Atacul global Ransomware și cum să vă protejați datele

Publicitate

Un cyberattack masiv a lovit computerele din întreaga lume. Ransomware-ul extrem de virulent care se autoreplică - cunoscut sub numele de WanaCryptor, Wannacry sau Wcry - și-a însușit parțial un exploat al Agenției de Securitate Națională (NSA). eliberat în sălbăticie luna trecută Instrumente de hacking CIA cu cybercriminali: ce înseamnă pentru tineCel mai periculos malware al Agenției Centrale de Informații - capabil să pirateze aproape toate componentele electronice fără fir - ar putea acum să stea în mâinile hoților și teroriștilor. Deci ce înseamnă asta pentru tine? Citeste mai mult de un grup de hackeri cunoscut sub numele de The Shak Brokers.

Ransomware se crede că a infectat cel puțin 100.000 de calculatoare, potrivit dezvoltatorilor de antivirus, stai. Atacul masiv a vizat preponderent Rusia, Ucraina și Taiwanul, dar s-a extins către instituțiile majore din cel puțin 99 de țări. Pe lângă faptul că solicită 300 de dolari (în jur de 0,17 Bitcoin la momentul scrierii), infecția este notabilă pentru abordarea sa multilingvă în asigurarea răscumpărării: programul malware suportă mai mult de două duzini limbi.

Ce se întâmplă?

WanaCryptor provoacă o întrerupere masivă, aproape fără precedent. Ransomware-ul afectează băncile, spitalele, telecomunicațiile, serviciile de energie electrică, și alte infrastructuri critice pentru misiune Când atacurile guvernelor: expunerea unor programe malware din statul naționalUn cyberwar are loc chiar acum, ascuns de internet, rezultatele sale fiind rareori observate. Dar cine sunt jucătorii acestui teatru de război și care sunt armele lor? Citeste mai mult .

Numai în S.U.A., macar 40 Trusturi NHS (Serviciul Național de Sănătate) Trusturi declarate de urgență, forțând anularea importantei intervențiile chirurgicale, precum și subminarea siguranței și securității pacientului și care duce aproape sigur la decese.

Poliția se află la Spitalul Southport, iar ambulanțele sunt „susținute” la A&E, în timp ce personalul face față crizei de hack-uri în curs #NHSpic.twitter.com/Oz25Gt09ft

- Ollie Cowan (@Ollie_Cowan) 12 mai 2017

WanaCryptor a apărut pentru prima dată în februarie 2017. Versiunea inițială a ransomware-ului a modificat extensiile de fișiere afectate în „.WNCRY”, precum și marcarea fiecărui fișier cu șirul „WANACRY!”

WanaCryptor 2.0 se răspândește rapid între computere folosind un exploit asociat cu Equation Group, a Colectivul de piraterie asociat strâns cu NSA (și se zice că sunt hackingul lor „murdar” din interior unitate). Cercetătorul de securitate respectat, Kafeine, a confirmat că exploit-ul cunoscut sub numele de ETERNALBLUE sau MS17-010 a fost probabil prezentat în versiunea actualizată.

WannaCry / WanaCrypt0r 2.0 declanseaza intr-adevar regula ET: 2024218 "ET EXPLOIT Posibil ETERNALBLUE MS17-010 Echo Response" pic.twitter.com/ynahjWxTIA

- Kafeine (@kafeine) 12 mai 2017

Exploatări multiple

Acest focar de ransomware este diferit de ceea ce ați văzut deja (și sper că nu a fost experimentat). WanaCryptor 2.0 combină SMB-ul scurs (Server Message Block, un protocol de partajare a fișierelor din rețeaua Windows) exploatați cu o sarcină utilă auto-replicantă care permite ransomware-ului să se răspândească de la o mașină vulnerabilă la Următor →. Acest vierme de răscumpărare elimină metoda obișnuită de livrare ransomware a unui e-mail, link sau altă acțiune infectată.

