Det globale Ransomware-angreb, og hvordan du beskytter dine data

Reklame

Et massivt cyberattack har ramt computere over hele verden. Den meget virulente selvreplicerende ransomware - kendt som WanaCryptor, Wannacry eller Wcry - har til dels bevillet et National Security Agency (NSA) udnyttelse frigivet i naturen sidste måned Cyberkriminelle besidder CIA-hackingværktøjer: Hvad det betyder for digCentral Intelligence Agency's farligste malware - i stand til at hacking næsten al trådløs forbrugerelektronik - kunne nu sidde i hænderne på tyve og terrorister. Så hvad betyder det for dig? Læs mere af en hackinggruppe kendt som The Shadow Brokers.

Ransomware antages at have inficeret mindst 100.000 computere ifølge antivirusudviklere, Avast. Det massive angreb overvejende målrettede Rusland, Ukraine og Taiwan, men spredte sig til større institutioner i mindst 99 andre lande. Bortset fra at kræve $ 300 (ca. 0,17 Bitcoin i skrivende stund), er infektionen også bemærkelsesværdig for sin flersprogede tilgang til sikring af løsepenge: malware understøtter mere end to dusin Sprog.

Hvad sker der?

WanaCryptor forårsager massiv, næsten hidtil uset forstyrrelse. Ransomware påvirker banker, hospitaler, telekommunikation, strømforsyninger, og anden missionskritisk infrastruktur Når regeringer angriber: Nationstatlig malware udsættesEt cyberwar finder sted lige nu, skjult af internettet, og dets resultater er sjældent observeret. Men hvem er spillerne i dette krigsteater, og hvad er deres våben? Læs mere .

Kun i England, i det mindste 40 NHS (National Health Service) Truster erklærede nødsituationer, hvilket tvang aflysningen af ​​vigtige operationer samt undergrave patientsikkerhed og sikkerhed og næsten helt sikkert føre til dødsfald.

Politiet er på Southport Hospital og ambulancer er 'sikkerhedskopieret' ved A&E, da personalet håndterer den igangværende hakkekrise #NHSpic.twitter.com/Oz25Gt09ft

- Ollie Cowan (@Ollie_Cowan) 12. maj 2017

WanaCryptor dukkede først op i februar, 2017. Den oprindelige version af ransomware ændrede de berørte filtypenavne til ".WNCRY" samt markering af hver fil med strengen "WANACRY!"

WanaCryptor 2.0 spreder sig hurtigt mellem computere ved hjælp af en udnyttelse tilknyttet ligningsgruppen, a hackingkollektivt tæt forbundet med NSA (og rygter stærkt at være deres interne ”beskidte” hacking) enhed). Den respekterede sikkerhedsforsker, Kafeine, bekræftede, at udnyttelsen kendt som ETERNALBLUE eller MS17-010 sandsynligvis ville have vist sig i den opdaterede version.

WannaCry / WanaCrypt0r 2.0 udløser faktisk ET-regel: 2024218 "ET EXPLOIT Mulig ETERNALBLUE MS17-010 Echo Response" pic.twitter.com/ynahjWxTIA

- Kafeine (@kafeine) 12. maj 2017

Flere udnyttelser

Dette ransomware-udbrud er forskelligt fra det, du muligvis allerede har set (og jeg håber, ikke oplevet). WanaCryptor 2.0 kombinerer den lækkede SMB (Server Message Block, en Windows netværks fildelingsprotokol) udnyt med en selvreplicerende nyttelast, så ransomware kan sprede sig fra en sårbar maskine til Næste. Denne løsepenge-orm udskærer den sædvanlige ransomware-leveringsmetode for en inficeret e-mail, link eller anden handling.

