A globális Ransomware támadás és az adatok védelme

Hirdetés

Egy hatalmas számítógépes támadás a számítógépeket szerte a világon. A rendkívül virulens, önreplikáló ransomware - a WanaCryptor, Wannacry vagy Wcry néven ismert - részben a Nemzeti Biztonsági Ügynökség (NSA) előnyeit bízta meg a múlt hónapban került vadba A számítógépes bűnözők rendelkeznek a CIA hacker eszközökkel: mit jelent ez az Ön számáraA Központi Hírszerző Ügynökség legveszélyesebb rosszindulatú programja - amely szinte minden vezeték nélküli fogyasztói elektronikát képes megtörni - most rabok és terroristák kezébe kerülhet. Mit jelent ez számodra? Olvass tovább egy hacker csoport, az úgynevezett The Shadow Brokers néven.

Úgy gondolják, hogy a vírusölő szoftverek legalább 100 000 számítógépet megfertőztek, az antivírus-fejlesztők szerint Avast. A tömeges támadás elsősorban Oroszországot, Ukrajnát és Tajvanot célozta meg, de legalább 99 másik országban elterjedt a nagyobb intézményekre. Eltekintve attól, hogy 300 dollárt igényel (az írás idején körülbelül 0,17 Bitcoin), a fertőzés szintén figyelemre méltó többnyelvű megközelítéséért a váltságdíj biztosítása érdekében: a malware több mint két tucat támogat nyelven.

Mi folyik itt?

A WanaCryptor hatalmas, szinte példátlan zavarokat okoz. A váltságdíjas programok befolyásolják a bankokat, kórházakat, telekommunikációt, áramszolgáltatókat és más missziókritikus infrastruktúra Amikor a kormányok támadnak: a nemzetállami malware le van tiltvaA számítógépes háború jelenleg zajlik, rejtett az interneten, eredményeit ritkán lehet megfigyelni. De kik a háborús színház szereplői, és mi a fegyver? Olvass tovább .

Önmagában az Egyesült Királyságban, legalább 40 NHS (Nemzeti Egészségügyi Szolgálat) A bizalom bejelentette vészhelyzeteket, kényszerítve a fontos események törlését műtétek, valamint aláássa a betegek biztonságát és biztonságát, és szinte biztosan vezet halálesetek száma.

A rendőrség a Southport Kórházban működik, és a mentőszolgálatokat „támogatták” az A&E-nél, mivel a személyzet megbirkózott a folyamatban lévő hack-válsággal #NHSpic.twitter.com/Oz25Gt09ft

- Ollie Cowan (@Ollie_Cowan) 2017. május 12

A WanaCryptor először 2017. februárjában jelent meg. A ransomware kezdeti verziója az érintett fájlkiterjesztéseket „.WNCRY” -re változtatta, és minden fájlt „WANACRY!” Karakterlánccal megjelölt.

A WanaCryptor 2.0 gyorsan terjed a számítógépek között az Equation Grouphoz társított kihasználás felhasználásával, a az NSA-vel szorosan összekapcsolt hackeregyüttes (és súlyos pletykák szerint a házon belüli „piszkos” hackelésük) Mértékegység). A tisztelt biztonsági kutató, Kafeine megerősítette, hogy az ETERNALBLUE vagy MS17-010 néven ismert kizsákmányolás valószínűleg szerepelt a frissített verzióban.

A WannaCry / WanaCrypt0r 2.0 valóban kiváltja az ET szabályt: 2024218 "ET KIVÉTELE lehetséges az MS17-010 EERNALBLUE Echo válasz" pic.twitter.com/ynahjWxTIA

- Kafeine (@kafeine) 2017. május 12

Többféle kizsákmányolás

Ez a ransomware kitörés különbözik attól, amit már láthatott (és remélem, nem tapasztalt). A WanaCryptor 2.0 egyesíti a kiszivárgott SMB-t (Server Message Block, egy Windows hálózati fájlmegosztó protokoll) kihasználni egy önreplikáló hasznos teher segítségével, amely lehetővé teszi a ransomware terjesztését egyik veszélyeztetett gépről a következő. Ez a váltságdisznó kikapcsolja a fertőzött e-mailek, linkek vagy más műveletek szokásos ransomware kézbesítési módját.