Adam Kujawa, cercetător la Malwarebytes a declarat Ars Technica „Vectorul inițial al infecției este ceva ce încă încercăm să aflăm… Având în vedere că acest atac pare direcționat, s-ar putea să fi fost printr-o vulnerabilitate în apărarea rețelei sau printr-un phishing de suliță foarte bine lucrat atac. Indiferent, se răspândește prin rețelele infectate, folosind vulnerabilitatea EternalBlue, infectând sisteme suplimentare neatacate. "

WanaCryptor profită de asemenea de DOUBLEPULSAR, un alt exploat NSA scurs CIA Hacking & Vault 7: Ghidul dvs. pentru cea mai recentă versiune WikiLeaksToată lumea vorbește despre WikiLeaks - din nou! Dar CIA nu te urmărește cu adevărat prin intermediul televizorului inteligent, nu-i așa? Sigur că documentele scurse sunt false? Sau poate este mai complicat de atât. Citeste mai mult . Acesta este un backdoor folosit pentru a injecta și rula cod rău intenționat de la distanță. Infecția scanează gazdele infectate anterior cu spatele din spate, iar atunci când este găsit folosește funcționalitatea existentă pentru a instala WanaCryptor. În cazurile în care sistemul gazdă nu are un backdoor DOUBLEPULSAR existent, programul malware revine la exploatarea ETERNALBLUE SMB.

Actualizare critică de securitate

Scurgerea masivă a instrumentelor de hacking NSA a făcut titluri în întreaga lume. Există dovezi imediate și de neegalat conform cărora ANS colectează și stochează exploatări inedite de zile zero pentru utilizarea proprie. Aceasta prezintă un risc de securitate enorm 5 modalități de a vă proteja de o exploatare de Zero DayExploatările Zero Day, vulnerabilitățile software care sunt exploatate de hackeri înainte ca un patch să fie disponibil, reprezintă o amenințare autentică pentru datele și confidențialitatea dvs. Iată cum puteți menține hackerii în libertate. Citeste mai mult , așa cum am văzut acum.

Din fericire, Microsoft peticit exploatarea Eternalblue din martie, înainte ca masivul de exploatare-armă de tip Brokers Shadow să lovească titlurile. Având în vedere natura atacului, că știm că acest exploat specific este în joc, iar natura rapidă a infecției, ar părea un număr imens de organizații nu au reușit să instaleze actualizarea critică Cum și de ce trebuie să instalați acel patch de securitate Citeste mai mult - la mai mult de două luni de la eliberare.

În cele din urmă, organizațiile afectate vor dori să joace jocul de vină. Dar unde ar trebui să arate degetul? În acest caz, există o vină suficientă pentru a împărtăși: ANS pentru stocarea de exploatări periculoase de zero zile Ce este o vulnerabilitate Zero Day? [FaceUseOf Explică] Citeste mai mult , maleficii care au actualizat WanaCryptor cu exploatările scurse, numeroasele organizații care au ignorat o actualizare critică de securitate și alte organizații care încă utilizează Windows XP.

Este posibil ca oamenii să fi murit din cauză că organizațiile au considerat că povara modernizării sistemului lor de operare primar este pur și simplu uimitoare.

Microsoft au eliberat imediat o actualizare critică de securitate pentru Windows Server 2003, Windows 8 și Windows XP.

Microsoft lansează #WannaCrypt protecție pentru produsele fără suport Windows XP, Windows 8 și Windows Server 2003: https://t.co/ZgINDXAdCj

- Microsoft (@Microsoft) 13 mai 2017

Sunt la risc?

WanaCryptor 2.0 s-a răspândit ca focul sălbatic. Într-un anumit sens, persoanele din afara industriei de securitate uitaseră răspândirea rapidă a unui vierme și o panică poate provoca. În această epocă hiper-conectată și combinate cu cripto-ransomware, furnizorii de malware au fost pentru un câștigător terifiant.

Ești în pericol? Din fericire, înainte ca Statele Unite să se trezească și să meargă în ziua de calcul, MalwareTechBlog a găsit un switch-switch ascuns în codul malware, reducând răspândirea infecției.

Switch-switch-ul a implicat un nume de domeniu nonsensic foarte lung - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - căruia malware face o solicitare.

