Глобалната атака на Ransomware и как да защитим вашите данни

реклама

Мащабна кибератака удари компютрите по целия свят. Силно вирулентният самовъзпроизвеждащ се реномиран софтуер - известен като WanaCryptor, Wannacry или Wcry - отчасти е използвал експлоатацията на Агенцията за национална сигурност (NSA) пуснат в природата миналия месец Киберпрестъпници притежават ЦРУ хакерски инструменти: какво означава това за васНай-опасният зловреден софтуер на Централната агенция за разузнаване - способен да хакне почти цялата безжична потребителска електроника - вече може да седи в ръцете на крадци и терористи. И така, какво означава това за вас? Прочетете още от хакерска група, известна като The Shadow Brokers.

Смята се, че ransomware е заразил поне 100 000 компютъра според антивирусни разработчици, Avast. Мащабната атака е насочена предимно към Русия, Украйна и Тайван, но се разпространява в основни институции в поне 99 други страни. Освен изискването на 300 долара (около 0,17 биткойна към момента на писането), инфекцията също е забележителна за неговия многоезичен подход за осигуряване на откупа: зловредният софтуер поддържа повече от две дузини езика.

Какво става?

WanaCryptor причинява масивни, почти безпрецедентни смущения. Изкупният софтуер засяга банки, болници, телекомуникации, енергийни услуги, и друга критична за мисията инфраструктура Когато правителствата атакуват: Разобличен е Nation-State MalwareВ момента се провежда кибервойна, скрита от интернет, резултатите от които се наблюдават рядко. Но кои са участниците в този театър на войната и какви са техните оръжия? Прочетете още .

Само в САЩ, поне 40 NHS (Национална здравна служба) Тръстовете обявиха спешни случаи, принуждавайки отмяната на важни операции, както и подкопаване безопасността и сигурността на пациентите и почти сигурно водят до смъртни случаи.

Полицията е в болница Саупорт, а линейките са „подкрепени“ в A&E, когато служителите се справят с продължаващата криза #NHSpic.twitter.com/Oz25Gt09ft

- Оли Коуан (@Ollie_Cowan) 12 май 2017 г.

WanaCryptor за първи път се появи през февруари 2017 г. Първоначалната версия на ransomware променя разширенията на засегнатите файлове на „.WNCRY“, както и маркирането на всеки файл със низ „WANACRY!“

WanaCryptor 2.0 се разпространява бързо между компютрите с помощта на експлоатация, свързана с Equation Group, a хакерски колектив, тясно свързан с НСА (и много се носят слухове, че е тяхното вътрешно "мръсно" хакване мерна единица). Уважаемият изследовател по сигурността, Kafeine, потвърди, че експлоатацията, известна като ETERNALBLUE или MS17-010, вероятно е присъствала в актуализираната версия.

WannaCry / WanaCrypt0r 2.0 наистина задейства ET правило: 2024218 "ET EXPLOIT Възможен ETERNALBLUE MS17-010 Echo Response" pic.twitter.com/ynahjWxTIA

- Кафеин (@kafeine) 12 май 2017 г.

Множество подвизи

Това избухване на компютърна защита е различно от това, което може би вече сте виждали (и се надявам, не сте изпитали). WanaCryptor 2.0 комбинира изтеклия SMB (сървърен блок за съобщения, протокол за споделяне на файлови мрежи на Windows) експлоатирайте със самовъзпроизвеждащ се полезен товар, позволяващ на ransomware да се разпространи от една уязвима машина към следващия. Този откуп от червей прекъсва обичайния метод за доставяне на откуп от заразен имейл, връзка или друго действие.

