Delen:
The Global Ransomware Attack en How to Protect your Data
Een enorme cyberaanval heeft computers over de hele wereld getroffen. De zeer virulente zelf-replicerende ransomware - bekend als WanaCryptor, Wannacry of Wcry - heeft zich voor een deel toegeëigend aan een exploot van de National Security Agency (NSA) vorige maand Cybercriminelen beschikken over CIA Hacking Tools: wat dit voor u betekent Cybercriminelen beschikken over CIA-hacking Tools: wat dit voor u betekent De gevaarlijkste malware van de Central Intelligence Agency - die in staat is bijna alle draadloze consumentenelektronica te hacken - kan nu in de handen van dieven en terroristen zitten. Dus wat betekent dat voor jou? Meer lezen door een hackgroep die bekend staat als The Shadow Brokers.
De ransomware zou minstens 100.000 computers hebben geïnfecteerd, aldus antivirusontwikkelaars Avast. De massale aanval richtte zich voornamelijk op Rusland, Oekraïne en Taiwan, maar verspreidde zich naar grote instellingen in minstens 99 andere landen. Afgezien van het eisen van $ 300 (rond 0.17 Bitcoin op het moment van schrijven), is de infectie ook opmerkelijk vanwege de meertalige benadering van het veiligstellen van het losgeld: de malware ondersteunt meer dan twintig talen.
Wat is er aan de hand?
WanaCryptor veroorzaakt enorme, bijna ongekende verstoringen. De ransomware is van invloed op banken, ziekenhuizen, telecommunicatie, energiebedrijven en andere bedrijfskritieke infrastructuur Wanneer regeringen aanvallen: Nation-State Malware blootgelegd wanneer overheden aanvallen: Nation-State Malware Exposed Op dit moment vindt er een cyberwar plaats, verborgen door internet, de resultaten worden zelden waargenomen. Maar wie zijn de spelers in dit oorlogstheater en wat zijn hun wapens? Lees verder .
Alleen al in het Verenigd Koninkrijk hebben ten minste 40 NHS (National Health Service) Trusts noodsituaties verklaard, de annulering van belangrijke operaties afgedwongen, de veiligheid en beveiliging van de patiënt ondermijnd en vrijwel zeker tot dodelijke slachtoffers geleid.
De politie is in het Southport Hospital en ambulances worden 'geback-upt' bij A & E als personeel het hoofd biedt aan de voortdurende hackcrisis #NHS pic.twitter.com/Oz25Gt09ft
- Ollie Cowan (@Ollie_Cowan) 12 mei 2017
WanaCryptor verscheen voor het eerst in februari 2017. De oorspronkelijke versie van de ransomware veranderde de getroffen bestandsextensies in “.WNCRY” evenals het markeren van elk bestand met de tekenreeks “WANACRY!”
WanaCryptor 2.0 breidt zich snel uit tussen computers met behulp van een exploit die is gekoppeld aan de vergelijkingsgroep, een hackerscollectief dat nauw verbonden is met de NSA (en zwaar geruchten zeggen dat het intern is) “vuil” hacking-eenheid). De gerespecteerde beveiligingsonderzoeker, Kafeine, bevestigde dat de exploit bekend als ETERNALBLUE of MS17-010 waarschijnlijk in de bijgewerkte versie zou zijn opgenomen.
WannaCry / WanaCrypt0r 2.0 triggert inderdaad ET-regel: 2024218 "ET EXPLOIT Mogelijk ETERNALBLUE MS17-010 echoantwoord" pic.twitter.com/ynahjWxTIA
- Kafeine (@kafeine) 12 mei 2017
Meerdere exploits
Deze ransomware-uitbraak is anders dan je misschien al hebt gezien (en ik hoop, niet ervaren). WanaCryptor 2.0 combineert het gelekte SMB (Server Message Block, een protocol voor het delen van Windows-protocollen voor het delen van bestanden) met een zichzelf vermenigvuldigende payload waardoor de ransomware zich van de ene kwetsbare machine naar de andere kan verspreiden. Deze losgeld-worm snijdt de gebruikelijke ransomware aflevermethode van een geïnfecteerde e-mail, link of andere actie.
Adam Kujawa, een onderzoeker bij Malwarebytes, vertelde Ars Technica “De initiële infectievector is iets dat we nog steeds proberen te achterhalen ... Gezien het feit dat deze aanval doelgericht lijkt, zou het kunnen zijn door een kwetsbaarheid in de netwerkverdediging of door een zeer goed ontworpen spear phishing-aanval. Hoe dan ook, het verspreidt zich via geïnfecteerde netwerken met behulp van de EternalBlue-kwetsbaarheid en infecteert extra niet-gepatchte systemen.”
