Глобальная атака вымогателей и как защитить ваши данные

Рекламное объявление

Массовая кибератака поразила компьютеры по всему миру. Высоко вирулентный самовоспроизводящийся вымогатель - известный как WanaCryptor, Wannacry или Wcry - частично присвоил эксплойт Агентства национальной безопасности (АНБ) выпущен в дикую природу в прошлом месяце Киберпреступники владеют инструментами взлома ЦРУ: что это значит для васСамая опасная вредоносная программа Центрального разведывательного управления, способная взломать практически всю беспроводную бытовую электронику, теперь может оказаться в руках воров и террористов. Так что это значит для вас? Подробнее хакерской группой, известной как The Shadow Brokers.

Считается, что вымогатель заразил по меньшей мере 100 000 компьютеров, по словам разработчиков антивирусных программ, стой. Массовая атака была в основном нацелена на Россию, Украину и Тайвань, но распространилась на крупные учреждения как минимум в 99 других странах. Помимо требования 300 долларов США (около 0,17 биткойнов на момент написания статьи), инфекция также заметна за многоязычный подход к обеспечению выкупа: вредоносная программа поддерживает более двух десятков языки.

Что происходит?

WanaCryptor вызывает массовые, почти беспрецедентные нарушения. Вымогателей влияет на банки, больницы, телекоммуникации, электроэнергетику, и другая критически важная инфраструктура Когда правительства атакуют: обнаружены вредоносные программы на национальном уровнеСейчас происходит кибервойна, скрытая в интернете, ее результаты редко наблюдаются. Но кто игроки на этом театре военных действий и какое у них оружие? Подробнее .

В одной только Великобритании, как минимум 40 NHS (National Health Service) Trusts объявили чрезвычайные ситуации, заставив отмены важных операции, а также подрывает безопасность пациентов и почти наверняка приводит к со смертельным исходом.

Полиция находится в больнице Саутпорта, а машины скорой помощи «поддерживаются» в A & E, поскольку сотрудники справляются с продолжающимся кризисом взлома #NHSpic.twitter.com/Oz25Gt09ft

- Олли Коуэн (@Ollie_Cowan) 12 мая 2017 г.

WanaCryptor впервые появился в феврале 2017 года. Первоначальная версия вымогателей изменила затронутые расширения файлов на «.WNCRY», а также пометила каждый файл строкой «WANACRY!»

WanaCryptor 2.0 быстро распространяется между компьютерами с помощью эксплойта, связанного с Equation Group, хакерский коллектив тесно связан с АНБ (и, по слухам, это их «грязный» взлом) единица измерения). Уважаемый исследователь безопасности, Кафейн, подтвердил, что эксплойт, известный как ETERNALBLUE или MS17-010, вероятно, был представлен в обновленной версии.

WannaCry / WanaCrypt0r 2.0 действительно запускает правило ET: 2024218 «ET EXPLOIT Возможный ETERNALBLUE MS17-010 Echo Response» pic.twitter.com/ynahjWxTIA

- Кафейн (@kafeine) 12 мая 2017 г.

Многочисленные эксплойты

Эта вспышка вымогателей отличается от того, что вы, возможно, уже видели (и, надеюсь, не испытали). WanaCryptor 2.0 объединяет утечку SMB (блок сообщений сервера, сетевой протокол обмена файлами Windows) использовать самовоспроизводящуюся полезную нагрузку, позволяющую вымогателю распространяться с одной уязвимой машины на следующий. Этот червь-вымогатель отключает обычный метод доставки вымогателей зараженной электронной почты, ссылки или других действий.

Адам Kujawa, исследователь в Malwarebytes сказал Ars Technica «Первоначальный вектор заражения - это то, что мы все еще пытаемся выяснить... Учитывая, что эта атака кажется Это может быть связано либо с уязвимостью в защите сети, либо с помощью тщательно продуманного фишинга атака. Несмотря на это, он распространяется через зараженные сети с помощью уязвимости EternalBlue, заражая дополнительные непатентованные системы ».

WanaCryptor также использует DOUBLEPULSAR, еще одна утечка АНБ CIA Hacking & Vault 7: ваше руководство по последней версии WikiLeaksВсе говорят о WikiLeaks - снова! Но ЦРУ на самом деле не смотрит тебя через твое умное телевидение, не так ли? Конечно, утечка документов - это подделка? Или, может быть, это сложнее, чем это. Подробнее . Это бэкдор, используемый для удаленного внедрения и запуска вредоносного кода. Инфекция сканирует хосты, ранее зараженные бэкдором, и при обнаружении использует существующую функциональность для установки WanaCryptor. В тех случаях, когда в хост-системе отсутствует бэкдор DOUBLEPULSAR, вредоносная программа возвращается к эксплойту ETERNALBLUE SMB.

Критическое обновление безопасности

Огромная утечка хакерских инструментов АНБ попала в заголовки новостей по всему миру. Непосредственные и непревзойденные доказательства того, что АНБ собирает и хранит невыпущенные эксплойты нулевого дня для своего собственного использования, есть. Это создает огромный риск для безопасности 5 способов защитить себя от подвига нулевого дняЭксплойты нулевого дня, программные уязвимости, которые используются хакерами до того, как патч станет доступным, представляют собой реальную угрозу вашим данным и конфиденциальности. Вот как вы можете держать хакеров в страхе. Подробнее , как мы сейчас увидели.

К счастью, Microsoft заплата подвиг Eternalblue в марте до того, как в заголовки попала массовая эксплойтная программа Shadow Brokers. Учитывая характер атаки, то, что мы знаем, что этот конкретный эксплойт находится в игре, и быстрый характер заражения, казалось бы, огромное количество организаций не удалось установить критическое обновление Как и почему вам нужно установить это исправление Подробнее - более двух месяцев после его выпуска.

