Harry James
0 
3574
954
Masivní kybernetický útok zasáhl počítače po celém světě. Vysoce virulentní samoreplikující se ransomware - známý jako WanaCryptor, Wannacry nebo Wcry - zčásti přivlastnil exploataci Národní bezpečnostní agentury (NSA), která byla propuštěna do přírody minulý měsíc. Nástroje: Co to pro vás znamená Nejnebezpečnější malware ústřední zpravodajské služby - schopný proniknout téměř do celé bezdrátové spotřební elektroniky - nyní mohl sedět v rukou zlodějů a teroristů. Co to pro tebe znamená? hackerskou skupinou známou jako The Shadow Brokers.
Podle vývojářů antivirových programů Avast napadlo ransomware nejméně 100 000 počítačů. Masivní útok se zaměřil převážně na Rusko, Ukrajinu a Tchaj-wan, ale rozšířil se na významné instituce napříč nejméně 99 dalšími zeměmi. Kromě náročných 300 $ (přibližně 0,17 bitcoinů v době psaní) je infekce také pozoruhodná díky svému vícejazyčnému přístupu k zajištění výkupného: malware podporuje více než dva tucty jazyků.
Co se děje?
WanaCryptor způsobuje masivní, téměř bezprecedentní narušení. Ransomware ovlivňuje banky, nemocnice, telekomunikace, energetické společnosti a další infrastrukturu kritickou pro mise. Když vlády napadnou: Malware z národních států, když vládní útok: Maly z národních států, právě teď se odehrává kybernetický útok, skrytý internetem, jeho výsledky se zřídka pozorovaly. Ale kdo jsou hráči tohoto válečného divadla a jaké jsou jejich zbraně? .
Jen v U.K. nejméně 40 NHS (National Health Service) Trusts prohlásilo nouzové situace, které nutí zrušení důležitých operací, stejně jako oslabují bezpečnost a zabezpečení pacientů a téměř jistě vedou k úmrtím.
Policie je v Southport Hospital a sanitky jsou „zálohovány“ v A&E, protože se pracovníci vyrovnávají s probíhající hackerskou krizí # NHS pic.twitter.com/Oz25Gt09ft
- Ollie Cowan (@Ollie_Cowan) 12. května 2017
WanaCryptor se poprvé objevil v únoru 2017. Počáteční verze ransomware změnila ovlivněné přípony souborů na “.WNCRY” stejně jako označení každého souboru řetězcem “VÍNO!”
WanaCryptor 2.0 se rychle šíří mezi počítači pomocí exploitu spojeného se skupinou rovnic, hackerského kolektivu úzce spojeného s NSA (a silně se říká, že je jejich vlastní podnik) “špinavý” hackovací jednotka). Očekávaný výzkumný pracovník v oblasti bezpečnosti, Kafeine, potvrdil, že zneužití známé jako ETERNALBLUE nebo MS17-010 se pravděpodobně objevilo v aktualizované verzi.
WannaCry / WanaCrypt0r 2.0 skutečně aktivuje pravidlo ET: 2024218 „ET EXPLOIT Možná ETERNALBLUE MS17-010 Echo Response“ pic.twitter.com/ynahjWxTIA
- Kafeine (@ kafeine) 12. května 2017
Více využití
Toto vypuknutí ransomwaru se liší od toho, co jste možná už viděli (a doufám, že to nezažilo). WanaCryptor 2.0 kombinuje uniklé SMB (Server Message Block, protokol sdílení síťových souborů Windows) se samo replikačním užitečným zatížením, které umožňuje šíření ransomwaru z jednoho zranitelného počítače na další. Tento výkupný červ vyřadí běžný způsob doručení infikovaného e-mailu, odkazu nebo jiné akce pomocí ransomwaru.
Adam Kujawa, výzkumník v Malwarebytes, řekl společnosti Ars Technica “Počáteční vektor infekce je něco, co se stále snažíme zjistit ... Vzhledem k tomu, že se tento útok jeví jako cílený, mohl to být buď kvůli zranitelnosti v obraně sítě nebo velmi dobře vytvořenému útoku phishingem oštěpem. Bez ohledu na to se šíří infikovanými sítěmi pomocí zranitelnosti EternalBlue a infikuje další nespravované systémy.”
