Globální útok Ransomware a jak chránit vaše data

reklama

Masivní kybernetický útok zasáhl počítače po celém světě. Vysoce virulentní samoreplikující se ransomware - známý jako WanaCryptor, Wannacry nebo Wcry - částečně využil využití Národní bezpečnostní agentury (NSA) propuštěn do přírody minulý měsíc Počítačoví zločinci mají hackerské nástroje CIA: Co to pro vás znamenáNejnebezpečnější malware ústřední zpravodajské služby - schopný proniknout téměř do celé bezdrátové spotřební elektroniky - nyní mohl sedět v rukou zlodějů a teroristů. Co to pro tebe znamená? Přečtěte si více hackerskou skupinou známou jako The Shadow Brokers.

Podle vývojářů antivirových programů se předpokládá, že ransomware infikoval nejméně 100 000 počítačů, Avast. Masivní útok se zaměřil převážně na Rusko, Ukrajinu a Tchaj-wan, ale rozšířil se na významné instituce napříč nejméně 99 dalšími zeměmi. Kromě náročných 300 dolarů (kolem 0,17 bitcoinů v době psaní) je infekce také pozoruhodná za jeho vícejazyčný přístup k zajištění výkupného: malware podporuje více než dva tucty jazyky.

Co se děje?

WanaCryptor způsobuje masivní, téměř bezprecedentní narušení. Ransomware ovlivňuje banky, nemocnice, telekomunikace, energetické společnosti, a další kritickou infrastrukturu Když vlády napadnou: Malware vystaven v národním státěKybernetický válec se právě odehrává, skrytý internetem, jeho výsledky se málokdy pozorují. Ale kdo jsou hráči tohoto válečného divadla a jaké jsou jejich zbraně? Přečtěte si více .

Jen v U.K. alespoň 40 NHS (National Health Service) Důvěryhodnosti prohlásily mimořádné události, což nutilo zrušení důležitých chirurgické zákroky, stejně jako oslabení bezpečnosti pacientů a téměř jistě k nim úmrtí.

Policie je v Southport Hospital a sanitky jsou „zálohovány“ v A&E, protože se zaměstnanci vyrovnávají s probíhající hackerskou krizí #NHSpic.twitter.com/Oz25Gt09ft

- Ollie Cowan (@Ollie_Cowan) 12. května 2017

WanaCryptor se poprvé objevil v únoru 2017. Počáteční verze ransomware změnila postižené přípony souborů na „.WNCRY“ a označila každý soubor řetězcem „WANACRY!“.

WanaCryptor 2.0 se rychle šíří mezi počítači pomocí exploitu spojeného se skupinou rovnic, a hackování kolektivu úzce spojeného s NSA (a silně se říkalo, že jde o jejich „špinavé“ hackování) jednotka). Očekávaný výzkumný pracovník v oblasti bezpečnosti, Kafeine, potvrdil, že zneužití známé jako ETERNALBLUE nebo MS17-010 se pravděpodobně objevilo v aktualizované verzi.

WannaCry / WanaCrypt0r 2.0 skutečně aktivuje pravidlo ET: 2024218 „ET EXPLOIT Možná ETERNALBLUE MS17-010 Echo Response“ pic.twitter.com/ynahjWxTIA

- Kafeine (@ kafeine) 12. května 2017

Více využití

Toto vypuknutí ransomwaru se liší od toho, co jste možná už viděli (a doufám, že to nezažilo). WanaCryptor 2.0 kombinuje uniklý SMB (Server Message Block, protokol sdílení síťových souborů Windows) využívají se samoreprodukujícím se užitečným zatížením umožňujícím šíření ransomwaru z jednoho zranitelného počítače na počítač další. Tento výkupný červ vylučuje obvyklý způsob doručení infikovaného e-mailu, odkazu nebo jiné akce pomocí ransomwaru.

