Global Ransomware Attack i kako zaštititi svoje podatke

Oglas

Ogroman cyber-napad napao je računala širom svijeta. Visoko virulentno samoobnavljajuće otkupno sredstvo - poznato pod nazivom WanaCryptor, Wannacry ili Wcry - dijelom je prisvojilo eksploataciju Agencije za nacionalnu sigurnost (NSA) pušten u divljinu prošlog mjeseca Cyber ​​kriminalci posjeduju CIA alate za hakiranje: što ovo znači za vasNajopasniji zlonamjerni softver Centralne obavještajne agencije - koji može hakirati gotovo svu bežičnu potrošačku elektroniku - sada bi mogao sjediti u lopovima i teroristima. Pa što to znači za vas? Čitaj više od strane hakerske grupe poznate kao The Shadow Brokers.

Smatra se da ransomware zarazi najmanje 100.000 računala, prema antivirusnim programerima, Avast. Masovni napad pretežno je ciljao na Rusiju, Ukrajinu i Tajvan, ali proširio se i na glavne institucije u najmanje 99 drugih zemalja. Osim što je tražio 300 dolara (oko 0,17 bitcoina u vrijeme pisanja teksta), zapažena je i infekcija zbog svog višejezičnog pristupa u osiguravanju otkupnine: zlonamjerni softver podržava više od dvije doze Jezici.

Što se događa?

WanaCryptor izaziva velike, gotovo neviđene poremećaje. Otkupni softver utječe na banke, bolnice, telekomunikacije, elektroenergetske usluge, i drugu kritičnu infrastrukturu Kad vlade napadaju: Nation-State Malware izloženTrenutno se odvija cyber-rat, skriven internetom, čiji se rezultati rijetko primjećuju. Ali tko su igrači ovog ratnog teatra i koja su njihova oružja? Čitaj više .

Samo u Velikoj Britaniji barem 40 NHS (Nacionalna zdravstvena služba) Trustovi su proglasili hitne slučajeve, prisiljavajući na otkazivanje važnih operacije, kao i potkopavanje sigurnosti i sigurnosti pacijenata i gotovo sigurno vode do toga smrtnih slučajeva.

Policija se nalazi u bolnici Southport, a ambulante su poduprte u kompaniji A&E dok se osoblje nosi s trenutnom krizom napada #NHSpic.twitter.com/Oz25Gt09ft

- Ollie Cowan (@Ollie_Cowan) 12. svibnja 2017

WanaCryptor se prvi put pojavio u veljači 2017. Početna verzija ransomwarea promijenila je proširenja datoteke na „.WNCRY“ kao i označavanje svake datoteke nizom „WANACRY!“

WanaCryptor 2.0 se brzo širi između računala pomoću eksploziva povezanog s Equation Group, a sjeo je kolektiv koji je usko povezan s NSA-om (i priča se da je njihovo "prljavo" hakiranje u kući jedinica). Ugledni sigurnosni istraživač, Kafeine, potvrdio je da je eksplozija poznata kao ETERNALBLUE ili MS17-010 vjerojatno uključena u ažuriranu verziju.

WannaCry / WanaCrypt0r 2.0 zaista pokreće ET pravilo: 2024218 "ET EXPLOIT Mogući ETERNALBLUE MS17-010 Echo Response" pic.twitter.com/ynahjWxTIA

- Kafeine (@kafeine) 12. svibnja 2017

Višestruki eksploati

Ova epidemija ransomwarea razlikuje se od onoga što ste možda već vidjeli (i nadam se da niste iskusili). WanaCryptor 2.0 kombinira procurjeni SMB (Blokada poruka poslužitelja, protokol za dijeljenje datoteka u Windows mreži) iskoristiti s samoobnovljujućim korisnim opterećenjem omogućavajući širenju softvera da se širi s jednog ranjivog stroja na Sljedeći. Ovaj crv otkupa prekida uobičajeni način davanja ransomwarea zaraženog e-pošte, veze ili druge radnje.

