Globaalne Ransomware rünnak ja kuidas teie andmeid kaitsta

Reklaam

Massiivne küberrünnak on tabanud arvuteid kogu maailmas. Ülimalt virulentsed isepaljunevad lunavara - tuntud kui WanaCryptor, Wannacry või Wcry - on osaliselt eraldanud riikliku julgeolekuagentuuri (NSA) eelmisel kuul loodusesse lastud Küberkurjategijad omavad LKA häkkimise tööriistu: mida see teie jaoks tähendabLuure keskagentuuri kõige ohtlikum pahavara - mis suudab hävitada peaaegu kogu traadita tarbeelektroonika - võiks nüüd istuda vargade ja terroristide käes. Mida see teie jaoks tähendab? Loe rohkem häkkimisrühma nimega The Shadow Brokers.

Arvatakse, et lunavara on nakatunud vähemalt 100 000 arvutit, vastavalt viirusetõrjearendajate andmetele, Avast. Massiivne rünnak oli suunatud peamiselt Venemaale, Ukrainasse ja Taiwani, kuid levis suuremates asutustes vähemalt 99 muus riigis. Lisaks 300 dollari nõudmisele (kirjutamise ajal umbes 0,17 Bitcoini) on nakkus ka tähelepanuväärne selle mitmekeelse lähenemisviisi eest lunaraha kindlustamiseks: pahavara toetab rohkem kui kaks tosinat keeled.

Mis toimub?

WanaCryptor põhjustab suuri, peaaegu enneolematuid häireid. Lunavara mõjutab pankasid, haiglaid, telekommunikatsiooni, elektriülekandeid, ja muu missioonikriitiline infrastruktuur Valitsuste rünnaku korral: riigi ründevara on avatudInterneti teel varjatud kübersõda toimub praegu, selle tulemusi täheldatakse harva. Kuid kes on selle sõjateatri mängijad ja mis on nende relvad? Loe rohkem .

Ainuüksi Ühendkuningriigis vähemalt 40 NHS (National Health Service) Trust kuulutas välja hädaolukorrad, sundides olulised sündmused tühistama operatsioonid, samuti patsientide ohutuse ja turvalisuse õõnestamine ning peaaegu kindlasti ka viivad surmajuhtumid.

Politsei viibib Southporti haiglas ja kiirabiautosid varustatakse A&E-ga, kuna töötajad saavad hakkama käimasoleva häkkikriisiga #NHSpic.twitter.com/Oz25Gt09ft

- Ollie Cowan (@Ollie_Cowan) 12. mai 2017

WanaCryptor ilmus esmakordselt 2017. aasta veebruaris. Lunavara algversioon muutis mõjutatud faililaiendid väärtuseks „.WNCRY”, samuti tähistas iga fail stringiga „WANACRY!”

WanaCryptor 2.0 levib arvutite vahel kiiresti, kasutades võrrandirühmaga seotud ekspluateerimist, a NSA-ga tihedalt seotud häkkimiskollektiiv (ja kuulujuttude kohaselt on see nende sisemine räpane häkkimine) ühik). Austatud turvateadlane Kafeine kinnitas, et ETERNALBLUE või MS17-010 nime all tuntud ekspluateerimine oli tõenäoliselt kajastatud värskendatud versioonis.

WannaCry / WanaCrypt0r 2.0 käivitab tõepoolest ET-reegli: 2024218 "ET KASUTA Võimalikku ETERNALBLUE MS17-010 kajavastust" pic.twitter.com/ynahjWxTIA

- Kafeine (@kafeine) 12. mai 2017

Mitu ekspluateerimist

See lunavaravara puhang on erinev sellest, mida olete juba näinud (ja ma loodan, et pole kogenud). WanaCryptor 2.0 ühendab lekkinud SMB (Server Message Block, Windowsi võrgu failide jagamise protokoll) kasutage seda isereplitseeriva kasuliku koormusega, võimaldades lunavara levikut ühest haavatavast masinast arvutile järgmine. See lunaraha-uss katkestab nakatunud e-posti, lingi või muu toimingu tavalise lunavara edastamise meetodi.

