Mainos
Massiivinen verkkohyökkäys on osunut tietokoneisiin ympäri maailmaa. Erittäin virulentti itsetoistuva ransomware - tunnetaan nimellä WanaCryptor, Wannacry tai Wcry - on osittain valtuuttanut kansallisen turvallisuusviraston (NSA) hyväksikäytön päästetty luontoon viime kuussa Kyberrikolliset hallussaan CIA-hakkerointityökaluja: mitä tämä tarkoittaa sinulleKeskushallinnon vaarallisimmat haittaohjelmat - jotka pystyvät hakkeroimaan melkein kaiken langattoman kulutuselektroniikan - voisivat nyt istua varkaiden ja terroristien käsissä. Mitä se tarkoittaa sinulle? Lue lisää hakkerointiryhmä, joka tunnetaan nimellä The Shadow Brokers.
Ransomware-ohjelmiston uskotaan tartunnan saaneen vähintään 100 000 tietokonetta, virustentorjuntaohjelmien kehittäjien mukaan Avast. Massiivinen hyökkäys kohdistui pääasiassa Venäjälle, Ukrainaan ja Taiwaniin, mutta levisi suuriin instituutioihin ainakin 99 muussa maassa. Sen lisäksi, että vaaditaan 300 dollaria (noin 0,17 Bitcoinia kirjoittamishetkellä), infektio on myös huomattava monikielisestä lähestymistavasta lunnaan turvaamiseen: haittaohjelma tukee yli kaksikymmentä Kieli (kielet.
Mitä tapahtuu?
WanaCryptor aiheuttaa suuria, melkein ennennäkemättömiä häiriöitä. Lunastusohjelma vaikuttaa pankkeihin, sairaaloihin, televiestintään, sähköyhtiöihin, ja muu operatiivisen kriittinen infrastruktuuri Kun hallitukset hyökkäävät: kansallisvaltioiden haittaohjelmat paljastettiinKybersota on käynnissä juuri nyt, Internetin piilossa, sen tuloksia havaitaan harvoin. Mutta kuka pelaajia tässä sotateatterissa, ja mitkä ovat heidän aseensa? Lue lisää .
Pelkästään Isossa-Britanniassa vähintään 40 NHS (National Health Service) luottaa ilmoitettuihin hätätilanteisiin, pakottaen tärkeiden toimenpiteiden peruuttamisen leikkaukset samoin kuin heikentävät potilasturvallisuutta ja johtavat melko varmasti kuolemantapauksia.
Poliisi on Southportin sairaalassa, ja ambulansseja tuetaan A&E: llä, kun henkilökunta selviytyy meneillään olevasta hakkkokriisistä #NHSpic.twitter.com/Oz25Gt09ft
- Ollie Cowan (@Ollie_Cowan) 12. toukokuuta 2017
WanaCryptor ilmestyi ensimmäisen kerran helmikuussa 2017. Ransomware-sovelluksen alkuperäinen versio muutti tiedostotunnisteet “.WNCRY”: ksi ja merkitsi jokaisen tiedoston merkkijonolla “WANACRY!”.
WanaCryptor 2.0 leviää nopeasti tietokoneiden välillä yhtälöryhmään liittyvän hyväksikäytön avulla, a NSA: han läheisesti liittyvä hakkerointiryhmä (ja huhutaan olevan heidän sisäinen "likainen" hakkerointinsa) yksikkö). Arvostettu turvallisuustutkija Kafeine vahvisti, että ETERNALBLUE- tai MS17-010-niminen hyväksikäyttö todennäköisesti sisältyy päivitettyyn versioon.