Adam Kujawa, výzkumník v Malwarebytes řekl Ars Technica „Počáteční vektor infekce je něco, co se stále snažíme zjistit... Vzhledem k tomu, že se tento útok zdá cílené, mohlo to být buď kvůli zranitelnosti v obraně sítě nebo velmi dobře vytvořenému kopí phishingu Záchvat. Bez ohledu na to se šíří infikovanými sítěmi pomocí zranitelnosti EternalBlue a infikuje další nespravované systémy. “

WanaCryptor také využívá DOUBLEPULSAR, další únik vykořisťovaný NSA CIA Hacking & Vault 7: Váš průvodce nejnovějším vydáním WikiLeaksVšichni mluví o WikiLeaks - znovu! Ale CIA vás ve vaší chytré televizi opravdu nesleduje, že? Určitě jsou uniklé dokumenty padělky? Nebo je to možná mnohem složitější. Přečtěte si více . Toto je backdoor, které se používá k dálkovému vstřikování a spouštění škodlivého kódu. Tato infekce vyhledává hostitele, kteří byli dříve infikováni zadními vrátkami, a pokud je nalezena, použije stávající funkci k instalaci WanaCryptoru. V případě, že hostitelský systém nemá zadní vrátka DOUBLEPULSAR, malware se vrátí zpět k využití ETERNALBLUE SMB.

Kritická aktualizace zabezpečení

Masivní únik hackerských nástrojů NSA dělal titulky po celém světě. Existují bezprostřední a bezkonkurenční důkazy o tom, že NSA shromažďuje a ukládá nevyžádané nulové těžby pro vlastní potřebu. To představuje obrovské bezpečnostní riziko 5 způsobů, jak se chránit před nulovým vykořisťovánímNulové exploity, zranitelnosti softwaru, které hackeři zneužívají dříve, než je k dispozici oprava, představují skutečnou hrozbu pro vaše data a soukromí. Takto můžete hackery udržet na uzdě. Přečtěte si více , jak jsme již viděli.

Náhoda, Microsoft oprava vykořisťování Eternalblue v březnu předtím, než masivní vykořisťování zbraní Shadow Brokers zasáhlo titulky. Vzhledem k povaze útoku, že víme, že se toto konkrétní vykořisťování hraje, a vzhledem k rychlé povaze infekce se zdálo, že se jedná o obrovské množství organizací se nepodařilo nainstalovat kritickou aktualizaci Jak a proč potřebujete nainstalovat tuto bezpečnostní opravu Přečtěte si více - více než dva měsíce po vydání.

Nakonec postižené organizace budou chtít hrát hru viny. Ale kde by měl prst ukazovat? V takovém případě je zde dost viny, o kterou se můžeme podělit: NSA pro hromadit nebezpečné exploatace nultého dne Co je chyba zabezpečení nulového dne? [MakeUseOf vysvětluje] Přečtěte si více , malefactors, kteří aktualizovali WanaCryptor s unikajícími exploitami, četné organizace, které ignorovaly kritickou aktualizaci zabezpečení, a další organizace, které stále používají Windows XP.

To, že lidé možná zemřeli, protože organizace zjistily, že břemeno modernizace primárního operačního systému je prostě překvapivé.

Microsoft má okamžitě propuštěn důležitá aktualizace zabezpečení pro systémy Windows Server 2003, Windows 8 a Windows XP.

Vydání společnosti Microsoft #Chci se kryptovat ochrana produktů mimo podporu Windows XP, Windows 8 a Windows Server 2003: https://t.co/ZgINDXAdCj

- Microsoft (@Microsoft) 13. května 2017

Jsem v ohrožení?

WanaCryptor 2.0 se šířil jako požár. V jistém smyslu lidé mimo bezpečnostní průmysl zapomněli na rychlé šíření červa a paniku to může způsobit. V tomto hyperspojeném věku a v kombinaci s kryptomanzwarem byli tvůrci malwaru hrozivým vítězem.

Jste v ohrožení? Naštěstí před tím, než se Spojené státy probudily a začaly provádět výpočetní den, MalwareTechBlog našel v kódu malware skrytý přepínač, čímž omezil šíření infekce.

Přepínač kill zahrnoval velmi dlouhý nesmyslný název domény - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - na který malware žádá.