Malwarebytes'i teadlane Adam Kujawa rääkis Ars Technica “Esialgne nakkusevektor on midagi, mida me alles proovime välja selgitada… Arvestades, et see rünnak näib olevat sihtrühmaks, võis see toimuda kas võrgutõrjuste haavatavuse või väga hästi vormistatud odavate andmete õngitsemise tõttu rünnak. Vaatamata sellele levib see nakatunud võrkudes, kasutades EternalBlue haavatavust, nakatades täiendavaid saatmata süsteeme. ”

WanaCryptor kasutab ka DOUBLEPULSAR-i, teine ​​lekkinud NSA ärakasutamine CIA häkkimine ja varahoidla 7: teie juhend uusimale WikiLeaksi väljaandeleKõik räägivad WikiLeaksist - jälle! Kuid CIA ei jälgi teid tegelikult teie nutiteleri kaudu, on see nii? Kas lekkinud dokumendid on kindlasti võltsingud? Või on see võib-olla keerulisem. Loe rohkem . See on tagauks, mida kasutatakse pahatahtliku koodi sisestamiseks ja kaugjuhtimiseks. Nakkus otsib varem tagauksega nakatunud masinaid ja kui see leitakse, kasutab WanaCryptor installimiseks olemasolevat funktsionaalsust. Kui hostisüsteemil puudub olemasolev DOUBLEPULSAR-i tagauks, naaseb pahavara tagasi ETERNALBLUE SMB ekspluateerimise juurde.

Kriitiline turvavärskendus

NSA häkkimisriistade massiline leke tegi pealkirju kogu maailmas. Otsesed ja ületamatud tõendid selle kohta, et NSA kogub ja säilitab oma tarbeks avaldamata nullpäeva varusid, on olemas. See kujutab endast tohutut turvariski 5 viisi, kuidas kaitsta ennast nullpäevase ekspluateerimise eestZero-day ärakasutamine, tarkvara haavatavused, mida häkkerid kasutavad enne plaastri kättesaadavaks tegemist, kujutavad endast tõsist ohtu teie andmetele ja privaatsusele. Siit saate teada, kuidas häkkerid lahedasti hoida. Loe rohkem , nagu me nüüd nägime.

Õnneks Microsoft paigatud Eternalblue'i ekspluateerimine märtsis enne seda, kui Shadow Brokersi massiivne relvakvaliteediga ekspluateerimisteos jõudis pealkirjadesse. Arvestades rünnaku laadi, kuna me teame, et see konkreetne ärakasutamine on mängus, ja nakatumise kiiret laadi, näib tohutu arv organisatsioone kriitilise värskenduse installimine nurjus Kuidas ja miks peate selle turvaparanduse installima Loe rohkem - rohkem kui kaks kuud pärast selle vabastamist.

Lõppkokkuvõttes tahavad mõjutatud organisatsioonid mängida süümängu. Aga kuhu peaks näpuga näitama? Sel juhul on piisavalt süüd, mida jagada: NSA for ohtlike nullpäeva ekspluateerimise varude varumine Mis on nullpäeva haavatavus? [MakeUseOf selgitab] Loe rohkem , pahatahtlikud tegijad, kes värskendasid WanaCryptorit lekkinud ekspluateerimisega, arvukad organisatsioonid, kes eirasid kriitilist turvavärskendust, ja muud organisatsioonid, kes kasutavad endiselt Windows XP-d.

Inimesed võisid surra, kuna organisatsioonid leidsid, et nende esmase opsüsteemi uuendamine on lihtsalt koormav.

Microsoftil on kohe vabastatud Windows Server 2003, Windows 8 ja Windows XP kriitiline turvavärskendus.

Microsofti väljaanded #WannaCrypt tugiteenusteta toodete Windows XP, Windows 8 ja Windows Server 2003 kaitse: https://t.co/ZgINDXAdCj

- Microsoft (@Microsoft) 13. mai 2017

Kas ma olen ohus?

WanaCryptor 2.0 levis kulutulena. Teatud mõttes olid turvatööstusest väljaspool olevad inimesed unustanud ussi kiire leviku ja paanika, mida see võib põhjustada. Selles hüperühendusega vanuses ja kombineerituna krüpto-lunavaraga sattusid pahavara hankijad hirmuäratavale võitjale.

Kas olete ohus? Õnneks leidis MalwareTechBlog enne USA ärkamist ja arvutuspäeva algust pahavara koodis peidetud tapmislüliti, mis tõkestas nakkuse levikut.

Tapmislüliti hõlmas väga pikka mõttetut domeeninime - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com -, millele pahavara nõuab.