WannaCry / WanaCrypt0r 2.0 laukaisee todellakin ET-säännön: 2024218 "ET KÄYTÄ mahdollisesti ETERNALBLUE MS17-010 kaiun vastausta" pic.twitter.com/ynahjWxTIA
- Kafeine (@kafeine) 12. toukokuuta 2017
Useita hyväksikäyttöjä
Tämä ransomware-puhkeaminen on erilainen kuin mitä olet jo nähnyt (ja toivon, ettet ole kokenut). WanaCryptor 2.0 yhdistää vuotaneen SMB: n (Server Message Block, Windows-verkkotiedostojen jakamisprotokolla) Hyödynnä itsetoistuvalla hyötykuormalla, joka antaa lunastusohjelman leviää yhdestä haavoittuvasta koneesta Seuraava. Tämä lunastusmato katkaisee tartunnan saaneen sähköpostin, linkin tai muun toiminnan tavallisen lunastusohjelman toimitustavan.
Malwarebytesin tutkija Adam Kujawa kertoi Ars Technica “Alkuperäinen tartuntavektori on jotain, jota yritämme edelleen selvittää... Ottaen huomioon, että tämä hyökkäys näyttää kohdennettu, se voi johtua joko verkon suojausjärjestelmien haavoittuvuudesta tai erittäin hyvin muotoillusta keihäshuijauksesta hyökkäys. Siitä huolimatta, se leviää tartunnan saaneiden verkkojen kautta EternalBlue-haavoittuvuuden avulla, tartuttaen lisäksi lähettämättömiä järjestelmiä. "
WanaCryptor hyödyntää myös DOUBLEPULSARia, toinen vuotanut NSA: n hyväksikäyttö CIA-hakkerointi ja holvi 7: Opas viimeisimpään WikiLeaks-julkaisuunKaikki puhuvat WikiLeaksista - jälleen! Mutta CIA ei todellakaan tarkkaile sinua älytelevisiosi kautta, eikö niin? Varmasti vuotaneet asiakirjat ovat väärennöksiä? Tai ehkä se on monimutkaisempi. Lue lisää . Tätä takaovia käytetään haittakoodien syöttämiseen ja suorittamiseen etäyhteyden kautta. Infektio tarkistaa aiemmin takaovesta tartunnan saaneet isännät, ja kun löydetään, käyttää olemassa olevia toimintoja WanaCryptorin asentamiseen. Tapauksissa, joissa isäntäjärjestelmässä ei ole olemassa olevaa DOUBLEPULSAR-takaovia, haittaohjelma palaa takaisin ETERNALBLUE SMB: n hyväksikäyttöön.
Kriittinen tietoturvapäivitys
NSA-hakkerointityökalujen valtava vuoto teki otsikot ympäri maailmaa. Heti on olemassa välitöntä ja vertaansa vailla olevaa näyttöä siitä, että NSA kerää ja varastoi vapauttamattomia nollapäivän hyödykkeitä omaan käyttöönsä. Tämä aiheuttaa valtavan turvallisuusriskin 5 tapaa suojata itseäsi nollapäivän hyväksikäytöltäNollapäivän hyväksikäyttö, hakkerit käyttävät ohjelmistoheikkoudet, ennen kuin laastari tulee saataville, muodostavat todellisen uhan tietoillesi ja yksityisyytellesi. Näin voit pitää hakkerit loitolla. Lue lisää , kuten olemme nyt nähneet.
Onneksi Microsoft paikattu Eternalblue-hyväksikäyttö maaliskuussa ennen kuin varjovälittäjien massiivinen ase-asteinen hyväksikäyttölaji osui otsikoihin. Hyökkäyksen luonteen perusteella, koska tiedämme, että tämä erityinen hyväksikäyttö on käynnissä, ja tartunnan nopean luonteen vuoksi, näyttää siltä, että valtava määrä organisaatioita eivät ole pystyneet asentamaan kriittistä päivitystä Kuinka ja miksi sinun täytyy asentaa tämä tietoturvakorjaus Lue lisää - yli kaksi kuukautta julkaisun jälkeen.