В конечном счете, пострадавшие организации захотят сыграть в игру по обвинению. Но куда должен указывать палец? В этом случае достаточно обвинить: АНБ для накопление опасных подвигов нулевого дня Что такое уязвимость нулевого дня? [MakeUseOf Объясняет] Подробнее злоумышленники, которые обновили WanaCryptor с помощью утечек, многочисленные организации, которые проигнорировали критическое обновление безопасности, и другие организации, все еще использующие Windows XP.

Эти люди, возможно, погибли, потому что организации обнаружили, что бремя обновления их основной операционной системы просто поражает.

Microsoft есть немедленно выпущен критическое обновление безопасности для Windows Server 2003, Windows 8 и Windows XP.

Релизы Microsoft #WannaCrypt защита для продуктов без поддержки Windows XP, Windows 8 и Windows Server 2003: https://t.co/ZgINDXAdCj

- Microsoft (@Microsoft) 13 мая 2017 г.

Я в опасности?

WanaCryptor 2.0 распространяется как лесной пожар. В некотором смысле, люди вне индустрии безопасности забыли о быстром распространении червя, и это может вызвать панику. В этом гипер-связанном возрасте, и в сочетании с крипто-вымогателями, поставщики вредоносных программ оказались на страшном победителе.

Вы в опасности? К счастью, до того, как Соединенные Штаты проснулись и приступили к своему вычислительному дню, MalwareTechBlog обнаружил переключатель уничтожения, спрятанный в коде вредоносного ПО, который ограничил распространение инфекции.

Переключатель уничтожения включал очень длинное бессмысленное доменное имя - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - к которому вредоносная программа обращается с запросом.

Таким образом, я могу только добавить «случайно остановил международную кибератаку» к моему резюме. ^^

- ScarewareTech (@MalwareTechBlog) 13 мая 2017 г.

Если запрос возобновляется (т.е. принимает запрос), вредоносная программа не заражает компьютер. К сожалению, это не помогает никому уже зараженным. Исследователь безопасности MalwareTechBlog зарегистрировал адрес для отслеживания новых заражений по их запросам, не понимая, что это был аварийный выключатель.

#Хочу плакать полезная нагрузка распространения содержит ранее незарегистрированный домен, выполнение завершается неудачно, когда домен провалился pic.twitter.com/z2ClEnZAD2

- Дариен Хусс (@darienhuss) 12 мая 2017 г.

К сожалению, существует вероятность того, что существуют другие варианты вымогателей, каждый со своим собственным kill-switch (или не совсем, в зависимости от обстоятельств).

Уязвимость также можно устранить, отключив SMBv1. Microsoft предоставляет подробное руководство о том, как это сделать для Windows и Windows Server. В Windows 10 это может быть быстро достигается нажатием Windows ключ + X, выбирая PowerShell (Admin)и вставив следующий код:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

SMB1 - это старый протокол. Более поздние версии не уязвимы для варианта WanaCryptor 2.0.

Кроме того, если ваша система обновилась как обычно, вы вряд ли чувствовать прямые последствия этой конкретной инфекции. Тем не менее, если вы отменили назначение в NHS, ошиблись банковские платежи или не получили жизненно важный пакет, вы все равно были затронуты.

И слово для мудрых, исправленный эксплойт не всегда делает эту работу. Conficker, кто-нибудь?

Что произойдет дальше?

В Великобритании WanaCryptor 2.0 первоначально описывался как прямая атака на NHS. Это было обесценено. Но проблема остается в том, что сотни тысяч людей испытали прямые сбои из-за вредоносного ПО.

Вредоносное ПО несет признаки атаки с непредвиденными последствиями. Эксперт по кибербезопасности, доктор Афзал Ашраф, рассказал Би-би-си что «они, вероятно, напали на небольшую компанию, предполагая, что они получат небольшую сумму денег, но она попала в систему NHS, и теперь они иметь полную власть государства против них - потому что, очевидно, правительство не может допустить, чтобы такого рода вещи происходили и были успешный «.

Конечно, это не просто ГСЗ. В Испании, Эль Мундосообщают, что 85 процентов компьютеров На телефонике пострадали черви. Fedex признал, что они пострадали, а также Portugal Telecom и российский МегаФон. И это без учета основных поставщиков инфраструктуры.

Создано два адреса биткойнов (Вот и Вот) для получения выкупа теперь содержится 9,21 BTC (около 16 000 долларов США на момент написания) из 42 транзакций. Тем не менее, и подтверждением теории «непреднамеренных последствий» является отсутствие системной идентификации, предоставляемой биткойн-платежами.

Может быть, я что-то упустил. Если так много жертв Wcry имеют один и тот же биткойн-адрес, как разработчики могут определить, кто заплатил? Нечто ...

- BleepingComputer (@BleepinComputer) 12 мая 2017 г.

Так что же будет дальше? Начинается процесс очистки, и пострадавшие организации считают свои убытки, как финансовые, так и основанные на данных. Кроме того, затронутые организации будут долго и внимательно изучать свои методы обеспечения безопасности и - я действительно, действительно надежда - обновление, оставляя устаревшую и теперь опасную операционную систему Windows XP позади.

Мы надеемся.

Были ли вы непосредственно затронуты WanaCryptor 2.0? Вы потеряли данные или отменили встречу? Считаете ли вы, что правительства должны форсировать модернизацию критически важной инфраструктуры? Сообщите нам о своем опыте работы с WanaCryptor 2.0 ниже и расскажите нам, если мы вам поможем.

Image Credit: Все, что я делаю через Shutterstock.com