Adam Kujawa, a Malwarebytes kutatója mondta Ars Technica “A kezdeti fertőzésvektor valami, amit még megpróbálunk kideríteni... Figyelembe véve, hogy ez a támadás tűnik Célzott lehet akár a hálózati védelem sebezhetősége, akár egy nagyon jól kialakított lándzsás adathalász támadás. Függetlenül attól, hogy az EternalBlue sebezhetőséget felhasználva a fertőzött hálózatokon keresztül terjed, további nem feltöltött rendszereket fertőz meg. "

A WanaCryptor a DOUBLEPULSAR-ot is kihasználja, egy másik kiszivárgott NSA kihasználja CIA Hacking & Vault 7: Útmutató a WikiLeaks legújabb kiadásáhozMindenki a WikiLeaksről beszél - ismét! De a CIA nem igazán figyel téged az okos TV-jén, igaz? Bizonyára hamisak a kiszivárgott dokumentumok? Vagy talán ennél bonyolultabb is. Olvass tovább . Ez egy hátsó ajtó, amellyel rosszindulatú kódot lehet befecskendezni és futtatni. A fertőzés a hátsó ajtóval korábban fertőzött gazdagépeket vizsgálja meg, és amikor megtalálják, a meglévő funkciókat használja a WanaCryptor telepítéséhez. Azokban az esetekben, amikor a gazdarendszernek nincs meglévő DOUBLEPULSAR hátsó ajtó, a rosszindulatú program visszatér az ETERNALBLUE SMB kizsákmányolásra.

Kritikus biztonsági frissítés

Az NSA hackereszközök hatalmas szivárgása a világ minden tájáról címeket tett. Azonnal rendelkezésre áll azonnali és páratlan bizonyíték arra, hogy az NSA összegyűjti és tárolja a nulla napos kiaknázást saját felhasználására. Ez óriási biztonsági kockázatot jelent 5 módszer, hogy megvédje magát a nulla napos kizsákmányolástólA nulla napos kizsákmányolás, a szoftverek sebezhetőségei, amelyeket a hackerek kihasználnak, mielőtt a javítás elérhetővé válna, valódi veszélyt jelentenek adataira és magánéletére. Így lehet tartani a hackereket. Olvass tovább , amint azt már láttuk.

Szerencsére a Microsoft folt az Eternalblue márciusban elpusztult, még mielőtt az árnyékügynökök hatalmas fegyverminőségi kizsákmányolója eljutott a címsorra. Tekintettel a támadás jellegére, mivel tudjuk, hogy ez a konkrét kizsákmányolás játszik szerepet, valamint a fertőzés gyors jellegére, hatalmas számú szervezet tűnik nem sikerült telepíteni a kritikus frissítést Hogyan és miért kell telepíteni ezt a biztonsági javítást Olvass tovább - több mint két hónappal a kiadása után.

Végül az érintett szervezetek a hibás játékot akarják játszani. De hol kell az ujját mutatni? Ebben az esetben elegendő a hibás megosztás: az NSA azért veszélyes nulla napos kiaknázás Mi a nulla napos biztonsági rés? [MakeUseOf magyarázat] Olvass tovább , a rosszindulatú szereplők, akik frissítették a WanaCryptor szoftvert a kiszivárgott kihasználásokkal, a számos szervezet, amely figyelmen kívül hagyta a kritikus biztonsági frissítést, és további szervezetek, amelyek továbbra is a Windows XP-t használják.

Hogy az emberek meghaltak, mert a szervezetek egyszerűen megdöbbentőnek találták elsődleges operációs rendszerük frissítésének terheit.

A Microsoftnak van azonnal elengedték a Windows Server 2003, a Windows 8 és a Windows XP kritikus biztonsági frissítése.

Microsoft kiadások #WannaCrypt a nem támogatott termékek védelme Windows XP, Windows 8 és Windows Server 2003: https://t.co/ZgINDXAdCj

- Microsoft (@Microsoft) 2017. május 13

Veszélyezve vagyok?

A WanaCryptor 2.0 futótűzként terjedt el. Bizonyos értelemben a biztonsági iparágon kívüli emberek elfelejtették a féreg gyors elterjedését, és pánikot okozhat. Ebben a hiperkapcsolatú korban, a kripto-ransomware-kel kombinálva, a rosszindulatú szoftverek tisztítói félelmetes győztesre kerültek.

Ön veszélyben van? Szerencsére, mielőtt az Egyesült Államok felébredt és elkezdte számításának napját, a MalwareTechBlog egy rosszindulatú programkódban rejtett kill-kapcsolót talált, amely korlátozta a fertőzés terjedését.

A kill-kapcsoló egy nagyon hosszú értelmetlen domainnevet (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) tartalmazott, amelyre a rosszindulatú program kérést tesz.