Viime kädessä asianomaiset organisaatiot haluavat pelata syytyspeliä. Mutta missä sormen pitäisi osoittaa? Tässä tapauksessa syytä jakaa riittävästi: NSA for vaarallisten nollapäivien hyödyntäminen Mikä on nolla päivän haavoittuvuus? [MakeUseOf selittää] Lue lisää , väärinkäyttäjät, jotka päivittivät WanaCryptorin vuotaneilla hyväksikäytöillä, lukuisat organisaatiot, jotka jättivät huomiotta kriittisen tietoturvapäivityksen, ja muut organisaatiot, jotka edelleen käyttävät Windows XP: tä.
Että ihmiset ovat kuolleet, koska organisaatiot havaitsivat ensisijaisen käyttöjärjestelmänsä päivittämisen taakan yksinkertaisesti hätkähdyttävää.
Microsoftilla on heti vapautettu kriittinen tietoturvapäivitys Windows Server 2003, Windows 8 ja Windows XP: lle.
Microsoftin julkaisut #WannaCrypt suojaus ulkopuolella oleville tuotteille Windows XP, Windows 8 ja Windows Server 2003: https://t.co/ZgINDXAdCj
- Microsoft (@Microsoft) 13. toukokuuta 2017
Olenko vaarassa?
WanaCryptor 2.0 levisi sammuttimena. Turva-alan ulkopuolella olevat ihmiset olivat unohtaneet unohtamatta mahan nopean leviämisen ja paniikki, jonka se voi aiheuttaa. Tässä hyperyhteydessä olevassa iässä, ja yhdistettynä krypto-ransomware-ohjelmiin, haittaohjelmien hankkijat olivat kauhistuttavaa voittajaa.
Oletko vaarassa? Onneksi ennen Yhdysvaltojen heräämistä ja laskentapäiväänsä MalwareTechBlog löysi haittaohjelmaan piilotetun tap-kytkimen, joka hillitsi tartunnan leviämistä.
Tapaaminen-kytkin sisälsi erittäin pitkän järkevän verkkotunnuksen - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com -, johon haittaohjelma pyytää.
Joten voin lisätä vain "vahingossa lopettaneen kansainvälisen verkkohyökkäyksen" Résumé-julkaisuuni. ^^
- ScarewareTech (@MalwareTechBlog) 13. toukokuuta 2017
Jos pyyntö palaa reaaliaikaisesti (ts. Hyväksyy pyynnön), haittaohjelma ei saastuta konetta. Valitettavasti se ei auta jo tartunnan saaneita henkilöitä. MalwareTechBlogin takana oleva tietoturvatutkija rekisteröi osoitteen jäljittääkseen uusia tartuntoja pyyntöjensä kautta, ymmärtämättä, että se oli hätätappikytkin.
#Haluta itkeä leviämisen hyötykuorma sisältää aiemmin rekisteröimätön verkkotunnus, suorittaminen epäonnistuu nyt, kun verkkotunnus on poistettu pic.twitter.com/z2ClEnZAD2
- Darien Huss (@darienhuss) 12. toukokuuta 2017
Valitettavasti on mahdollista, että lunasuojaohjelmille on olemassa muita variantteja, jokaisella on oma kill-kytkin (tai ei ollenkaan, tapauksen mukaan).
Haavoittuvuutta voidaan vähentää myös poistamalla SMBv1 käytöstä. Microsoft tarjoaa perusteellisen oppaan kuinka tämä tehdään Windowsille ja Windows Serverille. Windows 10: ssä tämä voi olla saavutetaan nopeasti painamalla Windows-näppäin + X, valitsemalla PowerShell (järjestelmänvalvoja)ja liittämällä seuraava koodi:
Poista käytöstä-WindowsOptionalFeature -Online -FeatureName smb1protokolla
SMB1 on vanha protokolla. WanaCryptor 2.0 -versio ei ole alttiimpi uudemmille versioille.