WanaCryptor také využívá DOUBLEPULSAR, další uniklý NSA využívá CIA Hacking & Vault 7: Váš průvodce po nejnovější verzi WikiLeaks CIA Hacking & Vault 7: Váš průvodce po nejnovější verzi WikiLeaks Každý mluví o WikiLeaks - znovu! Ale CIA vás ve vaší chytré televizi opravdu nesleduje, že? Určitě jsou uniklé dokumenty padělky? Nebo je to možná mnohem složitější. . Toto je backdoor, které se používá k vzdálenému vkládání a spouštění škodlivého kódu. Tato infekce vyhledává hostitele, kteří byli dříve infikováni zadními vrátkami, a pokud je nalezena, použije stávající funkci k instalaci WanaCryptoru. V případě, že hostitelský systém nemá žádné zadní vrátné DOUBLEPULSAR, malware se vrátí zpět k využití ETERNALBLUE SMB.
Kritická aktualizace zabezpečení
Masivní únik hackerských nástrojů NSA dělal titulky po celém světě. Existují bezprostřední a bezkonkurenční důkazy o tom, že NSA shromažďuje a ukládá nevyžádané nulové těžby pro vlastní potřebu. To představuje obrovské bezpečnostní riziko. 5 způsobů, jak se chránit před nulovým vykořisťováním 5 způsobů, jak se chránit před nulovým vykořisťováním Zero-denní zneužití, zranitelnost softwaru, která jsou zneužita hackery před tím, než bude k dispozici oprava, představuje opravdové ohrožení vašich dat a soukromí. Takto můžete hackery udržet na uzdě. , jak jsme již viděli.
V březnu Microsoft naštěstí opravil vykořisťování Eternalblue před tím, než masivní vykořisťovatelská loď Shadow Brokers zasáhla titulky. Vzhledem k povaze útoku, že víme, že toto konkrétní zneužití je ve hře, a vzhledem k rychlé povaze infekce by se zdálo, že velké množství organizací nedokázalo nainstalovat kritickou aktualizaci. Jak a proč je třeba nainstalovat tuto bezpečnostní opravu Jak & Proč je třeba tuto bezpečnostní opravu nainstalovat - více než dva měsíce po jejím vydání.
Nakonec postižené organizace budou chtít hrát hru viny. Ale kde by měl prst ukazovat? V tomto případě existuje dostatečná vina, o kterou se můžeme dělit: NSA za hromadění nebezpečného zneužití nulového dne Co je zranitelnost nulového dne? [MakeUseOf vysvětluje] Co je chyba zabezpečení nulového dne? [MakeUseOf vysvětluje], malefactors, kteří aktualizovali WanaCryptor s uniklými exploitami, četné organizace, které ignorovaly kritickou aktualizaci zabezpečení, a další organizace, které stále používají Windows XP.
To, že lidé možná zemřeli, protože organizace zjistily, že břemeno modernizace primárního operačního systému je prostě překvapivé.
Společnost Microsoft okamžitě vydala kritickou aktualizaci zabezpečení pro systémy Windows Server 2003, Windows 8 a Windows XP.
Společnost Microsoft vydává #WannaCrypt ochranu produktů mimo podporu Windows XP, Windows 8 a Windows Server 2003: https://t.co/ZgINDXAdCj
- Microsoft (@Microsoft) 13. května 2017
Jsem v ohrožení?
WanaCryptor 2.0 se šířil jako požár. V jistém smyslu lidé mimo bezpečnostní sektor zapomněli na rychlé šíření červa a paniku to může způsobit. V tomto hyper-připojeném věku a v kombinaci s kryptomanzwarem byli malwaroví dodavatelé na děsivém vítězi.
Jste v ohrožení? Naštěstí před tím, než se Spojené státy probudily a začaly provádět výpočetní den, MalwareTechBlog našel v kódu malware skrytý přepínač, čímž omezil šíření infekce.
Přepínač zabíjení zahrnoval velmi dlouhý nesmyslný název domény - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com -, který malware žádá.