Tehát csak azt adhatom hozzá, hogy "véletlenül leállítottam egy nemzetközi kiberbántalmat" a Résumé-ra. ^^

- ScarewareTech (@MalwareTechBlog) 2017. május 13

Ha a kérés élőben jön vissza (azaz elfogadja a kérelmet), a rosszindulatú program nem fertőzi meg a gépet. Sajnos ez nem segít senkinek, aki már fertőzött. A MalwareTechBlog mögötti biztonsági kutató regisztrálta a címet az új fertőzések nyomon követésére kéréseik alapján, és nem vette észre, hogy ez a sürgősségi célú gyilkos kapcsoló.

#Sírni akar A terjesztési hasznos teher korábban nem regisztrált domaint tartalmaz, a végrehajtás sikertelen, mivel a domain már el lett távolítva pic.twitter.com/z2ClEnZAD2

- Darien Huss (@darienhuss) 2017. május 12

Sajnos előfordulhat, hogy a ransomware más változatai is léteznek, mindegyik saját kill-kapcsolóval rendelkezik (vagy egyáltalán nincs is).

A biztonsági rést az SMBv1 letiltásával is csökkenthetjük. A Microsoft átfogó oktatóanyagot nyújt arról, hogyan kell ezt megtenni a Windows és a Windows Server esetén. Windows 10 rendszeren ez lehet gyorsan elérhető nyomással Windows billentyű + X, kiválasztva PowerShell (rendszergazda), és beilleszti a következő kódot:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Az SMB1 egy régi protokoll. A legújabb verziók nem érzékenyek a WanaCryptor 2.0 változatára.

Ezen túlmenően, ha a rendszered a normál frissítéseket követte, akkor az vagy valószínűtlen érezni ennek a fertőzésnek a közvetlen hatásait. Ennek ellenére, ha az NHS kinevezését lemondták, a banki fizetés meghiúsult, vagy egy létfontosságú csomag nem érkezett meg, akkor az érintettek, függetlenül attól.

És szólva a bölcseknek: a javított kizsákmányolás nem mindig végzi a munkát. Conficker, valaki?

Mi történik ezután?

Az Egyesült Királyságban a WanaCryptor 2.0-t eredetileg az NHS elleni közvetlen támadásnak nevezték. Ezt levontuk. A kérdés azonban továbbra is az, hogy több százezer ember tapasztalt közvetlen zavarokat a rosszindulatú programok miatt.

A rosszindulatú szoftverek drasztikusan nem szándékos következményekkel járó támadás jellemzőit viselik. Kiberbiztonsági szakértő, Dr. Afzal Ashraf, mondta a BBC-nek hogy „valószínűleg megtámadtak egy kis céget, feltételezve, hogy kevés pénzt fognak kapni, ám ez bekerült az NHS rendszerbe, és most rendelkezzenek az állam teljes hatalmával szembenük - mert nyilvánvalóan a kormány nem engedheti meg magának, hogy ilyen dolog történjen és létezzen sikeres."

Természetesen ez nem csak az NHS. Spanyolországban, El Mundoszámolnak arról, hogy a számítógépek 85% -a a Telefonicát a féreg sújtotta. A Fedex bevallotta, hogy érintettek voltak, valamint a Portugal Telecom és az orosz MegaFon. És ez nem történik meg a nagy infrastrukturális szolgáltatók figyelembevétele mellett.

Két bitcoin cím létrehozva (itt és itt) A váltságdíjak megszerzéséhez 42,2 tranzakcióból összesen 9,21 BTC-t tartalmaznak (az írás idején körülbelül 16 000 USD). Ennek ellenére - és megerősítve a „nem kívánt következmények” elméletét - a Bitcoin fizetésekkel biztosított rendszer-azonosítás hiánya áll fenn.

Talán hiányzik valami. Ha ennyi Wcry áldozat ugyanazzal a bitcoin címmel rendelkezik, akkor hogyan tudják a dev-k megmondani, ki fizetett? Valami ...

- BleepingComputer (@BleepinComputer) 2017. május 12

Mi történik ezután? Megkezdődik a tisztítási folyamat, és az érintett szervezetek pénzügyi és adat-alapú veszteségeket számolnak el. Ezenkívül az érintett szervezetek hosszú és kemény pillantást vetnek biztonsági gyakorlatukra és - I valóban, valóban remélem - frissítés, miközben a régi és most veszélyes Windows XP operációs rendszert hagyja mögött.

Reméljük.

A WanaCryptor 2.0 közvetlenül érintette Önt? Elvesztette az adatait, vagy törölte az időpontot? Ön szerint a kormányoknak kényszeríteniük kell a küldetés szempontjából kritikus infrastruktúrát a fejlesztésre? Mondja meg velünk alább a WanaCryptor 2.0 tapasztalatait, és ossza meg nekünk a részét, ha segítettünk Önnek.

Kép jóváírás: Minden, amit a Shutterstock.com webhelyen csinálok