Annons
Ett massivt cyberattack har drabbat datorer över hela världen. Den mycket virulenta självreplikerande ransomware - känd som WanaCryptor, Wannacry eller Wcry - har delvis anslagit en National Security Agency (NSA) exploatering släpptes i naturen förra månaden Cybercriminals har CIA-hackverktyg: Vad detta betyder för digCentrala underrättelsekontorets farligaste skadliga programvara - som kan hacking nästan all trådlös konsumentelektronik - kan nu sitta i handen på tjuvar och terrorister. Så vad betyder det för dig? Läs mer av en hackinggrupp känd som The Shadow Brokers.
Ransomware tros ha infekterat minst 100 000 datorer, enligt antivirusutvecklare, Avast. Den massiva attacken riktade sig främst mot Ryssland, Ukraina och Taiwan, men spriddes till större institutioner i minst 99 andra länder. Förutom att kräva 300 $ (cirka 0,17 Bitcoin i skrivande stund) är infektionen också anmärkningsvärd för sin flerspråkiga strategi för att säkra lösen: skadlig programvara stöder mer än två dussin språk.
Vad händer?
WanaCryptor orsakar massiv, nästan aldrig tidigare skådad störning. Ransomware påverkar banker, sjukhus, telekommunikation, elföretag, och annan uppdragskritisk infrastruktur När regeringar attackerar: Nation-State Malware ExposedEn cyberwar pågår just nu, dold av internet, dess resultat sällan observeras. Men vem är spelarna i denna krigsteater, och vad är deras vapen? Läs mer .
Endast i Storbritannien, åtminstone 40 NHS (National Health Service) Förtroenden förklarade nödsituationer och tvingade avbokningen av viktiga operationer, samt undergräva patientsäkerhet och säkerhet och nästan säkert leda till dödsfall.
Polisen är på Southport Hospital och ambulanser är "säkerhetskopierade" vid A&E när personal hanterar den pågående hackkrisen #NHSpic.twitter.com/Oz25Gt09ft
- Ollie Cowan (@Ollie_Cowan) 12 maj 2017
WanaCryptor uppstod först i februari 2017. Den ursprungliga versionen av ransomware ändrade de påverkade filändelserna till ".WNCRY" och markerade varje fil med strängen "WANACRY!"
WanaCryptor 2.0 sprider sig snabbt mellan datorer med en exploit som är associerad med Equation Group, a hackingkollektiv som är nära förknippad med NSA (och ryktas starkt vara deras "smutsiga" interna hacking enhet). Den respekterade säkerhetsforskaren, Kafeine, bekräftade att utnyttjandet som kallas ETERNALBLUE eller MS17-010 troligen skulle ha presenterats i den uppdaterade versionen.
WannaCry / WanaCrypt0r 2.0 utlöser verkligen ET-regeln: 2024218 "ET EXPLOIT Möjlig ETERNALBLUE MS17-010 Echo Response" pic.twitter.com/ynahjWxTIA
- Kafeine (@kafeine) 12 maj 2017
Flera exploater
Detta ransomware-utbrott är annorlunda än vad du kanske redan har sett (och jag hoppas, inte upplevt). WanaCryptor 2.0 kombinerar det läckta SMB (Server Message Block, ett Windows-nätverksfildelningsprotokoll) utnyttja med en självreplikerande nyttolast som låter ransomware sprida sig från en sårbar maskin till Nästa. Denna lösenorm avbryter den vanliga leveransmetoden för ransomware för en infekterad e-post, länk eller annan åtgärd.