Takže mohu do svého Résumé přidat jen „náhodně zastavený mezinárodní kybernetický útok“. ^^
- ScarewareTech (@MalwareTechBlog) 13. května 2017
Pokud se žádost znovu objeví v reálném čase (tj. Žádost přijme), malware nenapadne počítač. Bohužel to nepomůže nikomu již infikovanému. Výzkumník bezpečnosti za MalwareTechBlog zaregistroval adresu ke sledování nových infekcí prostřednictvím jejich požadavků, neuvědomil si, že to byl nouzový vypínač.
#WannaCry užitečné zatížení šíření obsahuje dříve neregistrovanou doménu, spuštění se nyní nezdařilo, když byla doména sinkholed pic.twitter.com/z2ClEnZAD2
- Darien Huss (@darienhuss) 12. května 2017
Bohužel existuje možnost, že existují jiné varianty ransomwaru, každá s vlastním vypínačem zabíjení (nebo případně vůbec).
Tuto chybu zabezpečení lze také zmírnit deaktivací SMBv1. Společnost Microsoft poskytuje podrobný návod, jak to provést pro Windows a Windows Server. Ve Windows 10 toho lze rychle dosáhnout stisknutím Klávesa Windows + X, výběr PowerShell (Admin), a vložte následující kód:
Zakázat WindowsOptionalFeature -Online -FeatureName smb1protocolSMB1 je starý protokol. Novější verze nejsou zranitelné vůči variantě WanaCryptor 2.0.
Kromě toho, pokud se váš systém aktualizoval jako obvykle, jste nepravděpodobné cítit přímé účinky této konkrétní infekce. To znamená, že pokud jste zrušili schůzku NHS, bankovní platba zmizela nebo se nepodařilo doručit důležitý balíček, byli jste ovlivněni, bez ohledu na to,.
A řečeno moudrým, záplatovaná vykořisťování ne vždy dělá svou práci. Conficker, kdokoli?
Co se stane dál?
V U.K. byl WanaCryptor 2.0 původně popisován jako přímý útok na NHS. To bylo zlevněno. Problém však zůstává, že stovky tisíc jednotlivců došlo k přímému narušení v důsledku malwaru.
Malware nese charakteristické znaky útoku s drasticky nezamýšlenými následky. Afbal Ashraf, expert na kybernetickou bezpečnost, to BBC řekl “pravděpodobně zaútočili na malou společnost za předpokladu, že dostanou malé množství peněz, ale dostali se do systému NHS a nyní mají proti nim plnou moc státu - protože vláda si samozřejmě nemůže dovolit, aby se něco takového stalo a být úspěšný.”
Samozřejmě to není jen NHS. Ve Španělsku, El Mundo hlásí, že 85 procent počítačů v Telefonice bylo červem zasaženo. Fedex přiznal, že byli zasaženi, stejně jako Portugal Telecom a ruský MegaFon. A to není bez ohledu na hlavní poskytovatele infrastruktury.
Dvě bitcoinové adresy vytvořené (zde a zde) pro příjem výkupných nyní obsahují kombinovaných 9,21 BTC (v době psaní asi 16 000 USD) ze 42 transakcí. To řekl a potvrdil “nezamýšlené důsledky” teorie je nedostatek identifikace systému poskytovaný s platbami bitcoinů.
Možná mi něco chybí. Pokud má tolik obětí Wcry stejnou bitcoinovou adresu, jak mohou devs říct, kdo zaplatil? Něco ??.
- BleepingComputer (@BleepinComputer) 12. května 2017
Co se stane potom? Začne proces čištění a postižené organizace počítají své ztráty, a to jak finanční, tak na základě dat. Postižené organizace budou dále důkladně zkoumat své bezpečnostní postupy a - opravdu, opravdu doufám - aktualizovat a zanechat zastaralý a nyní nebezpečný operační systém Windows XP.
Doufáme.
Byli jste přímo ovlivněni WanaCryptorem 2.0? Ztratili jste data nebo jste zrušili schůzku? Myslíte si, že by vlády měly nutit modernizaci kritické infrastruktury? Sdělte nám své zkušenosti s WanaCryptor 2.0 níže a dejte nám vědět, pokud jsme vám pomohli.
Image Credit: Všechno, co dělám, prostřednictvím Shutterstock.com