Global Ransomware Attack och hur skyddar du dina data
En enorm cyberattack har slagit datorer över hela världen. Den mycket virulenta självreplikerande ransomwareen, som kallas WanaCryptor, Wannacry, eller Wcry, har delvis beviljats ett NSA-säkerhetsutrymme som släpptes ut i naturen i förra månaden. Cybercriminals Possess CIA Hacking Tools: Vad det här betyder för dig Cyberkriminella har CIA Hacking Verktyg: Vad det här betyder för dig Central Intelligensbyråns farligaste malware - som kan hacka nästan all trådlös konsumentelektronik - kunde nu sitta i händerna på tjuvar och terrorister. Så vad betyder det för dig? Läs mer av en hackinggrupp som kallas The Shadow Brokers.
Ransomware tros ha infekterat minst 100 000 datorer, enligt antivirusutvecklare Avast. Den massiva attacken riktade främst Ryssland, Ukraina och Taiwan, men spred sig till stora institutioner i minst 99 andra länder. Bortsett från att kräva $ 300 (cirka 0,17 Bitcoin vid skrivningstidpunkten) är infektionen också anmärkningsvärd för dess flerspråkiga inställning för att säkra lösenordningen: malware stöder mer än två dussin språk.
Vad händer?
WanaCryptor orsakar massiva, nästan oöverträffade störningar. Ransomware påverkar banker, sjukhus, telekommunikation, kraftverktyg och annan missionskritisk infrastruktur när regeringens attack: Nationell statlig skadlig kod utsätts när regeringar attackerar: Nation-State Malware Exposed En cyberwar äger rum just nu, dold av internet, dess resultat observerades sällan. Men vem är spelarna i krigets teater och vad är deras vapen? Läs mer .
I U.K. ensam förklarade åtminstone 40 NHS (National Health Service) Trusts nödsituationer, tvingar avbrytandet av viktiga operationer, liksom att undergräva patientsäkerhet och säkerhet och nästan säkert leder till dödsfall.
Polisen är på Southport Hospital & ambulanser är backade upp på A & E eftersom personal klarar av den pågående hackkrisen #NHS pic.twitter.com/Oz25Gt09ft
- Ollie Cowan (@Ollie_Cowan) 12 maj 2017
WanaCryptor uppstod först i februari 2017. Den ursprungliga versionen av ransomware ändrade drabbade filtillägg till “.WNCRY” samt att markera varje fil med strängen “WANACRY!”
WanaCryptor 2.0 sprider sig snabbt mellan datorer med hjälp av ett utnyttjande som hör samman med ekvationskoncernen, ett hackingskollektiv nära associerat med NSA (och starkt ryktas att de är egna “smutsig” hackningsenhet). Respekterad säkerhetsforskare, Kafeine, bekräftade att exploateringen som kallades ETERNALBLUE eller MS17-010 sannolikt skulle ha presenterat i den uppdaterade versionen.
WannaCry / WanaCrypt0r 2.0 utlöser verkligen ET-regeln: 2024218 "ET EXPLOIT Möjlig ETERNALBLUE MS17-010 Echo Response" pic.twitter.com/ynahjWxTIA
- Kafein (@kafeine) 12 maj 2017
Flera utmaningar
Det här ransomware-utbrottet skiljer sig från vad du kanske redan har sett (och jag hoppas inte upplevt). WanaCryptor 2.0 kombinerar det läckta SMB (Server Message Block, ett Windows-nätverk fildelningsprotokoll) utnyttja med en självreplikerande nyttolast som gör att ransomware kan spridas från en sårbar maskin till nästa. Denna lösenorm snurar ut den vanliga ransomware leveransmetoden för en infekterad e-post, länk eller annan åtgärd.
Adam Kujawa, en forskare vid Malwarebytes, berättade för Ars Technica “Den första infektionsvektorn är något som vi fortfarande försöker ta reda på ... Med tanke på att denna attack verkar riktade, kan det ha varit antingen genom en sårbarhet i nätverkssvaret eller ett väldigt välskapat spjutfiskeangrepp. Oavsett, det sprider sig via smittade nätverk med hjälp av EternalBlue sårbarheten, infekterar ytterligare omatchade system.”
