Edmund Richardson
0 
2878
360
Ogroman cyber-napad napao je računala širom svijeta. Visoko virulentno samoobnavljajuće otkupno sredstvo - poznato pod nazivom WanaCryptor, Wannacry ili Wcry - dijelom je prisvojilo eksploataciju Nacionalne sigurnosne agencije (NSA) koji je prošlog mjeseca pušten u divljinu. Alati: Što to znači za vas Najopasniji zlonamjerni softver Središnje obavještajne agencije - koji može hakirati gotovo svu bežičnu potrošačku elektroniku - sada bi mogao sjediti u rukama lopova i terorista. Pa što to znači za vas? od strane hakerske grupe poznate kao The Shadow Brokers.
Smatra se da je ransomware inficirao najmanje 100.000 računala, prema antivarusnim programerima, Avast. Masovni napad pretežno je ciljao na Rusiju, Ukrajinu i Tajvan, ali proširio se i na glavne institucije u najmanje 99 drugih zemalja. Osim što zahtijeva 300 dolara (oko 0,17 Bitcoin-a u vrijeme pisanja), zaraza je značajna i po višejezičnom pristupu osiguravanju otkupnine: malware podržava više od dvije desetine jezika.
Što se događa?
WanaCryptor izaziva velike, gotovo neviđene poremećaje. Otkupni softver utječe na banke, bolnice, telekomunikacije, elektroenergetske usluge i drugu kritičnu infrastrukturu kada vlade napadaju: Nation-State Malware je izložen kada vlade napada: Nation-State Malware Exposed Trenutno se odvija cyberwar, skriven internetom, njeni se rezultati rijetko primjećuju. Ali tko su igrači ovog ratnog teatra i koja su njihova oružja? .
Samo u Velikoj Britaniji, najmanje 40 NHS-a (Nacionalne zdravstvene službe) zaklade je proglasilo hitne slučajeve, prisiljavajući otkazivanje važnih operacija, kao i potkopavajući sigurnost i sigurnost pacijenata i gotovo sigurno vodi do smrtnih slučajeva.
Policija se nalazi u bolnici Southport, a ambulante su 'poduprte' u A&E dok se osoblje nosi s tekućom krizom hakara #NHS pic.twitter.com/Oz25Gt09ft
- Ollie Cowan (@Ollie_Cowan) 12. svibnja 2017
WanaCryptor se prvi put pojavio u veljači 2017. Početna verzija ransomwarea promijenila je proširenja datoteka na koje se utjecalo “.WNCRY” kao i označavanje svake datoteke nizom “WANACRY!”
WanaCryptor 2.0 brzo se širi između računala koristeći eksploziv koji je povezan s Equation Group, sjeckalnim kolektivom usko povezanim s NSA (a za koje se puno priča da je njihov vlastiti dom “prljav” sjeckalna jedinica). Ugledni sigurnosni istraživač, Kafeine, potvrdio je da je eksplozija poznata kao ETERNALBLUE ili MS17-010 vjerojatno uključena u ažuriranu verziju.
WannaCry / WanaCrypt0r 2.0 zaista pokreće ET pravilo: 2024218 "ET EXPLOIT Mogući ETERNALBLUE MS17-010 Echo Response" pic.twitter.com/ynahjWxTIA
- Kafeine (@kafeine) 12. svibnja 2017
Višestruki eksploati
Ova epidemija ransomwarea razlikuje se od onoga što ste možda već vidjeli (i nadam se da niste iskusili). WanaCryptor 2.0 kombinira iskorišteni SMB (blok poruka na poslužitelju, protokol za razmjenu mrežnih datoteka u sustavu Windows) s samo-ponovljivim korisnim opterećenjem omogućujući širenju softvera da se širi s jedne ranjive na drugu. Ovaj crv otkupa prekida uobičajeni način isporuke ransomwarea zaraženog e-pošte, veze ili druge radnje.
Adam Kujawa, istraživač na Malwarebytesu, rekao je za Ars Technica “Početni vektor zaraze nešto je što još uvijek pokušavamo saznati ... S obzirom na to da se ovaj napad čini ciljanim, možda je bio ili preko ranjivosti u mrežnoj obrani ili vrlo dobro izrađen napad krađe lažnog koplja. Bez obzira na to, širi se preko zaraženih mreža koristeći EternalBlue ranjivost, zarazujući dodatne nepačirane sustave.”