Adam Kujawa, istraživač na Malwarebytesu rekao Ars Technica "Početni vektor zaraze je nešto što još uvijek pokušavamo saznati... S obzirom na to da se čini kako se napada napada ciljano, možda je to bilo preko ranjivosti u obrani mreže ili vrlo dobro izrađenog podmetanja koplja napad. Bez obzira na to, širi se preko zaraženih mreža koristeći EternalBlue ranjivost, zarazujući dodatne nepačirane sustave. "

WanaCryptor također koristi DOUBLEPULSAR, još jedan procurio eksploziv NSA CIA Hacking & Vault 7: Vaš vodič za najnovije izdanje WikiLeaksaSvi pričaju o WikiLeaksu - opet! Ali CIA te stvarno ne gleda putem pametnog televizora, zar ne? Sigurno su iscureni dokumenti lažirali? Ili je možda složenije od toga. Čitaj više . Ovo je stražnja vrata koja se koriste za daljinsko ubrizgavanje i pokretanje zlonamjernog koda. Infekcija skenira domaćine koji su prethodno bili zaraženi stražnjom kućom, a kada ih se pronađe, koristi postojeću funkcionalnost za instaliranje WanaCryptor. U slučajevima kada sustav domaćina nema postojeću stražnju inačicu DOUBLEPULSAR, zlonamjerni softver se vraća na ETERNALBLUE SMB eksploataciju.

Kritično ažuriranje sigurnosti

Ogromno propuštanje alata za hakiranje NSA provelo je naslove širom svijeta. Trenutačno su neprimjereni dokazi da NSA prikuplja i pohranjuje neispunjene iskorištavanje nula dana za vlastitu upotrebu. To predstavlja ogroman sigurnosni rizik 5 načina da se zaštitite od iskorištavanja od jednog danaZero-day iskorištavanja, softverske ranjivosti koje hakeri iskorištavaju prije nego što zakrpa postane dostupna, predstavljaju istinsku prijetnju vašim podacima i privatnosti. Evo kako možete zadržati hakere na visini. Čitaj više , kao što smo sada vidjeli.

Srećom, Microsoft skrpan iskorištavanje Eternalblue u ožujku prije nego što je masovna eksplozivna garnitura Shadow Brokera dosegla naslove. S obzirom na prirodu napada, za koji znamo da se igra ovaj specifični podvig i brzu prirodu zaraze, čini se da će ogroman broj organizacija nisu uspjeli instalirati kritično ažuriranje Kako i zašto trebate instalirati tu sigurnosnu zakrpu Čitaj više - više od dva mjeseca nakon objavljivanja.

U konačnici, pogođene organizacije će htjeti igrati krivicu. Ali gdje bi trebao upirati prst? U ovom je slučaju dovoljno krivnje za dijeljenje okolo: NSA za skladištenja opasnih podviga iz nule Što je ranjivost od nule? [MakeUseOf objašnjava] Čitaj više , zlonamjernici koji su ažurirali WanaCryptor procurjenim eksploatacijama, brojne organizacije koje su ignorirale kritičko sigurnosno ažuriranje i daljnje organizacije koje i dalje koriste Windows XP.

Da su ljudi možda umrli jer su organizacije pronašle teret nadogradnje svog primarnog operativnog sustava jednostavno iznenađujuće.

Microsoft imaju odmah pušten kritično sigurnosno ažuriranje za Windows Server 2003, Windows 8 i Windows XP.

Microsoft izdanja #WannaCrypt zaštita proizvoda koji nisu podržani Windows XP, Windows 8 i Windows Server 2003: https://t.co/ZgINDXAdCj

- Microsoft (@Microsoft) 13. svibnja 2017

Jesam li u riziku?

WanaCryptor 2.0 se širio poput divlje vatre. U određenom su smislu ljudi izvan sigurnosne industrije zaboravili na brzo širenje crva, a to može izazvati panika. U ovom hiperpovezanom dobu, u kombinaciji s kripto-otkupnim softverom, dobavljači zlonamjernog softvera postali su zastrašujući pobjednici.

Jeste li u riziku? Srećom, prije nego što su se Sjedinjene Države probudile i započele svoj računalni dan, MalwareTechBlog pronašao je prekidač za skrivanje skriven u kodu zlonamjernog softvera, što je umanjilo širenje zaraze.

Prekidač kill obuhvatio je jako dugo besmisleno ime domene - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - kojem zlonamjerni softver podnosi zahtjev.