WanaCryptor utnyttjar också DOUBLEPULSAR, en annan läckt NSA exploaterar CIA Hacking & Vault 7: Din guide till den senaste WikiLeaks-versionen CIA Hacking & Vault 7: Din guide till den senaste WikiLeaks Release Alla pratar om WikiLeaks - igen! Men CIA tittar inte riktigt på dig via din smarta TV, är det? Visst är de läckta dokumenten falska? Eller kanske är det mer komplicerat än det. Läs mer . Det här är en bakdörr som används för att injicera och köra skadlig kod på distans. Infektionen skannar för värdar som tidigare smittats med bakdörren, och när de hittades används den befintliga funktionaliteten för att installera WanaCryptor. I de fall värdsystemet inte har en existerande DOUBLEPULSAR bakdörr, återgår malware tillbaka till ETERNALBLUE SMB exploit.
Kritisk säkerhetsuppdatering
Den massiva läckan av NSA-hackningsverktyg gjorde rubriker över hela världen. Omedelbart och oöverträffat bevis på att NSA samlar in och lagrar odelade nolldagars utnyttjande för egen användning är där ute. Detta innebär en enorm säkerhetsrisk 5 sätt att skydda dig från en dag utan användning 5 sätt att skydda dig från en dag utan exploatering Nolldagars utnyttjande, programvara sårbarheter som utnyttjas av hackare innan en patch blir tillgänglig, utgör en äkta hot mot din data och integritet. Så här kan du hålla hackare i sjön. Läs mer, som vi nu har sett.
Fortunately, Microsoft patched Eternalblue exploit i mars innan Shadow Brokers massiva vapen-grade exploit-trove slog rubrikerna. Med tanke på attackernas natur, som vi vet att det här specifika utnyttjandet är i spel, och infektionens snabba natur, verkar det som ett stort antal organisationer har misslyckats med att installera den kritiska uppdateringen. Hur och varför behöver du installera den säkerhetsplåten Hur & Varför behöver du installera den säkerhetspatchen Läs mer - mer än två månader efter det att den släpptes.
I slutändan vill berörda organisationer vilja spela skuldspelet. Men vart ska fingret peka? I det här fallet finns det tillräckligt med skuld att dela runt: NSA för lagring av farliga nolldagars exploits Vad är en nollpunktsäkerhet? [MakeUseOf Förklarar] Vad är en Säkerhetsproblem för nolldagen? [MakeUseOf Explains] Read More, de manfaktorer som uppdaterade WanaCryptor med de läckta exploaterna, de många organisationerna som ignorerade en kritisk säkerhetsuppdatering och ytterligare organisationer som fortfarande använder Windows XP.
Att människor kan ha dött eftersom organisationer som befinner sig i byrån för att uppgradera sina primära operativsystem är helt enkelt häpnadsväckande.
Microsoft har omedelbart släppt en kritisk säkerhetsuppdatering för Windows Server 2003, Windows 8 och Windows XP.
Microsoft släpper #WannaCrypt-skydd för out-of-support-produkter Windows XP, Windows 8 och Windows Server 2003: https://t.co/ZgINDXAdCj
- Microsoft (@Microsoft) 13 maj, 2017
Är jag i riskzonen??
WanaCryptor 2.0 spridas som ett bränder. På ett sätt hade personer utanför säkerhetsbranschen glömt den snabba spridningen av en mask och panik det kan orsaka. I denna hyperlänkade ålder, och i kombination med krypto-ransomware, var malwarepraktikerna på en skrämmande vinnare.
Är du i riskzonen? Lyckligtvis hittade MalwareTechBlog innan USA slog sig upp och gick om sin datortag, en dödswitch som doldes i skadlig kod, vilket begränsade infektionens spridning.
Kill-switchen involverade ett mycket länge otillräckligt domännamn - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - att skadlig kod gör en begäran att.