Lisäksi, jos järjestelmäsi on päivitetty normaalisti, olet epätodennäköistä tuntea tämän infektion suorat vaikutukset. Jos NHS-tapaaminen oli peruutettu, pankkimaksu meni väärin tai elintärkeä paketti ei saapunut, olet vaikuttanut sinuun riippumatta.
Ja sanoen viisaille, hajanainen hyväksikäyttö ei aina tee työtä. Conficker, kukaan?
Mitä tapahtuu seuraavaksi?
Yhdysvalloissa WanaCryptor 2.0: ta kuvailtiin alun perin suorana hyökkäyksenä NHS: lle. Tämä on alennettu. Mutta ongelmana on edelleen, että sadat tuhannet ihmiset kokivat haittaohjelmien aiheuttamat suorat häiriöt.
Haittaohjelmalla on hyökkäyksen tunnusmerkkejä, joilla on dramaattisesti tahattomia seurauksia. Kyberturvallisuusasiantuntija, tri Afzal Ashraf, kertoi BBC: lle että ”he todennäköisesti hyökkäsivät pienen yrityksen kanssa olettaen saavansa pienen määrän rahaa, mutta se pääsi NHS-järjestelmään ja nyt he heillä on valtion täysi valta heitä vastaan - koska hallituksella ei selvästikään ole varaa tällaisen asian tapahtumiseen ja ollakseen onnistunut.”
Se ei tietenkään ole vain NHS. Espanjassa, El Mundoilmoittavat, että 85 prosenttia tietokoneista osoitteessa Telefonica kärsi mato. Fedex tunnusti, että ne olivat kärsineet, samoin kuin Portugal Telecom ja Venäjän MegaFon. Eikä siis huomioimalla myös suuria infrastruktuurin tarjoajia.
Kaksi bitcoin-osoitetta luotu (tässä ja tässä) lunnausten vastaanottamiseksi sisältää nyt yhdistetyn 9,21 BTC: n (noin 16 000 dollaria dollaria kirjoittamishetkellä) 42 tapahtumasta. Se, mitä vahvistetaan "tahattomista seurauksista", on Bitcoin-maksujen mukana toimitetun järjestelmän tunnistamisen puute.
Ehkä minulta puuttuu jotain. Jos niin monilla Wcry-uhreilla on sama bitcoin-osoite, kuinka devit pystyvät ilmoittamaan kuka maksoi? Jotain ...
- BleepingComputer (@BleepinComputer) 12. toukokuuta 2017
Joten mitä seuraavaksi tapahtuu? Siivousprosessi alkaa, ja kärsivät organisaatiot laskevat tappionsa, sekä taloudellisia että tietopohjaisia. Lisäksi asianomaiset organisaatiot tarkastelevat kauan ja tiukasti turvallisuuskäytäntöjään ja - minä todella, todella toivoa - päivitys, jättäen vanhentuneen ja nyt vaarallisen Windows XP -käyttöjärjestelmän takana.
Toivomme.
Vaikuttiko WanaCryptor 2.0 suoraan? Oletko menettänyt tietoja tai onko tapaaminen peruutettu? Luuletko hallitusten pakottavan operatiivisen kriittisen infrastruktuurin päivittämään? Kerro meille alla olevista WanaCryptor 2.0 -kokemuksista ja anna meille oma osuutemme, jos olemme auttaneet sinua.
Kuvahyvitys: Kaikki mitä teen Shutterstock.com-sivuston kautta
Gavin on MUO: n vanhempi kirjoittaja. Hän on myös toimittaja ja SEO Manager MakeUseOfin salaustekniselle sisaryritykselle Blocks Decoded. Hänellä on nykyaikainen BA (Hons) -kirjallisuus digitaalisen taiteen käytännöllä, joka on repiä Devonin kukkuloilta, sekä yli kymmenen vuoden ammattikirjoittamisen kokemus. Hän nauttii runsasta määrää teetä.