WanaCryptor također koristi DOUBLEPULSAR, još jedan procurjeni NSA iskorištavajući CIA Hacking & Vault 7: Vaš vodič za najnovije izdanje WikiLeaksa CIA Hacking & Vault 7: Vaš vodič za najnovije izdanje WikiLeaksa Svi pričaju o WikiLeaksu - opet! Ali CIA te stvarno ne gleda putem pametnog televizora, zar ne? Sigurno su pušteni dokumenti lažirani? Ili je možda složenije od toga. , Ovo je stražnja vrata koja se koriste za daljinsko ubrizgavanje i pokretanje zlonamjernog koda. Infekcija skenira domaćine koji su prethodno bili zaraženi stražnjom kućom, a kada ih se pronađe, koristi postojeću funkcionalnost za instaliranje WanaCryptor. U slučajevima kada matični sustav nema postojeću stražnju inačicu DOUBLEPULSAR, zlonamjerni softver se vraća na ETERNALBLUE SMB exploit.
Kritično sigurnosno ažuriranje
Ogromno propuštanje alata za hakiranje NSA stvorilo je naslove širom svijeta. Trenutačno su nenadmašni dokazi da NSA prikuplja i pohranjuje neispunjene nišne podvige za vlastitu upotrebu. Ovo predstavlja ogroman sigurnosni rizik. 5 načina da se zaštitite od iskorištavanja od jednog dana 5 načina da se zaštitite od iskorištavanja od jednog dana Zero-dan iskorištavanja, ranjivosti softvera koje hakeri iskorištavaju prije nego što zakrpa postane dostupna, predstavljaju istinski prijetnja vašim podacima i privatnosti. Evo kako možete zadržati hakere na visini. , kao što smo sada vidjeli.
Srećom, Microsoft je u ožujku zakrpao eksploataciju Eternalblue prije nego što je masovna eksploatacijska brodica Shadow Brokersa pogodila naslove. S obzirom na prirodu napada, za koju znamo da je ovo specifično iskorištavanje u igri i brzu prirodu zaraze, čini se da ogroman broj organizacija nije uspio instalirati kritičko ažuriranje Kako i zašto trebate instalirati tu sigurnosnu zakrpu Kako & Zašto trebate instalirati tu sigurnosnu zakrpu - više od dva mjeseca nakon objavljivanja.
U konačnici, pogođene organizacije će htjeti igrati krivicu. Ali gdje bi trebao upirati prst? U ovom slučaju postoji dovoljno krivnje za podjelu okolo: NSA za skladištenje opasnih eksploatacija nula dana Što je ranjivost od jednog dana? [MakeUseOf objašnjava] Što je ranjivost nakon jednog dana? [MakeUseOf Explains], zlostavljači koji su ažurirali WanaCryptor procurivim eksploatacijama, brojne organizacije koje su ignorirale kritičko sigurnosno ažuriranje i daljnje organizacije koje i dalje koriste Windows XP.
Da su ljudi možda poginuli jer su organizacije pronašle teret nadogradnje svog primarnog operativnog sustava jednostavno iznenađujuće.
Microsoft je odmah objavio kritično sigurnosno ažuriranje za Windows Server 2003, Windows 8 i Windows XP.
Microsoft oslobađa #WannaCrypt zaštitu za proizvode koji nisu podržani Windows XP, Windows 8 i Windows Server 2003: https://t.co/ZgINDXAdCj
- Microsoft (@Microsoft) 13. svibnja 2017
Jesam li u riziku?
WanaCryptor 2.0 se širio poput divlje vatre. U određenom su smislu ljudi izvan sigurnosne industrije zaboravili na brzo širenje crva, a to može izazvati panika. U ovom hiperpovezanom dobu, u kombinaciji s kripto-otkupnim softverom, dobavljači zlonamjernog softvera postali su zastrašujući pobjednici.
Jeste li u riziku? Srećom, prije nego što su se Sjedinjene Države probudile i započele svoj dan računanja, MalwareTechBlog pronašao je prekidač za skrivanje skriven u kodu zlonamjernog softvera, smanjujući širenje zaraze..
Prekidač kill obuhvatio je jako dugo besmisleno ime domene - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - da zlonamjerni softver podnosi zahtjev za.
