaky útoku s drasticky nezamýšľanými dôsledkami. Afzal Ashraf, expert na kybernetickú bezpečnosť, povedal BBC že „pravdepodobne zaútočili na malú spoločnosť za predpokladu, že dostanú malé množstvo peňazí, ale dostali sa do systému NHS a teraz majú proti nim plnú moc štátu - pretože vláda si samozrejme nemôže dovoliť, aby sa to stalo a stalo úspešný."

Samozrejme to nie je len NHS. V Španielsku, El Mundouvádza, že 85 percent počítačov v Telefónici boli ovplyvnení červom. Fedex priznal, že boli postihnutí, rovnako ako Portugal Telecom a ruský MegaFon. A to bez ohľadu na hlavných poskytovateľov infraštruktúry.

Vytvorené dve bitcoinové adresy (tu a tu) na získanie výkupného teraz obsahuje kombinovaných 9,21 BTC (približne 16 000 USD v čase písania) zo 42 transakcií. To potvrdzuje a potvrdzuje teóriu „nezamýšľaných dôsledkov“ je nedostatok systémovej identifikácie poskytovanej s bitcoínovými platbami.

Možno mi niečo chýba. Ak má toľko obetí Wcry rovnakú bitcoínovú adresu, ako môžu devs povedať, kto zaplatil? Niečo ...

- BleepingComputer (@BleepinComputer) 12. mája 2017

Čo sa stane potom? Začne sa proces čistenia a postihnuté organizácie spočítajú svoje straty, či už finančné alebo na základe údajov. Dotknuté organizácie sa navyše podrobne a podrobne venujú svojim bezpečnostným postupom a - skutočne, skutočne nádej - aktualizácia, ponechávajúc zastaraný a teraz nebezpečný operačný systém Windows XP pozadu.

Dúfame.

Bol vás WanaCryptor 2.0 priamo dotknutý? Stratili ste údaje alebo ste schôdzku zrušili? Myslíte si, že vlády by mali prinútiť modernizáciu infraštruktúry dôležitej pre misie? Dajte nám vedieť nižšie uvedené skúsenosti s WanaCryptor 2.0 a dajte nám vedieť, ak sme vám pomohli.

Obrázok Kredit: Všetko, čo robím, na webe Shutterstock.com