Takže mohu do svého Résumé přidat pouze „náhodně zastavený mezinárodní kybernetický útok“. ^^

- ScarewareTech (@MalwareTechBlog) 13. května 2017

Pokud se žádost znovu objeví v reálném čase (tj. Žádost přijme), malware tento počítač neinfikuje. Bohužel to nepomůže nikomu již infikovanému. Výzkumník bezpečnosti za MalwareTechBlog zaregistroval adresu ke sledování nových infekcí prostřednictvím jejich požadavků, aniž by si uvědomil, že to byl nouzový vypínač.

#Chci se smát užitečné zatížení propagace obsahuje dříve neregistrovanou doménu, spuštění se nyní nezdařilo, když byla doména sinkholována pic.twitter.com/z2ClEnZAD2

- Darien Huss (@darienhuss) 12. května 2017

Bohužel existuje možnost, že existují jiné varianty ransomwaru, každá s vlastním vypínačem zabíjení (nebo případně vůbec).

Tuto chybu zabezpečení lze také zmírnit deaktivací SMBv1. Společnost Microsoft poskytuje důkladný návod o tom, jak to provést pro Windows a Windows Server. V systému Windows 10 to může být rychle dosaženo stisknutím Klávesa Windows + X, výběr PowerShell (Admin)a vložte následující kód:

Zakázat WindowsOptionalFeature -Online -FeatureName smb1protocol

SMB1 je starý protokol. Novější verze nejsou vůči variantě WanaCryptor 2.0 zranitelné.

Kromě toho, pokud se váš systém aktualizoval jako obvykle, jste nepravděpodobné cítit přímé účinky této konkrétní infekce. To znamená, že pokud jste zrušili schůzku NHS, bankovní platba zmizela nebo se nepodařilo doručit důležitý balíček, byli jste bez ohledu na to ovlivněni.

A řečeno moudrým, opravené vykořisťování ne vždy dělá práci. Conficker, někdo?

Co se stane dál?

V U.K. byl WanaCryptor 2.0 původně popisován jako přímý útok na NHS. To bylo zlevněno. Problém však zůstává, že stovky tisíc jednotlivců došlo k přímému narušení v důsledku malwaru.

Malware nese charakteristické znaky útoku s drasticky nezamýšlenými následky. Afzal Ashraf, expert na kybernetickou bezpečnost, řekl BBC že „pravděpodobně zaútočili na malou společnost za předpokladu, že dostanou malé množství peněz, ale dostali se do systému NHS a nyní mají proti nim plnou moc státu - protože vláda si samozřejmě nemůže dovolit, aby se něco takového stalo a stalo úspěšný."

Samozřejmě to není jen NHS. Ve Španělsku, El Mundohlásí, že 85 procent počítačů na Telefonica byl ovlivněn červem. Fedex přiznal, že byli zasaženi, stejně jako Portugal Telecom a ruský MegaFon. A to není bez ohledu na hlavní poskytovatele infrastruktury.

Byly vytvořeny dvě bitcoinové adresy (tady a tady) k získání výkupného nyní obsahuje kombinovaných 9,21 BTC (v době psaní přibližně 16 000 USD) ze 42 transakcí. To potvrzuje a potvrzující teorii „nezamýšlených důsledků“ je chybějící identifikace systému poskytovaná s platbami za bitcoiny.

Možná mi něco chybí. Pokud má tolik obětí Wcry stejnou bitcoinovou adresu, jak mohou devs říct, kdo zaplatil? Něco ...

- BleepingComputer (@BleepinComputer) 12. května 2017

Co se stane potom? Začne proces čištění a postižené organizace počítají své ztráty, a to jak finanční, tak na základě dat. Dotčené organizace se dále důkladně a podrobně podívají na své bezpečnostní postupy a - já Opravdu, opravdu naděje - aktualizace, opuštění zastaralého a nyní nebezpečného operačního systému Windows XP za.

Doufáme.

Byli jste přímo ovlivněni WanaCryptorem 2.0? Ztratili jste data nebo jste zrušili schůzku? Myslíte si, že by vlády měly nutit modernizaci kritické infrastruktury? Sdělte nám své zkušenosti s WanaCryptor 2.0 níže a dejte nám vědět, pokud jsme vám pomohli.

Image Credit: Všechno, co dělám, prostřednictvím Shutterstock.com