Tako mogu samo dodati „slučajno zaustavljen međunarodni cyber napad“ svom Résuméu. ^^

- ScarewareTech (@MalwareTechBlog) 13. svibnja 2017

Ako se zahtjev vrati uživo (tj. Prihvaća zahtjev), zlonamjerni softver ne zarazi uređaj. Nažalost, to ne pomaže nikome koji je već zaražen. Istraživač sigurnosti koji stoji iza MalwareTechBlog registrirao je adresu radi praćenja novih infekcija putem njihovih zahtjeva, ne shvaćajući da je u pitanju prelazak u hitnim slučajevima.

#WannaCry korisni teret širenja sadrži prethodno neregistriranu domenu, izvršavanje sada nije uspjelo ako je domena potopljena pic.twitter.com/z2ClEnZAD2

- Darien Huss (@darienhuss) 12. svibnja 2017

Nažalost, postoji mogućnost da postoje i druge inačice ransomwarea, svaka s vlastitim kill-prekidačem (ili uopće ne, ovisno o slučaju).

Ranjivost se može ublažiti i onemogućavanjem SMBv1. Microsoft pruža detaljni vodič o tome kako to učiniti za Windows i Windows Server. U sustavu Windows 10 to može biti brzo se postiže pritiskom Windows tipka + X, odabir PowerShell (Administrator)i lijepljenje sljedećeg koda:

Onemogući-WindowsOptionsFeature -Online -FeatureName smb1protocol

SMB1 je stari protokol. Novije verzije nisu osjetljive na varijantu WanaCryptor 2.0.

Pored toga, ako se vaš sustav ažurirao kao normalno, tada ste nevjerojatno osjetiti izravne učinke ove infekcije. U tom slučaju, ako vam je otkazan sastanak NHS-a, uplata banaka nestala ili vitalni paket nije stigao, pogođeni ste, bez obzira na to.

A riječ mudrim, zakrpljeni podvig ne radi uvijek posao. Conficker, bilo tko?

Što je slijedeće?

U Velikoj Britaniji WanaCryptor 2.0 je u početku opisan kao izravni napad na NHS. Ovo je sniženo. Ali ostaje pitanje kako su stotine tisuća pojedinaca doživjeli izravne poremećaje zbog zlonamjernog softvera.

Zlonamjerni softver nosi obilježja napada s drastično nenamjernim posljedicama. Stručnjak za kibernetičku sigurnost, dr. Afzal Ashraf, rekao je za BBC da su "vjerojatno napali malu tvrtku pretpostavljajući da će dobiti malo novca, ali to je ušlo u NHS sustav i sada su ima punu moć države nad njima - jer očigledno da vlada ne može priuštiti da se takve stvari i dogode uspješan.”

Naravno, to nije samo NHS. U Španjolskoj, El Mundoizvijestili su da 85 posto računala na Telefonici su bili pogođeni crva. Fedex se uvjerio da su pogođeni, kao i Portugal Telecom i ruski MegaFon. I to bez razmatranja glavnih dobavljača infrastrukture.

Izrađene dvije bitcoin adrese (ovdje i ovdje) za primanje otkupnine sada sadrže kombinirani 9,21 BTC (oko 16 000 USD u trenutku pisanja) od 42 transakcije. To je rečeno, a potvrđuje teorija o "nenamjernim posljedicama" nedostatak identifikacije sustava koja je osigurana Bitcoin uplatama.

Možda mi nešto nedostaje. Ako toliko žrtava Wcryja ima istu bitcoin adresu, kako vragovi mogu odrediti tko je platio? Nešto ...

- BleepingComputer (@BleepinComputer) 12. svibnja 2017

Što se dalje događa? Počinje proces čišćenja, a pogođene organizacije broje gubitke, kako financijske tako i na temelju podataka. Nadalje, pogođene organizacije dugo će i teško promatrati svoje sigurnosne prakse i - ja uistinu, uistinu se nadam - nadogradnja, ostavljajući starinski i sada opasni Windows XP operativni sustav iza.

Nadamo se.

Jeste li izravno utjecali na WanaCryptor 2.0? Jeste li izgubili podatke ili ste otkazali sastanak? Mislite li da bi vlade trebale prisiliti na nadogradnju ključne kritične infrastrukture? Javite nam svoja iskustva WanaCryptor 2.0 u nastavku i recite nam ako smo vam pomogli.

Kreditna slika: Sve što radim putem Shutterstock.com