Peter Holmes
0 
1292
170
Ogromny cyberatak uderzył w komputery na całym świecie. Wysoce zjadliwe samoreplikujące się oprogramowanie ransomware - znane jako WanaCryptor, Wannacry lub Wcry - częściowo zawłaszczyło exploita Narodowej Agencji Bezpieczeństwa (NSA) wydanego na wolności w zeszłym miesiącu Cyberprzestępcy posiadają narzędzia hakerskie CIA: Co to oznacza dla Ciebie Cyberprzestępcy posiadają hakowanie CIA Narzędzia: co to dla Ciebie oznacza Najniebezpieczniejsze złośliwe oprogramowanie Centralnej Agencji Wywiadowczej - zdolne do włamania się do niemal całej bezprzewodowej elektroniki użytkowej - może teraz znaleźć się w rękach złodziei i terrorystów. Co to dla ciebie znaczy? przez grupę hakerską znaną jako The Shadow Brokers.
Według twórców oprogramowania antywirusowego Avast ransomware zainfekowało co najmniej 100 000 komputerów. Masowy atak skierowany był głównie na Rosję, Ukrainę i Tajwan, ale rozprzestrzenił się na główne instytucje w co najmniej 99 innych krajach. Oprócz żądania 300 USD (około 0,17 Bitcoin w momencie pisania), infekcja jest również godna uwagi ze względu na wielojęzyczne podejście do zabezpieczenia okupu: złośliwe oprogramowanie obsługuje ponad dwa tuziny języków.
Co się dzieje?
WanaCryptor powoduje ogromne, prawie bezprecedensowe zakłócenia. Oprogramowanie ransomware wpływa na banki, szpitale, telekomunikację, narzędzia energetyczne i inną infrastrukturę o kluczowym znaczeniu dla misji, gdy rządy atakują: złośliwe oprogramowanie państwowe ujawnione, gdy atakują rządy: narażone złośliwe oprogramowanie państwowe W tej chwili odbywa się cyberwoja ukryta w Internecie, jego wyniki rzadko obserwowane. Ale kim są gracze w tym teatrze wojny i jaka jest ich broń? .
W samych Wielkiej Brytanii co najmniej 40 trustów NHS (National Health Service) zadeklarowało sytuacje kryzysowe, zmuszając do anulowania ważnych operacji, a także podważając bezpieczeństwo pacjentów i prawie na pewno prowadząc do ofiar śmiertelnych.
Policja przebywa w szpitalu w Southport, a karetki pogotowia są „zabezpieczane” w A&E, gdy pracownicy radzą sobie z trwającym kryzysem hackerskim #NHS pic.twitter.com/Oz25Gt09ft
- Ollie Cowan (@Ollie_Cowan) 12 maja 2017 r
WanaCryptor po raz pierwszy pojawił się w lutym 2017 r. W początkowej wersji oprogramowania ransomware zmieniono zmienione rozszerzenia plików na “.WNCRY” a także oznaczanie każdego pliku ciągiem “WANACRY!”
WanaCryptor 2.0 szybko rozprzestrzenia się między komputerami, wykorzystując exploit związany z Equation Group, grupą hakerską ściśle związaną z NSA (i podobno są ich wewnętrznymi organizacjami) “brudny” jednostka hakerska). Szanowany badacz bezpieczeństwa, Kafeine, potwierdził, że exploit znany jako ETERNALBLUE lub MS17-010 prawdopodobnie pojawił się w zaktualizowanej wersji.
WannaCry / WanaCrypt0r 2.0 faktycznie wyzwala regułę ET: 2024218 „ET EXPLOIT Możliwe ETERNALBLUE MS17-010 Odpowiedź echa” pic.twitter.com/ynahjWxTIA
- Kafeine (@kafeine) 12 maja 2017 r
Wiele exploitów
Ta epidemia oprogramowania ransomware różni się od tego, co już widziałeś (i mam nadzieję, że nie doświadczyłeś). WanaCryptor 2.0 łączy wyciek ujawnionego SMB (Server Message Block, protokół udostępniania plików w sieci Windows) z samoreplikującą się funkcją umożliwiającą rozprzestrzenianie się oprogramowania ransomware z jednej podatnej na atak maszyny na drugą. Ten robak-okup odcina zwykłą metodę dostarczania ransomware zainfekowanej wiadomości e-mail, łącza lub innej akcji.
Adam Kujawa, badacz z Malwarebytes powiedział Ars Technica “Początkowy wektor infekcji jest czymś, co wciąż próbujemy się dowiedzieć… Biorąc pod uwagę, że atak ten wydaje się być ukierunkowany, mogło to wynikać z luki w zabezpieczeniach sieci lub z bardzo dobrze spreparowanego ataku typu phishing spear. Niezależnie od tego, rozprzestrzenia się poprzez zainfekowane sieci wykorzystując lukę EternalBlue, infekując dodatkowe niezałatane systemy.”