Adam Kujawa, en forsker ved Malwarebytes fortalt Ars Technica “Den oprindelige infektionsvektor er noget, vi stadig prøver på at finde ud af… I betragtning af at dette angreb ser ud målrettet, kan det have været enten gennem en sårbarhed i netværksforsvaret eller en meget veludviklet spyd phishing angreb. Uanset hvad, spreder det sig gennem inficerede netværk ved hjælp af EternalBlue-sårbarheden og inficerer yderligere ikke-udsendte systemer. ”

WanaCryptor udnytter også DOUBLEPULSAR, en anden lækket NSA-udnyttelse CIA Hacking & Vault 7: Din guide til den nyeste WikiLeaks-udgivelseAlle taler om WikiLeaks - igen! Men CIA ser ikke rigtig dig via dit smart TV, er det? De lækkede dokumenter er bestemt forfalskninger? Eller måske er det mere kompliceret end det. Læs mere . Dette er en bagdør, der bruges til at injicere og køre ondsindet kode eksternt. Infektionen søger efter værter, der tidligere er inficeret med bagdøren, og når den findes, bruger den eksisterende funktionalitet til at installere WanaCryptor. I tilfælde, hvor værtssystemet ikke har en eksisterende DOUBLEPULSAR-bagdør, vender malware tilbage til ETERNALBLUE SMB-udnyttelsen.

Kritisk sikkerhedsopdatering

Den massive lækage af NSA-hackingværktøjer skabte overskrifter over hele kloden. Øjeblikkelig og uovertruffen dokumentation for, at NSA indsamler og opbevarer uudgivne udnyttelsesdage til nul dage til eget brug er derude. Dette udgør en enorm sikkerhedsrisiko 5 måder at beskytte dig selv mod en nul-dages udnyttelseNul-dages udnyttelse, softwaresårbarheder, der udnyttes af hackere, før en patch bliver tilgængelig, udgør en ægte trussel mod dine data og privatliv. Sådan kan du holde hackere i skak. Læs mere , som vi nu har set.

Helt heldigt Microsoft lappet Eternalblue-udnyttelsen i marts, før Shadow Brokers 'massive våbenklasse-udnyttelseskurv ramte overskrifterne. I betragtning af angrebets art, at vi ved, at denne specifikke udnyttelse er i spil, og den hurtige karakter af infektion, ser det ud til at være et stort antal organisationer har ikke installeret den kritiske opdatering Hvordan & hvorfor du skal installere den sikkerhedspatch Læs mere - mere end to måneder efter udgivelsen.

I sidste ende vil berørte organisationer ønske at spille skylden. Men hvor skal fingeren pege? I dette tilfælde er der nok skyld i at dele: NSA for lagre farlige nul-dages udnyttelser Hvad er en sårbarhed ved nul dage? [MakeUseOf Explains] Læs mere , de malefaktorer, der opdaterede WanaCryptor med de lækkede udbytter, de mange organisationer, der ignorerede en kritisk sikkerhedsopdatering, og yderligere organisationer, der stadig bruger Windows XP.

At folk måske er døde, fordi organisationer fandt byrden ved at opgradere deres primære operativsystem, er ganske enkelt overraskende.

Microsoft har straks frigivet en kritisk sikkerhedsopdatering til Windows Server 2003, Windows 8 og Windows XP.

Microsoft frigiver #WannaCrypt beskyttelse af out-of-support-produkter Windows XP, Windows 8 og Windows Server 2003: https://t.co/ZgINDXAdCj

- Microsoft (@Microsoft) 13. maj 2017

Er jeg i fare?

WanaCryptor 2.0 spredte sig som en ild. På en måde havde folk uden for sikkerhedsbranchen glemt den hurtige spredning af en orm, og panik, det kan forårsage. I denne hyperforbundne tidsalder og kombineret med crypto-ransomware var malware-udbydere på en skræmmende vinder.

Er du i fare? Heldigvis, før USA vågnede op og begyndte sin computerdag, fandt MalwareTechBlog en kill-switch skjult i malware-koden, der begrænsede spredningen af ​​infektionen.

Kill-switch involverede et meget langt nonsensisk domænenavn - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - som malware anmoder om.

