Global Ransomware Attack și cum să vă protejați datele
Un cyberattack masiv a lovit computerele din întreaga lume. Virusul extrem de virulent, cunoscut sub numele de WanaCryptor, Wannacry sau Wcry, a însușit, în parte, o exploatare a unei Agenții de Securitate Națională (NSA) care a fost lansată în sălbăticie luna trecută. Cybercriminals posedă instrumente de hacking CIA: Ce înseamnă asta pentru tine Cybercriminals posedă CIA Hacking Instrumente: Ce înseamnă acest lucru Malware-ul cel mai periculos al Agenției Centrale de Informații, capabil să hackeze aproape toate electronicele de consum fără fir, ar putea acum să stea în mâinile hoților și teroriștilor. Deci ce înseamnă asta pentru tine? Citește mai mult de un grup de hacking cunoscut sub numele de The Shadow Brokers.
Se consideră că rromii au infectat cel puțin 100.000 de calculatoare, potrivit dezvoltatorilor antivirus, Avast. Atacul masiv a vizat în mod predominant Rusia, Ucraina și Taiwan, dar sa răspândit în instituții importante din cel puțin 99 de țări. În afară de solicitarea a 300 de dolari (în jur de 0,17 Bitcoin la momentul scrisului), infecția este de asemenea remarcabilă pentru abordarea sa multilingvă pentru securizarea răscumpărării: malware-ul suportă mai mult de două duzini de limbi.
Ce se întâmplă?
WanaCryptor provoacă perturbări masive, aproape fără precedent. În cazul în care guvernele atacă: malware-ul statului-stat expus atunci când guvernele atacă: Malware-ul statului-stat expus Un război cibernetic are loc chiar acum, ascuns de internet, rezultatele sale au fost rareori observate. Dar cine sunt jucătorii din acest teatru de război și care sunt armele lor? Citeste mai mult .
Numai în Regatul Unit, cel puțin 40 de trusturi NHS (Serviciul Național de Sănătate) au declarat urgențe, forțând anularea unor intervenții chirurgicale importante, precum și subminând siguranța și securitatea pacienților și aproape sigur au condus la decese.
Poliția se află la Spitalul din Southport și ambulanțele sunt susținute la A & E, deoarece personalul face față crizei hackingului în curs de desfășurare #NHS pic.twitter.com/Oz25Gt09ft
- Ollie Cowan (@Ollie_Cowan) 12 mai 2017
WanaCryptor a apărut pentru prima dată în februarie 2017. Versiunea inițială a ransomware-ului a modificat extensiile de fișiere afectate “.WNCRY” precum și marcarea fiecărui fișier cu șir “WANACRY!”
WanaCryptor 2.0 se răspândește rapid între computere folosind un exploit asociat cu Grupul de ecuații, o colecție de hacking strâns asociată cu NSA (și se zvonește foarte mult că este vorba de propriile “murdar” unitate de hacking). Respectat cercetător de securitate, Kafeine, a confirmat că exploatarea cunoscută sub numele de ETERNALBLUE sau MS17-010 a fost probabil prezentată în versiunea actualizată.
WannaCry / WanaCrypt0r 2.0 declanșează într-adevăr regula ET: 2024218 "ET EXPLOIT Posibil ETERNALBLUE MS17-010 Echo Response" pic.twitter.com/ynahjWxTIA
- Kafeină (@kafeină) 12 mai 2017
Exploatări multiple
Acest focar de răscumpărare este diferit de ceea ce ați văzut deja (și sper că nu am experimentat). WanaCryptor 2.0 combină proliferarea SMB (Server Message Block, un protocol de partajare a fișierelor de rețea Windows) cu o încărcătură utilă auto-replicatoare, permițând ransomware-ului să se răspândească de la o mașină vulnerabilă la alta. Acest vierme de răscumpărare elimină metoda obișnuită de livrare a unui e-mail infectat, link sau altă acțiune.
Adam Kujawa, cercetător la Malwarebytes, a declarat pentru Ars Technica “Vectorul inițial de infectare este ceva ce încercăm încă să aflăm ... Având în vedere că acest atac pare a fi țintit, ar fi putut fi fie printr-o vulnerabilitate în apărarea rețelei, fie printr-un atac de phishing foarte sculptat de sulițe. Indiferent, se răspândește prin rețelele infectate, utilizând vulnerabilitatea EternalBlue, infectând sistemele suplimentare nealterate.”