Адам Куява, изследовател в Malwarebytes каза Ars Technica „Първоначалният вектор на инфекция е нещо, което все още се опитваме да открием… Имайки предвид, че изглежда тази атака целева, може да е било чрез уязвимост в защитните мрежи или чрез много добре изработен фишинг атакува. Независимо от това, той се разпространява чрез заразени мрежи, използвайки уязвимостта EternalBlue, заразявайки допълнителни непатокирани системи. "

WanaCryptor също използва DOUBLEPULSAR, поредният изтекла експлоатация на НСА CIA Hacking & Vault 7: Вашето ръководство за най-новото издание на WikiLeaksВсички говорят за WikiLeaks - отново! Но ЦРУ всъщност не ви гледа през вашия смарт телевизор, нали? Сигурно изтеклите документи са фалшификати? Или може би е по-сложно от това. Прочетете още . Това е задна врата, използвана за инжектиране и пускане на злонамерен код от разстояние. Инфекцията сканира за домакини, заразени по-рано от задната врата, и когато бъде намерена, използва съществуващата функционалност, за да инсталира WanaCryptor. В случаите, в които хост системата няма съществуваща задна врата DOUBLEPULSAR, зловредният софтуер се връща обратно към експлоатацията на ETERNALBLUE SMB.

Критична актуализация на сигурността

Масовото изтичане на хакерски инструменти от NSA направи заглавия по целия свят. Веднага и ненадминати доказателства, че НСА събира и съхранява неиздадени под нула дни подвизи за собствена употреба, е там. Това крие огромен риск за сигурността 5 начина да се защитите от експлоатация на нула денЕксплоатация на нула ден, софтуерните уязвимости, които се експлоатират от хакерите преди да стане наличен пластир, представляват истинска заплаха за вашите данни и поверителност. Ето как можете да държите хакерите на разстояние. Прочетете още , както видяхме сега.

За щастие, Microsoft кръпка експлоатацията на Eternalblue през март, преди масовата оръжейна експлоатация на Shadow Brokers да нахлуе в заглавията. Като се има предвид естеството на нападението, че знаем, че този специфичен подвиг се играе и бързият характер на инфекцията, изглежда огромен брой организации не успяха да инсталират критичната актуализация Как и защо трябва да инсталирате този пач за сигурност Прочетете още - повече от два месеца след излизането му.

В крайна сметка засегнатите организации ще искат да играят играта на вината. Но къде трябва да сочи пръстът? В този случай има достатъчно вина за споделяне: НСА за складиране на опасни подвизи за нулев ден Какво представлява уязвимостта на нула ден? [MakeUseOf обяснява] Прочетете още , злоупотребите, които актуализираха WanaCryptor с изтеклата експлоатация, многобройните организации, които игнорираха критична актуализация на сигурността, и други организации, които все още използват Windows XP.

Че хората може да са умрели, защото организациите откриха тежестта за надграждане на основната си операционна система е просто стряскаща.

Microsoft имат веднага освободен критична актуализация на защитата за Windows Server 2003, Windows 8 и Windows XP.

Microsoft версии #WannaCrypt защита за продукти без поддръжка Windows XP, Windows 8 и Windows Server 2003: https://t.co/ZgINDXAdCj

- Microsoft (@Microsoft) 13 май 2017 г.

Рискувам ли?

WanaCryptor 2.0 се разпространява като див пожар. В известен смисъл хората извън охранителната индустрия бяха забравили бързото разпространение на червей и паниката, която може да предизвика. В тази хиперсвързана епоха и комбинирани с криптовалути, доставчиците на зловреден софтуер са били ужасяващ победител.

Рискувате ли? За щастие, преди Съединените щати да се събудят и да изминат своя компютърен ден, MalwareTechBlog намери превключвател за убийство, скрит в кода на зловредния софтуер, ограничавайки разпространението на инфекцията.

Превключвателят kill включва много дълго безсмислено име на домейн - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - към което злонамереният софтуер прави заявка.

Така че мога само да добавя „случайно спряна международна кибератака“ към моя Резуме. ^^

- ScarewareTech (@MalwareTechBlog) 13 май 2017 г.