WanaCryptor maakt ook gebruik van DOUBLEPULSAR, een andere gelekte NSA-exploit CIA Hacking & Vault 7: uw gids voor de nieuwste WikiLeaks-release CIA Hacking & Vault 7: uw gids voor de nieuwste WikiLeaks-release Iedereen heeft het over WikiLeaks - alweer! Maar de CIA kijkt niet echt naar je via je slimme tv, toch? Zijn de gelekte documenten toch echt vervalsingen? Of misschien is het ingewikkelder dan dat. Lees verder . Dit is een achterdeur die wordt gebruikt om op afstand schadelijke code te injecteren en uit te voeren. De infectie scant naar hosts die eerder zijn geïnfecteerd met de backdoor en gebruikt de bestaande functionaliteit om WanaCryptor te installeren. In gevallen waarin het hostsysteem geen bestaande DOUBLEPULSAR-backdoor heeft, keert de malware terug naar de ETERNALBLUE SMB-exploit.
Kritieke beveiligingsupdate
Het massale lek van NSA-hacktools maakte de krantenkoppen over de hele wereld. Onmiddellijk en ongeëvenaard bewijs dat de NSA onuitgegeven zero-day exploits voor eigen gebruik verzamelt en opslaat, is beschikbaar. Dit vormt een enorm veiligheidsrisico 5 manieren om uzelf te beschermen tegen een zero-day-exploitatie 5 manieren om uzelf te beschermen tegen zero-day exploits Zero-day exploits, softwarekwetsbaarheden die door hackers worden misbruikt voordat een patch beschikbaar komt, vormen een echte bedreiging voor uw gegevens en privacy. Hier is hoe je hackers op afstand houdt. Lees meer, zoals we nu hebben gezien.
Gelukkig herstelde Microsoft in maart de exploitatie van de Eternalblue voordat de enorme exploit-trove van de Shadow Brokers de krantenkoppen bereikte. Gezien de aard van de aanval, dat we weten dat deze specifieke exploit in het spel is, en de snelle aard van de infectie, lijkt het erop dat een groot aantal organisaties de kritieke update niet hebben geïnstalleerd. Hoe en waarom u die beveiligingspatch moet installeren & Waarom u die beveiligingspatch moet installeren Meer lezen - meer dan twee maanden na de release.
Uiteindelijk zullen getroffen organisaties de schuldige game spelen. Maar waar moet de vinger wijzen? In dit geval is er genoeg schuld om rond te delen: de NSA voor het opslaan van gevaarlijke zero-day exploits Wat is een Zero Day-kwetsbaarheid? [MakeUseOf Explains] Wat is een Zero Day-beveiligingslek? [MakeUseOf Explains] Read More, de kwaaddoeners die WanaCryptor hebben geüpdatet met de gelekte exploits, de vele organisaties die een kritieke beveiligingsupdate hebben genegeerd en verdere organisaties die nog steeds Windows XP gebruiken.
Dat mensen zijn overleden omdat organisaties de last van het upgraden van hun primaire besturingssysteem vonden, is gewoon verrassend.
Microsoft heeft onmiddellijk een kritieke beveiligingsupdate uitgebracht voor Windows Server 2003, Windows 8 en Windows XP.
Microsoft geeft #WannaCrypt-bescherming vrij voor producten die niet worden ondersteund Windows XP, Windows 8 en Windows Server 2003: https://t.co/ZgINDXAdCj
- Microsoft (@Microsoft) 13 mei 2017
Loop ik het risico?
WanaCryptor 2.0 verspreidt zich als een lopend vuurtje. In zekere zin waren mensen buiten de veiligheidssector de snelle verspreiding van een worm vergeten, en paniek kan dit veroorzaken. In deze hyper-geconnecteerde tijd, en in combinatie met crypto-ransomware, waren de leveranciers van malware op een angstaanjagende winnaar.
Ben je in gevaar? Gelukkig ontdekte MalwareTechBlog voordat de Verenigde Staten opstonden en zijn computerdag begonnen, een kill-switch verborgen in de malwarecode, waardoor de verspreiding van de infectie werd beperkt.
De kill-switch betrof een zeer lange onzinnige domeinnaam - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - dat de malware een verzoek indient bij.