WanaCryptor wykorzystuje również DOUBLEPULSAR, kolejny wyciek NSA wykorzystujący CIA Hacking & Vault 7: Twój przewodnik po najnowszej wersji WikiLeaks CIA Hacking & Vault 7: Twój przewodnik po najnowszej wersji WikiLeaks Wszyscy mówią o WikiLeaks - znowu! Ale CIA tak naprawdę nie ogląda cię za pośrednictwem inteligentnego telewizora, prawda? Z pewnością wyciekające dokumenty to podróbki? A może to bardziej skomplikowane. . Jest to backdoor używany do zdalnego wstrzykiwania i uruchamiania złośliwego kodu. Infekcja skanuje hosty wcześniej zainfekowane backdoorem, a gdy zostanie znaleziona, wykorzystuje istniejącą funkcjonalność do zainstalowania WanaCryptor. W przypadkach, gdy system hosta nie ma istniejącego backdoora DOUBLEPULSAR, złośliwe oprogramowanie powraca do exploita ETERNALBLUE SMB.
Krytyczna aktualizacja zabezpieczeń
Ogromny wyciek narzędzi hakerskich NSA trafił na nagłówki na całym świecie. Natychmiastowe i bezkonkurencyjne dowody na to, że NSA gromadzi i przechowuje niewydane exploity zero-dniowe na własny użytek. Stwarza to ogromne zagrożenie bezpieczeństwa. 5 sposobów ochrony przed atakiem zerowym 5 sposobów ochrony przed atakiem zerowym exploity zero-dniowe, luki w oprogramowaniu, które są wykorzystywane przez hakerów przed udostępnieniem łatki, stanowią prawdziwą zagrożenie dla twoich danych i prywatności. Oto, w jaki sposób możesz trzymać hakerów na dystans. , jak widzieliśmy.
Na szczęście Microsoft załatał exploit Eternalblue w marcu, zanim masowa gra o exploitach typu Shadow Brokers trafiła na pierwsze strony gazet. Biorąc pod uwagę charakter ataku, który wiemy, że ten konkretny exploit jest w grze, oraz szybki charakter infekcji, wydaje się, że ogromna liczba organizacji nie zainstalowała aktualizacji krytycznej. Jak i dlaczego musisz zainstalować tę poprawkę zabezpieczeń. I dlaczego musisz zainstalować tę poprawkę bezpieczeństwa - ponad dwa miesiące po jej wydaniu.
Ostatecznie dotknięte organizacje będą chciały zagrać w winę. Ale gdzie powinien wskazywać palec? W tym przypadku jest wystarczająca wina, aby się z tym podzielić: NSA za gromadzenie niebezpiecznych exploitów zero-day Co to jest luka w Zero Day? [MakeUseOf wyjaśnia] Co to jest luka w Zero Day? [MakeUseOf wyjaśnia], złoczyńców, którzy zaktualizowali WanaCryptor za pomocą wyciekłych exploitów, liczne organizacje, które zignorowały krytyczną aktualizację zabezpieczeń, i kolejne organizacje nadal używające systemu Windows XP.
Że ludzie mogli umrzeć, ponieważ obciążenia związane z aktualizacją podstawowego systemu operacyjnego były po prostu zaskakujące.
Firma Microsoft natychmiast wydała krytyczną aktualizację zabezpieczeń dla systemów Windows Server 2003, Windows 8 i Windows XP.
Microsoft wydaje ochronę #WannaCrypt dla nieobsługiwanych produktów Windows XP, Windows 8 i Windows Server 2003: https://t.co/ZgINDXAdCj
- Microsoft (@Microsoft) 13 maja 2017 r
Czy jestem zagrożony??
WanaCryptor 2.0 rozprzestrzenia się jak pożar. W pewnym sensie ludzie spoza branży bezpieczeństwa zapomnieli o szybkim rozprzestrzenianiu się robaka i wywołanej przez niego paniki. W tym hiperłącznym wieku, w połączeniu z oprogramowaniem kryptograficznym, dostawcy szkodliwego oprogramowania znaleźli przerażającego zwycięzcę.
Czy jesteś zagrożony? Na szczęście, zanim Stany Zjednoczone się obudziły i rozpoczęły swój dzień informacyjny, MalwareTechBlog znalazł przełącznik zabijania ukryty w kodzie złośliwego oprogramowania, ograniczając rozprzestrzenianie się infekcji.
Kill-switch obejmował bardzo długą bezsensowną nazwę domeny - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - na którą szkodliwe oprogramowanie wysyła żądanie.