Tako mogu samo dodati „slučajno zaustavljen međunarodni cyber napad“ svom Résuméu. ^^
- ScarewareTech (@MalwareTechBlog) 13. svibnja 2017
Ako se zahtjev vrati uživo (tj. Prihvaća zahtjev), zlonamjerni softver ne zarazi uređaj. Nažalost, to ne pomaže nikome koji je već zaražen. Sigurnosni istraživač koji stoji iza MalwareTechBlog registrirao je adresu radi praćenja novih infekcija putem njihovih zahtjeva, ne shvaćajući da je to prekidač za hitno ubijanje.
#WannaCry korisničko opterećenje propagacije sadrži prethodno neregistriranu domenu, izvršenje sada nije uspjelo jer je domena potopljena pic.twitter.com/z2ClEnZAD2
- Darien Huss (@darienhuss) 12. svibnja 2017
Nažalost, postoji mogućnost da postoje i druge inačice ransomwarea, svaka s vlastitim kill-prekidačem (ili uopće ne, ovisno o slučaju)..
Ranjivost se može ublažiti i onemogućavanjem SMBv1. Microsoft pruža detaljni vodič o tome kako to učiniti za Windows i Windows Server. U sustavu Windows 10 to se može brzo postići pritiskom Windows tipka + X, odabir PowerShell (Administrator), i lijepljenje sljedećeg koda:
Onemogući-WindowsOptionsFeature -Online -FeatureName smb1protocolSMB1 je stari protokol. Novije verzije nisu osjetljive na varijantu WanaCryptor 2.0.
Pored toga, ako se vaš sustav ažurirao kao normalno, to ste nevjerojatno osjetiti izravne učinke ove infekcije. U tom slučaju, ako vam je otkazan sastanak NHS-a, uplata banaka je pošla po krivu ili vitalni paket nije stigao, pogođeni ste, bez obzira.
A riječ mudrim, zakrpljeni podvig ne čini uvijek posao. Conficker, bilo tko?
Što se dalje događa?
U Velikoj Britaniji WanaCryptor 2.0 je u početku opisan kao izravni napad na NHS. Ovo je sniženo. Ali ostaje pitanje da su stotine tisuća pojedinaca doživjeli izravne poremećaje zbog zlonamjernog softvera.
Zlonamjerni softver nosi obilježja napada s drastično nenamjernim posljedicama. Stručnjak za kibernetičku sigurnost, dr. Afzal Ashraf, rekao je za BBC “vjerojatno su napali malu tvrtku pretpostavljajući da će dobiti malo novca, ali to je ušlo u NHS sustav i sada imaju svu moć države protiv njih - jer očito, vlada ne može priuštiti da se takve stvari događaju i biti uspješan.”
Naravno, to nije samo NHS. U Španjolskoj, El Mundo navode da je 85 posto računala na Telefonici bilo pogođeno crvom. Fedex se uvjerio da su pogođeni, kao i Portugal Telecom i ruski MegaFon. I to bez razmatranja glavnih dobavljača infrastrukture.
Dvije bitcoin adrese stvorene (ovdje i ovdje) za primanje otkupnine sadrže kombinirani 9,21 BTC (oko 16 000 USD u trenutku pisanja) iz 42 transakcije. To je rekao, i potvrđuje “nenamjerne posljedice” teorija, je nedostatak identifikacije sustava osiguranog Bitcoin uplatama.
Možda mi nešto nedostaje. Ako toliko žrtava Wcryja ima istu bitcoin adresu, kako vragovi mogu odrediti tko je platio? somethings ??.
- BleepingComputer (@BleepinComputer) 12. svibnja 2017
Što se dalje događa? Počinje proces čišćenja, a pogođene organizacije broje gubitke, kako financijske tako i na temelju podataka. Nadalje, pogođene organizacije dugo će i naporno gledati na svoje sigurnosne postupke i - uistinu se, nadam se - nadograditi, ostavljajući za sobom starinski i sada opasni Windows XP operativni sustav.
Nadamo se.
Jeste li izravno utjecali na WanaCryptor 2.0? Jeste li izgubili podatke ili ste otkazali sastanak? Mislite li da bi vlade trebalo prisiliti na nadogradnju kritične infrastrukture? Javite nam svoja iskustva WanaCryptor 2.0 u nastavku i recite nam ako smo vam pomogli.
Kreditna slika: Sve što radim putem Shutterstock.com