Så jeg kan kun tilføje "ved et uheld stoppet et internationalt cyberangreb" til min Résumé. ^^

- ScarewareTech (@MalwareTechBlog) 13. maj 2017

Hvis anmodningen kommer tilbage (dvs. accepterer anmodningen), inficerer malware ikke maskinen. Desværre hjælper det ikke nogen, der allerede er inficeret. Sikkerhedsforskeren bag MalwareTechBlog registrerede adressen for at spore nye infektioner via deres anmodninger, og vidste ikke, at det var nødhjælpskontakten.

#WannaCry forplantnings nyttelast indeholder tidligere uregistreret domæne, eksekvering mislykkes nu, hvor domænet er synket pic.twitter.com/z2ClEnZAD2

- Darien Huss (@darienhuss) 12. maj 2017

Desværre er der muligheden for, at der findes andre varianter af ransomware, hver med deres egen kill-switch (eller slet ikke, som tilfældet er).

Sårbarheden kan også mindskes ved at deaktivere SMBv1. Microsoft leverer en grundig tutorial om, hvordan du gør dette for Windows og Windows Server. I Windows 10 kan dette være hurtigt opnået ved at trykke på Windows-tast + X, vælger PowerShell (Admin), og indsæt følgende kode:

Deaktiver-WindowsOptionalFeature -Online -FeatureName smb1protocol

SMB1 er en gammel protokol. Nyere versioner er ikke sårbare over for WanaCryptor 2.0-varianten.

Hvis dit system derudover er opdateret som normalt, er du det usandsynlig at føle de direkte virkninger af denne særlige infektion. Når det er sagt, hvis du havde aflyst en NHS-aftale, bankbetaling gik forkert, eller en vital pakke ikke nåede frem, er du blevet påvirket uanset.

Og ord til de kloge, en lappet udnyttelse gør ikke altid jobbet. Conficker, nogen?

Hvad sker der nu?

I Storbritannien blev WanaCryptor 2.0 oprindeligt beskrevet som et direkte angreb på NHS. Dette er diskonteret. Men spørgsmålet er fortsat, at hundretusinder af enkeltpersoner oplevede direkte forstyrrelser på grund af malware.

Malwaren har kendetegn ved et angreb med drastisk utilsigtede konsekvenser. Cybersecurity-ekspert, Dr. Afzal Ashraf, fortalte BBC at ”de sandsynligvis angreb et lille firma under antagelse af, at de ville få et lille beløb, men det kom ind i NHS-systemet, og nu har statens fulde magt imod dem - fordi regeringen naturligvis ikke har råd til, at denne slags ting sker og bliver vellykket."

Det er ikke kun NHS, selvfølgelig. I Spanien, El Mundorapporterer, at 85 procent af computere hos Telefonica blev påvirket af ormen. Fedex beklagede, at de var blevet påvirket såvel som Portugal Telecom og Ruslands MegaFon. Og det er uden også at overveje de største infrastrukturudbydere.

To bitcoin-adresser oprettet (her og her) for at modtage løsepenge indeholder nu en samlet 9,21 BTC (ca. $ 16.000 USD i skrivende stund) fra 42 transaktioner. Når det er sagt, og som bekræfter teorien om "utilsigtede konsekvenser", er manglen på systemidentifikation, der følger med Bitcoin-betalingerne.

Måske mangler jeg noget. Hvis så mange Wcry-ofre har den samme bitcoin-adresse, hvordan kan de devs fortælle, hvem der har betalt? Nogle ting ...

- BleepingComputer (@BleepinComputer) 12. maj 2017

Så hvad sker der derefter? Oprydningsprocessen begynder, og berørte organisationer tæller deres tab, både økonomiske og databaserede. Derudover vil berørte organisationer kigge langt igennem på deres sikkerhedspraksis og - jeg virkelig, virkelig håber - opdatering, hvilket forlader det forældede og nu farlige Windows XP-operativsystem bag.

Vi håber.

Blev du direkte påvirket af WanaCryptor 2.0? Har du mistet data, eller har en aftale annulleret? Tror du regeringer skal tvinge missionskritisk infrastruktur til at opgradere? Fortæl os dine WanaCryptor 2.0 oplevelser nedenfor og give os en del, hvis vi har hjulpet dig med det.

Billedkredit: Alt hvad jeg gør via Shutterstock.com