WanaCryptor folosește, de asemenea, DOUBLEPULSAR, un alt NSA scurs exploatează CIA Hacking & Vault 7: Ghidul dvs. pentru ultima lansare WikiLeaks CIA Hacking & Vault 7: Ghidul dvs. pentru ultima lansare WikiLeaks Toată lumea vorbește despre WikiLeaks - din nou! Dar CIA nu vă urmărește cu adevărat prin televizorul dvs. inteligent, nu-i așa? Cu siguranță documentele scurgente sunt falsuri? Sau poate e mai complicat decât asta. Citeste mai mult . Acesta este un backdoor folosit pentru a injecta și a rula cod malitios de la distanță. Infecția scanează pentru gazdele infectate anterior cu backdoor-ul și, atunci când se găsește, utilizează funcționalitatea existentă pentru a instala WanaCryptor. În cazurile în care sistemul gazdă nu are o backdoor existentă DOUBLEPULSAR, malware-ul revine la exploatarea ETERNALBLUE SMB.
Actualizare critică de securitate
Scurgerile masive ale instrumentelor de hacking ale NSA au făcut publicitate în întreaga lume. Indicațiile imediate și de neegalat că ANS colectează și stochează explozii neutilizate de la zero pentru uzul propriu este acolo. Acest lucru reprezintă un risc enorm de securitate 5 moduri de a te proteja de o exploatare Zero-Day 5 moduri de a te proteja de o zi zero Exploit Zero-zi exploatează vulnerabilitățile software care sunt exploatate de hackeri înainte ca un patch să devină disponibil, amenințarea la adresa datelor și a confidențialității. Iată cum puteți păstra hackerii la loc. Citiți mai multe, așa cum am văzut acum.
Din fericire, Microsoft a replicat exploatarea Eternalblue în martie, înainte ca exploziile masive de arme masive Shadow Brokers să apară pe titluri. Având în vedere natura atacului, că știm că acest exploit specific este în joc, și natura rapidă a infecției, s-ar părea că un număr mare de organizații nu au reușit să instaleze actualizarea critică Cum și de ce aveți nevoie pentru a instala acel patch de securitate Cum & De ce trebuie să instalați acel pachet de securitate Citiți mai mult - mai mult de două luni după lansare.
În cele din urmă, organizațiile afectate vor dori să joace jocul de vină. Dar unde ar trebui punctul degetului? În acest caz, există suficientă vină pentru a împărtăși: NSA pentru stocarea exploziilor periculoase de zero zile. Ce este o vulnerabilitate Zero Ziua? [Explicarea MakeUseOf] Ce este o vulnerabilitate Zero Ziua? [Explică-i pe MakeUseOf] Citește mai mult, răufăcătorii care au actualizat WanaCryptor cu exploatațiile scurgeri, numeroasele organizații care au ignorat o actualizare critică de securitate și alte organizații care utilizează încă Windows XP.
Că oamenii ar fi murit, deoarece organizațiile au descoperit că sarcina de a-și îmbunătăți sistemul de operare primar este pur și simplu surprinzătoare.
Microsoft a lansat imediat o actualizare critică de securitate pentru Windows Server 2003, Windows 8 și Windows XP.
Microsoft lansează #WannaCrypt protecție pentru produsele out-of-suport Windows XP, Windows 8 și Windows Server 2003: https://t.co/ZgINDXAdCj
- Microsoft (@Microsoft) 13 mai 2017
Sunt la risc?
WanaCryptor 2.0 se întinde ca focul de foc. Într-un sens, oamenii din afara industriei de securitate au uitat răspândirea rapidă a unui vierme și panica pe care o poate provoca. În această vârstă hiper-conectată și combinată cu cripto-ransomware, furnizorii de programe malware au fost pe un câștigător teribil.
Sunteți în pericol? Din fericire, înainte ca Statele Unite să se trezească și să se deplaseze în ziua de calcul, MalwareTechBlog a găsit un comutator de ucidere ascuns în codul malware, reducând răspândirea infecției.
Comutatorul kill-a implicat un nume de domeniu extrem de lung - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - că malware-ul face o cerere.