Adam Kujawa, forskare på Malwarebytes berättade Ars Technica "Den initiala infektionsvektorn är något vi fortfarande försöker ta reda på... Med tanke på att denna attack verkar riktad, kan det ha varit antingen genom en sårbarhet i nätverksförsvaret eller en mycket välgjord spjutfiskning ge sig på. Hur som helst, det sprids genom infekterade nätverk med hjälp av sårbarheten EternalBlue och infekterar ytterligare oöverträffade system. "
WanaCryptor utnyttjar också DOUBLEPULSAR, en annan läckt NSA-exploatering CIA Hacking & Vault 7: Din guide till den senaste versionen av WikiLeaksAlla pratar om WikiLeaks - igen! Men CIA tittar inte riktigt på dig via din smarta TV, eller hur? Visst är de läckta dokumenten förfalskningar? Eller kanske är det mer komplicerat än så. Läs mer . Detta är en bakdörr som används för att injicera och köra skadlig kod på distans. Infektionen söker efter värdar som tidigare infekterats med bakdörren, och när den hittas använder den befintliga funktionaliteten för att installera WanaCryptor. I de fall där värdsystemet inte har en befintlig DOUBLEPULSAR-bakdörr återgår skadlig programvara tillbaka till ETERNALBLUE SMB-exploit.
Kritisk säkerhetsuppdatering
Den enorma läckan av NSA-hackverktyg gjorde rubriker runt om i världen. Omedelbara och oöverträffade bevis på att NSA samlar in och lagrar outnyttjade nolldagar för egen användning finns där ute. Detta utgör en enorm säkerhetsrisk 5 sätt att skydda dig från ett nolldagars utnyttjandeNolldagars utnyttjande, mjukvarulösheter som utnyttjas av hackare innan en patch blir tillgänglig utgör ett äkta hot mot dina uppgifter och integritet. Så här kan du hålla hackare i fjärr. Läs mer , som vi nu sett.
Lyckligtvis Microsoft patched Eternalblue-utnyttjandet i mars innan Shadow Brokers massiva vapenklassiga exploit-trove träffade rubrikerna. Med tanke på attackens art, att vi vet att denna specifika exploatering spelar, och infektionens snabba karaktär, verkar det vara ett stort antal organisationer har misslyckats med att installera den kritiska uppdateringen Hur & varför du behöver installera den säkerhetsfixen Läs mer - mer än två månader efter utsläppet.
I slutändan kommer berörda organisationer att vilja spela skylningsspelet. Men var ska fingret peka? I det här fallet finns det tillräckligt med skuld att dela med sig: NSA för lagra farliga nolldagarsförnödenheter Vad är en sårbarhet i nolldag? [MakeUseOf Explains] Läs mer , de malefaktorer som uppdaterade WanaCryptor med de läckta exploaterna, de många organisationer som ignorerade en kritisk säkerhetsuppdatering och ytterligare organisationer som fortfarande använder Windows XP.
Att människor kan ha dött eftersom organisationer fann att bördan med att uppgradera sitt primära operativsystem är helt enkelt häpnadsväckande.
Microsoft har omedelbart släppt en kritisk säkerhetsuppdatering för Windows Server 2003, Windows 8 och Windows XP.
Microsoft släpper #WannaCrypt skydd för out-of-support-produkter Windows XP, Windows 8 och Windows Server 2003: https://t.co/ZgINDXAdCj
- Microsoft (@ Microsoft) 13 maj 2017
Är jag i fara?
WanaCryptor 2.0 spriddes som en löpeld. På ett sätt hade människor utanför säkerhetsindustrin glömt den snabba spridningen av en mask och panik kan orsaka. I denna hyperförbundna ålder, och i kombination med krypto-ransomware, var malware-utlämnare en skrämmande vinnare.
Är du i riskzonen? Lyckligtvis, innan USA vaknade och gick sin beräkningsdag, hittade MalwareTechBlog en dödsbrytare dold i skadlig kodkod, som begränsade spridningen av infektionen.
Kill-switch innebar ett mycket långt nonsensiskt domännamn - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - som skadlig programvara begär till.
Så jag kan bara lägga till "av misstag stoppat en internationell cyberattack" till min Résumé. ^^
- ScarewareTech (@MalwareTechBlog) 13 maj 2017
Om begäran återupptas (dvs. accepterar begäran), infekterar inte skadlig programvara maskinen. Tyvärr hjälper det inte någon som redan har smittats. Säkerhetsforskaren bakom MalwareTechBlog registrerade adressen för att spåra nya infektioner via deras förfrågningar, och insåg inte att det var nödlägesomkopplaren.