Så jag kan bara lägga till "oavsiktligt stoppat en internationell cyberattack" till min resumé. ^^
- ScarewareTech (@MalwareTechBlog) 13 maj 2017
Om begäran kommer tillbaka live (dvs. accepterar begäran), smittar malware inte maskinen. Tyvärr hjälper det inte någon som redan är smittad. Säkerhetsforskaren bakom MalwareTechBlog registrerade adressen för att spåra nya infektioner via deras förfrågningar, utan att inse att det var nöddrömbrytaren.
#WannaCry utbrednings nyttolast innehåller tidigare oregistrerad domän, exekveringen misslyckas nu den domänen har sinkholed pic.twitter.com/z2ClEnZAD2
- Darien Huss (@darienhuss) 12 maj 2017
Tyvärr finns det möjlighet att andra varianter av ransomware finns, var och en med sin egen dödkontakt (eller inte alls, beroende på vad som är fallet).
Sårbarheten kan också mildras genom att inaktivera SMBv1. Microsoft ger en grundlig handledning om hur man gör det för Windows och Windows Server. På Windows 10 kan detta snabbt nås genom att trycka på Windows-tangent + X, väljer PowerShell (Admin), och klistra in följande kod:
Inaktivera-WindowsOptionalFeature -Online -FeatureName smb1protocol
SMB1 är ett gammalt protokoll. Nyare versioner är inte sårbara för WanaCryptor 2.0-varianten.
Dessutom, om ditt system har uppdaterat som vanligt, är du osannolik att känna de direkta effekterna av denna speciella infektion. Med det sagt, om du hade ett NHS-avtal avbrutet, bankbetalningen gick fel, eller ett viktigt paket misslyckades att komma fram, har du blivit påverkad, oavsett om.
Och ord för de kloka gör det inte alltid ett jobbat arbete. Conficker, någon?
Vad händer sen?
I U.K. beskrivs WanaCryptor 2.0 ursprungligen som en direkt attack på NHS. Detta har diskonterats. Men problemet kvarstår att hundratusentals personer upplevde direkt störningar på grund av skadlig kod.
Malware bär kännetecken för en attack med drastiskt oavsiktliga konsekvenser. Cybersecurity expert, Dr. Afzal Ashraf, berättade för BBC det “de anföll antagligen ett litet företag, förutsatt att de skulle få lite pengar, men det gick in i NHS-systemet och nu har de statens fulla styrka mot dem - för att regeringen självklart inte har råd för att den här typen av saker ska hända och bli framgångsrik.”
Det är inte bara NHS, förstås. I Spanien, El Mundo rapportera att 85 procent av datorerna på Telefonica påverkades av masken. Fedex beklagade att de hade påverkats, liksom Portugal Telecom och Rysslands MegaFon. Och det är utan att överväga de stora infrastrukturleverantörerna också.
Två bitcoinadresser skapade (här och här) för att ta emot lösenord innehåller nu en kombinerad 9,21 BTC (cirka 16 000 USD vid skrivetiden) från 42 transaktioner. Som sagt och bekräftar “oavsiktliga konsekvenser” teori, är bristen på systemidentifikation som tillhandahålls med Bitcoin-betalningarna.
Kanske saknar jag något. Om så många Wcry-offer har samma bitcoin-adress, hur kan devs säga till vem som betalas? somethings ??.
- BleepingComputer (@BleepinComputer) 12 maj 2017
Så vad händer nästa? Rengöringsprocessen börjar och berörda organisationer räknar med sina förluster, både finansiella och databaserade. Dessutom kommer de berörda organisationerna att ta en lång och hård titt på sina säkerhetsrutiner och - jag hoppas verkligen - uppdatera, vilket lämnar det föråldrade och nu farliga operativsystemet Windows XP bakom.
Vi hoppas.
Har du blivit direkt påverkad av WanaCryptor 2.0? Har du förlorat data, eller har ett avbrott avbrutits? Tror du att regeringar bör tvinga missionskritisk infrastruktur att uppgradera? Låt oss veta dina WanaCryptor 2.0-erfarenheter nedan och ge oss en del om vi har hjälpt dig.
Bildkredit: Allt jag gör via Shutterstock.com
Utforska mer om: Hacking, Ransomware.