Așa că nu pot adăuga la „Resumé” meu „oprirea accidentală a unui atac cibernetic internațional”. ^^

- ScarewareTech (@MalwareTechBlog) 13 mai 2017

Dacă solicitarea revine în direct (adică acceptă solicitarea), malware-ul nu infectează aparatul. Din păcate, acest lucru nu ajută pe nimeni deja infectat. Cercetătorul de securitate din spatele MalwareTechBlog a înregistrat adresa pentru a urmări noile infecții prin cererile lor, fără să-și dea seama că a fost comutatorul pentru uciderea de urgență.

#Vreau să plâng sarcina utilă de propagare conține un domeniu neînregistrat anterior, execuția eșuează acum că domeniul a fost scufundat pic.twitter.com/z2ClEnZAD2

- Darien Huss (@darienhuss) 12 mai 2017

Din păcate, există posibilitatea ca alte variante ale ransomware-ului să existe, fiecare cu propriul switch-switch (sau deloc, după caz).

Vulnerabilitatea poate fi, de asemenea, atenuată prin dezactivarea SMBv1. Microsoft oferă un tutorial complet despre cum se face acest lucru pentru Windows și Windows Server. Pe Windows 10, acest lucru poate fi rapid obținut prin apăsare Cheia Windows + X, selectarea PowerShell (Admin)și lipirea următorului cod:

Dezactivați-WindowsOptionalFeature -Online -FeatureName smb1protocol

SMB1 este un protocol vechi. Versiunile mai recente nu sunt vulnerabile la varianta WanaCryptor 2.0.

În plus, dacă sistemul dvs. s-a actualizat normal, sunteți improbabil pentru a simți efectele directe ale acestei infecții particulare. Acestea fiind spuse, dacă ați anulat o întâlnire la NHS, plata bancară s-a stins sau dacă nu a reușit să ajungă un pachet vital, nu ați fost afectat.

Și cuvântul înțeleptului, o exploatare plasată nu întotdeauna face treaba. Conficker, cineva?

Ce se întâmplă în continuare?

În U.K., WanaCryptor 2.0 a fost descris inițial ca un atac direct asupra NHS. Acest lucru a fost redus. Dar problema rămâne că sute de mii de persoane au suferit perturbări directe din cauza programelor malware.

Programul malware poartă caracteristici ale unui atac cu consecințe drastic neintenționate. Expert în securitate cibernetică, Dr. Afzal Ashraf, a spus BBC că „au atacat probabil o companie mică presupunând că vor primi o sumă mică de bani, dar aceasta a intrat în sistemul NHS și acum au puterea deplină a statului împotriva lor - pentru că, evident, guvernul nu își poate permite ca acest lucru să se întâmple și să fie de succes."

Nu este doar NHS, desigur. În Spania, lumearaportează că 85 la sută dintre calculatoare la Telefonica au fost afectate de vierme. Fedex a confirmat că au fost afectate, precum și Portugal Telecom și MegaFon din Rusia. Și asta fără a ține cont și de furnizorii majori de infrastructură.

Două adrese bitcoin create (aici și aici) pentru a primi răscumpărate conțin acum un total de 9,21 BTC (în jur de 16 000 USD la momentul scrierii) din 42 de tranzacții. Acestea fiind spuse și care coroborează teoria „consecințelor neintenționate” este lipsa identificării sistemului oferite cu plățile Bitcoin.

Poate că îmi lipsește ceva. Dacă atât de multe victime Wcry au aceeași adresă bitcoin, cum sunt dezvoltatorii care pot spune cine a plătit? Ceva ...

- BleepingComputer (@BleepinComputer) 12 mai 2017

Ce se întâmplă mai departe? Procesul de curățare începe, iar organizațiile afectate își numără pierderile, atât financiare, cât și bazate pe date. Mai mult, organizațiile afectate vor arunca o privire lungă și grea asupra practicilor lor de securitate și - I într-adevăr, cu adevărat speranță - actualizare, lăsând sistemul de operare Windows XP antichizat și acum periculos in spate.

Noi speram.

Ați fost direct afectat de WanaCryptor 2.0? Ați pierdut date sau ați fost anulată o programare? Credeți că guvernele ar trebui să forțeze modernizarea infrastructurii critice pentru misiune? Vă rugăm să ne cunoaștem experiențele WanaCryptor 2.0 de mai jos și dați-ne un share dacă vă ajutăm.

Credit imagine: tot ceea ce fac prin Shutterstock.com