#Vill gråta nyttolast för förökning innehåller tidigare oregistrerad domän, exekvering misslyckas nu när domänen har sjunkit pic.twitter.com/z2ClEnZAD2
- Darien Huss (@darienhuss) 12 maj 2017
Tyvärr finns det möjligheten att andra varianter av ransomware finns, var och en med sin egen kill-switch (eller inte alls, i förekommande fall).
Sårbarheten kan också mildras genom att inaktivera SMBv1. Microsoft tillhandahåller en grundlig handledning om hur du gör detta för Windows och Windows Server. På Windows 10 kan detta vara snabbt uppnås genom att trycka Windows-nyckel + X, välja PowerShell (Admin)och klistra in följande kod:
Disable-WindowsOptionalFeature -Online -FeatureName smb1protocolSMB1 är ett gammalt protokoll. Nyare versioner är inte sårbara för WanaCryptor 2.0-varianten.
Om ditt system dessutom har uppdaterats som normalt är du det osannolik att känna de direkta effekterna av just denna infektion. Som sagt, om du har avbrutit en NHS-möte, bankbetalningen gick fel eller om ett viktigt paket misslyckades med att anlända har du påverkats, oavsett.
Och ord till de kloka, en patched exploit gör inte alltid jobbet. Conficker, någon?
Vad händer sen?
I Storbritannien beskrevs WanaCryptor 2.0 från början som en direkt attack mot NHS. Detta har diskonterats. Men problemet kvarstår att hundratusentals individer upplevde direkt störning på grund av skadlig programvara.
Det skadliga programmet har kännetecken för en attack med drastiskt oavsiktliga konsekvenser. Cybersecurity-expert, Dr Afzal Ashraf, berättade BBC att "de antagligen attackerade ett litet företag förutsatt att de skulle få en liten summa pengar, men det kom in i NHS-systemet och nu har statens fulla makt mot dem - för uppenbarligen har inte regeringen råd att den här typen av saker ska hända och bli framgångsrik."
Det är naturligtvis inte bara NHS. I Spanien, El Mundorapporterar att 85 procent av datorerna på Telefonica drabbades av masken. Fedex bekände att de hade drabbats, liksom Portugal Telecom, och Rysslands MegaFon. Och det är utan att ta hänsyn till de stora infrastrukturleverantörerna också.
Två bitcoin-adresser skapade (här och här) för att ta emot lösen innehåller nu en kombinerad 9,21 BTC (cirka 16 000 USD vid skrivande stund) från 42 transaktioner. Som sagt och bekräftar teorin om "oavsiktliga konsekvenser" är bristen på systemidentifiering som medföljer Bitcoin-betalningarna.
Jag kanske saknar något. Om så många Wcry-offer har samma bitcoin-adress, hur kan devsna säga vem som har betalat? Något ...
- BleepingComputer (@BleepinComputer) 12 maj 2017
Så vad händer nu? Saneringsprocessen börjar och berörda organisationer räknar sina förluster, både ekonomiska och databaserade. Dessutom kommer berörda organisationer att ta en lång, hård titt på deras säkerhetspraxis och - jag verkligen, verkligen hoppas - uppdatera, vilket lämnar det föråldrade och nu farliga operativsystemet Windows XP Bakom.
Vi hoppas.
Påverkades du direkt av WanaCryptor 2.0? Har du tappat data eller fått ett möte avbrutit? Tycker du regeringar bör tvinga uppdragskritisk infrastruktur att uppgradera? Låt oss veta dina WanaCryptor 2.0-upplevelser nedan och ge oss en del om vi har hjälpt dig.
Bildkredit: Allt jag gör via Shutterstock.com
Gavin är Senior Writer för MUO. Han är också redaktör och SEO-chef för MakeUseOfs kryptofokuserade systerwebbplats, Blocks Decoded. Han har en BA (Hons) samtidsskrift med digital konstpraxis pillerad från kullarna i Devon, och över ett decennium av professionell skrivupplevelse. Han tycker om stora mängder te.