Nii et saan oma Résumé'ile lisada ainult "rahvusvahelise küberrünnaku tahtmatult peatunud". ^^

- ScarewareTech (@MalwareTechBlog) 13. mai 2017

Kui päring naaseb reaalajas (st aktsepteerib taotlust), ei nakata pahavara masinat. Kahjuks ei aita see juba nakatunud inimesi. MalwareTechBlogi taga olev turvauurija registreeris aadressi uute nakkuste jälgimiseks nende taotluste kaudu, teadvustamata, et see oli hädaabilüliti.

#WannaCry leviku kasulik koormus sisaldab varem registreerimata domeeni, täitmine ebaõnnestub nüüd, kui domeen on vajunud pic.twitter.com/z2ClEnZAD2

- Darien Huss (@darienhuss) 12. mai 2017

Kahjuks on olemas võimalus, et lunavaraprogrammidel on ka teisi variante, igaühel on oma kill-switch (või puudub üldse, olenevalt olukorrast).

Haavatavust saab leevendada ka SMBv1 keelamisega. Microsoft pakub põhjalikku õpetust kuidas seda Windowsi ja Windows Serveri jaoks teha. Windows 10 puhul võib see nii olla saavutatakse kiiresti vajutades Windowsi klahv + X, valides PowerShell (administraator)ja kleepides järgmise koodi:

Keela - WindowsOptionalFeature -Online -FeatureName smb1protokoll

SMB1 on vana protokoll. Uuemad versioonid pole WanaCryptor 2.0 variandi suhtes haavatavad.

Lisaks, kui teie süsteem on normaalselt värskendatud, olete ka teie ebatõenäoline tunda selle konkreetse nakkuse otsest mõju. Kui NHS-i kohtumine tühistati, pangamakse läks valesti või elutähtsat paketti ei saabunud, olete teid sellest olenemata kannatanud.

Ja ausalt öeldes ei tee paigatud ärakasutamine alati seda tööd. Conficker, keegi?

Mis järgmisena juhtub?

Suurbritannias kirjeldati WanaCryptor 2.0 algselt otsese rünnakuna NHS-i vastu. See on allahinnatud. Kuid probleem on endiselt see, et sadu tuhandeid inimesi koges pahavara tõttu otseseid häireid.

Pahavara kannab drastiliselt tahtmatute tagajärgedega rünnaku tunnuseid. Küberturbe ekspert dr Afzal Ashraf, rääkis BBC et “nad ründasid tõenäoliselt väikest ettevõtet, eeldades, et nad saavad väikese summa raha, kuid see sattus NHS süsteemi ja nüüd nad neil on riigi täielik võim nende vastu - sest ilmselt ei saa valitsus endale lubada, et selline asi juhtub ja on edukas. ”

Muidugi pole see ainult NHS. Hispaanias El Mundoteatavad, et 85 protsenti arvutitest Telefonica juures oli uss kahjustatud. Fedex tunnistas, et nad on mõjutatud, samuti Portugal Telecom ja Venemaa MegaFon. Ja seda ilma suuremate taristu pakkujatega arvestamata.

Loodud on kaks bitcoini aadressi (siin ja siin) lunaraha saamiseks sisaldab nüüd 42 tehingust 9,21 BTC-d (kirjutamise ajal umbes 16 000 dollarit USD). Seda öeldes ja „tahtmatute tagajärgede” teooria kinnituseks on Bitcoini maksetega kaasneva süsteemi tuvastamise puudumine.

Võib-olla on mul midagi puudu. Kui nii paljudel Wcry ohvritel on sama bitcoini aadress, siis kuidas saavad devid öelda, kes maksis? Midagi ...

- BleepingComputer (@BleepinComputer) 12. mai 2017

Mis siis edasi saab? Alustatakse puhastusprotsessi ja mõjutatud organisatsioonid arvestavad nii finantsiliste kui ka andmepõhiste kahjudega. Lisaks sellele vaatavad mõjutatud organisatsioonid oma turbepraktikaid pikalt ja põhjalikult ning - I tõeliselt, tõesti loodan - värskendus, jättes vananenud ja nüüd ohtliku Windows XP operatsioonisüsteemi taga.

Me loodame.

Kas WanaCryptor 2.0 puudutas teid otseselt? Kas olete kaotanud andmed või on kohtumine tühistatud? Kas arvate, et valitsused peaksid sundima missioonikriitilist infrastruktuuri uuendama? Andke meile allpool teada oma WanaCryptor 2.0 kogemusest ja andke meile oma osalus, kui oleme teid aidanud.

Pildikrediit: kõik, mida ma teen saidi Shutterstock.com kaudu