Așadar, pot adăuga "Răspunde accidental un atac cibernetic internațional" la Rezumatul meu. ^^
- ScarewareTech (@MalwareTechBlog) 13 mai 2017
Dacă solicitarea revine live (adică acceptă solicitarea), malware-ul nu infectează aparatul. Din păcate, asta nu ajută pe nimeni deja infectat. Cercetătorul de securitate din spatele MalwareTechBlog a înregistrat adresa pentru a urmări noi infecții prin solicitările lor, fără să-și dea seama că a fost comutatorul de urgență.
#WannaCry payload propagare conține domeniu neînregistrat anterior, execuția eșuează acum că domeniul a fost sinkholed pic.twitter.com/z2ClEnZAD2
- Darien Huss (@ darienhuss) 12 mai 2017
Din nefericire, există posibilitatea ca alte variante ale răscumpărării să existe, fiecare cu comutatorul propriu-zis (sau deloc, după caz).
Vulnerabilitatea poate fi de asemenea atenuată prin dezactivarea SMBv1. Microsoft oferă un tutorial minuțios despre cum se face acest lucru pentru Windows și Windows Server. În Windows 10, acest lucru poate fi obținut rapid prin apăsarea tastei Tasta Windows + X, selectare PowerShell (Admin), și inserați următorul cod:
Dezactivați - WindowsOptionalFeature -Online -FeatureName smb1protocol
SMB1 este un protocol vechi. Versiunile mai recente nu sunt vulnerabile la varianta WanaCryptor 2.0.
În plus, dacă sistemul dvs. sa actualizat în mod normal, sunteți improbabil pentru a simti efectele directe ale acestei infectii. Acestea fiind spuse, dacă ați fi anulat o programare a NHS, plata bancară a rămas greșită sau un pachet vital nu a reușit să ajungă, ați fost afectați, indiferent.
Și cuvântul pentru înțelept, un exploatat patch-uri nu face întotdeauna treaba. Conficker, oricine?
Ce se întâmplă în continuare?
În Marea Britanie, WanaCryptor 2.0 a fost inițial descris ca un atac direct asupra NHS. Acest lucru a fost redus. Problema rămâne însă că sute de mii de persoane au suferit o întrerupere directă din cauza programelor malware.
Malware-ul poartă semne distinctive ale unui atac cu consecințe drastic neintenționate. Expertul în domeniul securității, dr. Afzal Ashraf, a declarat pentru BBC că “probabil că au atacat o mică companie presupunând că vor primi o sumă mică de bani, dar au intrat în sistemul NHS și acum au puterea deplină a statului împotriva lor - pentru că, evident, guvernul nu își poate permite acest lucru să se întâmple și să aibă succes.”
Nu este doar NHS, desigur. În Spania, lumea raportează că 85% din computerele de la Telefonica au fost afectate de vierme. Fedex a dat asigurări că au fost afectate, precum și Portugal Telecom și MegaFon din Rusia. Și asta este fără a lua în considerare și furnizorii de infrastructură.
Două adrese bitcoin create (aici și aici) pentru a primi răscumpărare conțin acum un combinat 9.21 BTC (în jur de 16.000 USD în momentul scrierii) din 42 de tranzacții. Acestea fiind spuse, și coroborarea “consecințe neintenționate” teoria este lipsa identificării sistemului furnizată cu plățile Bitcoin.
Poate că mi-e dor de ceva. În cazul în care atât de multe victime Wcry au aceeași adresă de bijuterii, cum sunt capabili să spună cine a plătit? somethings ??.
- BleepingComputer (@BleepinComputer) 12 mai 2017
Și ce se va întâmpla în continuare? Procesul de curățare începe, iar organizațiile afectate numără pierderile, atât financiare, cât și bazate pe date. Mai mult, organizațiile afectate vor avea o privire lungă și tare asupra practicilor lor de securitate și - cu adevărat, sper cu adevărat - se actualizează, lăsând sistemul de operare vechi și acum periculos Windows XP.
Noi speram.
Ai fost direct afectată de WanaCryptor 2.0? Ați pierdut date sau ați anulat o programare? Credeți că guvernele ar trebui să forțeze infrastructura critică a misiunii pentru a face upgrade? Spuneți-ne experiențele WanaCryptor 2.0 de mai jos și dați-ne o cotă dacă v-am ajutat.
Image Credit: Tot ce fac prin intermediul Shutterstock.com
Explorați mai multe despre: Hacking, Ransomware.