Mogę tylko dodać „moje przypadkowe zatrzymanie międzynarodowego cyberataku” do mojego CV. ^^
- ScarewareTech (@MalwareTechBlog) 13 maja 2017 r
Jeśli żądanie zostanie ponownie uruchomione (tj. Je zaakceptuje), złośliwe oprogramowanie nie infekuje komputera. Niestety nie pomaga to nikomu już zainfekowanym. Specjalista ds. Bezpieczeństwa za MalwareTechBlog zarejestrował adres, aby śledzić nowe infekcje za pośrednictwem swoich żądań, nie zdając sobie sprawy, że był to wyłącznik awaryjny.
#WannaCry ładunek propagacyjny zawiera wcześniej niezarejestrowaną domenę, wykonanie kończy się niepowodzeniem teraz, gdy domena została zablokowana pic.twitter.com/z2ClEnZAD2
- Darien Huss (@darienhuss) 12 maja 2017 r
Niestety istnieje możliwość, że istnieją inne warianty oprogramowania ransomware, każdy z własnym przełącznikiem „zabicia” (w zależności od przypadku)..
Lukę można również zmniejszyć, wyłączając SMBv1. Microsoft zapewnia dokładny samouczek, jak to zrobić w systemach Windows i Windows Server. W systemie Windows 10 można to szybko osiągnąć, naciskając Klawisz Windows + X, wybierając PowerShell (administrator), i wklejając następujący kod:
Wyłącz-WindowsOptionalFeature -Online -FeatureName smb1protocolSMB1 to stary protokół. Nowsze wersje nie są wrażliwe na wariant WanaCryptor 2.0.
Ponadto, jeśli Twój system zaktualizował się tak jak zwykle, jesteś mało prawdopodobne odczuć bezpośrednie skutki tej konkretnej infekcji. To powiedziawszy, jeśli anulowano spotkanie w NHS, płatność bankowa poszła nie tak lub nie dotarła ważna paczka, to dotyczy to niezależnie od tego,.
Mówiąc mądrze, łatany exploit nie zawsze spełnia swoje zadanie. Conficker, ktokolwiek?
Co się potem dzieje?
W Wielkiej Brytanii WanaCryptor 2.0 został początkowo opisany jako bezpośredni atak na NHS. Zostało to zdyskontowane. Problem pozostaje jednak taki, że setki tysięcy osób doświadczyło bezpośrednich zakłóceń z powodu złośliwego oprogramowania.
Szkodliwe oprogramowanie nosi znamiona ataku o drastycznie niezamierzonych skutkach. Ekspert ds. Cyberbezpieczeństwa, dr Afzal Ashraf, powiedział o tym BBC “prawdopodobnie zaatakowali małą firmę, zakładając, że dostaną niewielką sumę pieniędzy, ale dostała się ona do systemu NHS i teraz mają przeciwko nim pełną władzę państwa - ponieważ, oczywiście, rząd nie może sobie pozwolić na coś takiego i odnieść sukces.”
Oczywiście nie chodzi tylko o NHS. W Hiszpanii, El Mundo informuje, że 85 procent komputerów w Telefonica zostało dotkniętych przez robaka. Fedex potwierdził, że zostali dotknięci, podobnie jak Portugal Telecom i rosyjski MegaFon. I to bez uwzględnienia głównych dostawców infrastruktury.
Dwa adresy bitcoin utworzone (tutaj i tutaj) do otrzymywania okupów zawierają teraz połączone 9,21 BTC (około 16 000 USD w momencie pisania) z 42 transakcji. To powiedziawszy, i potwierdzając “niezamierzone konsekwencje” Teoria polega na braku identyfikacji systemu w przypadku płatności Bitcoin.
Może czegoś mi brakuje. Jeśli tak wiele ofiar Wcry ma ten sam adres Bitcoin, w jaki sposób deweloperzy są w stanie powiedzieć, kto zapłacił? Coś ??.
- BleepingComputer (@BleepinComputer) 12 maja 2017 r
Co stanie się potem? Rozpoczyna się proces czyszczenia, a dotknięte nim organizacje liczą straty, zarówno finansowe, jak i oparte na danych. Ponadto dotknięte organizacje dokładnie przyjrzą się swoim praktykom bezpieczeństwa i - mam nadzieję, naprawdę - zaktualizują, pozostawiając za sobą przestarzały i obecnie niebezpieczny system operacyjny Windows XP.
Mamy nadzieję.
Czy bezpośrednio dotyczy WanaCryptor 2.0? Zgubiłeś dane lub odwołałeś spotkanie? Czy uważasz, że rządy powinny zmusić infrastrukturę o kluczowym znaczeniu do aktualizacji? Daj nam znać swoje wrażenia z korzystania z WanaCryptor 2.0 poniżej i podziel się z nami swoją opinią, jeśli pomogliśmy Ci.
Zdjęcie: Wszystko, co robię za pośrednictwem Shutterstock.com