Ако заявката се върне на живо (т.е. приема заявката), зловредният софтуер не заразява машината. За съжаление, това не помага на някой, който вече е заразен. Изследователят по сигурността зад MalwareTechBlog регистрира адреса, за да проследи нови инфекции чрез техните заявки, без да осъзнава, че това е превключвателят за аварийно убиване.

#WannaCry разпространението полезен товар съдържа преди това нерегистриран домейн, изпълнението се проваля сега, когато домейнът е хвърлен pic.twitter.com/z2ClEnZAD2

- Дариен Хъс (@darienhuss) 12 май 2017 г.

За съжаление, съществува възможността да съществуват и други варианти на ransomware, всеки със собствен убиващ превключвател (или изобщо не, според случая).

Уязвимостта може да бъде смекчена и чрез деактивиране на SMBv1. Microsoft предоставя задълбочен урок за това как да направите това за Windows и Windows Server. В Windows 10 това може да бъде бързо се постига чрез натискане Ключ за Windows + X, избор PowerShell (администратор)и поставяне на следния код:

Деактивиране-WindowsOptionsFeature -Online -FeatureName smb1protocol

SMB1 е стар протокол. По-новите версии не са уязвими към варианта WanaCryptor 2.0.

Освен това, ако системата ви се е актуализирала както обикновено, вие сте малко вероятно за да почувствате преките последици от тази конкретна инфекция. Ако казахте, че сте отменили срещата с NHS, банковото плащане се е объркало или жизненоважен пакет не е пристигнал, вие сте засегнати, независимо.

И казано на мъдрите, закърпеният подвиг не винаги върши работа. Conficker, някой?

Какво се случва по-нататък?

В САЩ WanaCryptor 2.0 първоначално е описан като директна атака срещу NHS. Това е намалено. Проблемът обаче остава, че стотици хиляди индивиди претърпяха директно прекъсване поради зловреден софтуер.

Зловредният софтуер носи отличителни белези на атака с драстично непреднамерени последици. Експерт по киберсигурност, д-р Афзал Ашраф, заяви пред BBC че „те вероятно са нападнали малка компания, като се предполага, че ще получат малко пари, но тя е попаднала в системата на NHS и сега те имат пълната власт на държавата срещу тях - защото очевидно правителството не може да си позволи да се случи и да се случи подобно нещо успешен."

Това не е само NHS, разбира се. В Испания, Ел Мундосъобщават, че 85 процента от компютрите в Telefonica бяха засегнати от червея. Федекс се увери, че са били засегнати, както и Португалия Телеком и руския Мегафон. И това е без да се имат предвид основните доставчици на инфраструктура.

Създадени два биткойн адреса (тук и тук) за получаване на откуп сега съдържа комбиниран 9,21 BTC (около 16 000 USD към момента на писане) от 42 транзакции. Това каза и потвърждава теорията за „непреднамерените последици“, е липсата на системна идентификация, осигурена с биткойн плащанията.

Може би ми липсва нещо. Ако толкова много жертви на Wcry имат един и същ биткойн адрес, как могат да разберат дяволите кой е платил? Нещо ...

- BleepingComputer (@BleepinComputer) 12 май 2017 г.

И така, какво се случва след това? Процесът на почистване започва и засегнатите организации отчитат загубите си, както финансови, така и базирани на данни. Освен това засегнатите организации ще гледат дълго и упорито на своите практики за сигурност и - I наистина, наистина се надявам - актуализация, оставяйки антикварната и сега опасна операционна система Windows XP след себе си.

Надяваме се.

Били ли сте пряко засегнат от WanaCryptor 2.0? Загубили ли сте данни или е била отменена среща? Смятате ли, че правителствата трябва да принудят да подобри критичната за мисията инфраструктура? Кажете ни вашите преживявания с WanaCryptor 2.0 по-долу и ни кажете, ако сме ви помогнали.

Image Credit: Всичко, което правя чрез Shutterstock.com