Dus ik kan alleen toevoegen "per ongeluk een internationale cyberaanval gestopt" naar mijn resumé. ^^
- ScarewareTech (@MalwareTechBlog) 13 mei 2017
Als de aanvraag live terugkomt (d.w.z. de aanvraag accepteert), infecteert de malware de machine niet. Helaas helpt dat niemand die al is geïnfecteerd. De beveiligingsonderzoeker achter MalwareTechBlog registreerde het adres om nieuwe infecties via hun verzoeken bij te houden, zich niet realiserend dat het de noodstopschakelaar was.
#WannaCry-propagatielading bevat eerder niet-geregistreerd domein, uitvoering mislukt nu dat domein is verzonken pic.twitter.com/z2ClEnZAD2
- Darien Huss (@darienhuss) 12 mei 2017
Helaas is er de mogelijkheid dat er andere varianten van de ransomware bestaan, elk met hun eigen kill-switch (of helemaal niet, zoals het geval kan zijn).
Het beveiligingslek kan ook worden beperkt door SMBv1 uit te schakelen. Microsoft biedt een uitgebreide zelfstudie over hoe dit te doen voor Windows en Windows Server. Op Windows 10 kan dit snel worden bereikt door op te drukken Windows-toets + X, selecteren PowerShell (Admin), en het plakken van de volgende code:
Uitschakelen-WindowsOptionalFeature -Online -FeatureName smb1protocolSMB1 is een oud protocol. Meer recente versies zijn niet kwetsbaar voor de WanaCryptor 2.0-variant.
Als uw systeem normaal is bijgewerkt, bent u dat ook onwaarschijnlijk om de directe effecten van deze specifieke infectie te voelen. Dat gezegd hebbende, als u een NHS-afspraak had geannuleerd, bankbetalingen verkeerd gingen of als een vitaal pakket niet aankwam, bent u getroffen, ongeacht.
En het is wijs, een gepatchte exploit doet niet altijd het werk. Conficker, iedereen?
Wat gebeurt er nu?
In het Verenigd Koninkrijk werd WanaCryptor 2.0 aanvankelijk beschreven als een directe aanval op de NHS. Dit is verdisconteerd. Maar het probleem blijft dat honderdduizenden mensen directe verstoring ondervonden door malware.
De malware draagt kenmerken van een aanval met drastisch onbedoelde gevolgen. Cybersecurity-expert, Dr. Afzal Ashraf, vertelde de BBC dat “ze hebben waarschijnlijk een klein bedrijf aangevallen in de veronderstelling dat ze een klein bedrag zouden krijgen, maar het ging in het NHS-systeem en nu hebben ze de volledige macht van de staat tegen hen - omdat de overheid zich natuurlijk niet kan veroorloven dat dit soort dingen gebeuren en succesvol zijn.”
Het is niet alleen de NHS, natuurlijk. In Spanje, El Mundo meldt dat 85 procent van de computers op Telefonica door de worm werd getroffen. Fedex bevestigde dat ze waren getroffen, evenals Portugal Telecom en de Russische MegaFon. En dat is zonder rekening te houden met de grote infrastructuuraanbieders.
Twee bitcoin-adressen die zijn gemaakt (hier en hier) om losgeld te ontvangen bevatten nu een gecombineerde 9.21 BTC (ongeveer $ 16.000 USD op het moment van schrijven) van 42 transacties. Dat gezegd hebbende, en het bevestigen van de “onbedoelde gevolgen” theorie, is het gebrek aan systeemidentificatie dat wordt geleverd bij de Bitcoin-betalingen.
Misschien mis ik iets. Als zoveel Wcry-slachtoffers hetzelfde Bitcoin-adres hebben, hoe kunnen de ontwikkelaars dan zien wie er heeft betaald? Iets ??.
- BleepingComputer (@BleepinComputer) 12 mei 2017
Dus wat gebeurt er daarna? Het opruimproces begint en getroffen organisaties tellen hun verliezen, zowel financieel als op basis van gegevens. Verder zullen de getroffen organisaties hun beveiligingspraktijken lang en hard bekijken en - ik hoop het echt - updaten, waardoor het verouderde en nu gevaarlijke Windows XP-besturingssysteem achterblijft.
We hopen.
Was je direct getroffen door WanaCryptor 2.0? Bent u gegevens kwijt of is een afspraak geannuleerd? Denkt u dat overheden missiekritieke infrastructuur moeten dwingen om te upgraden? Laat ons hieronder uw WanaCryptor 2.0-ervaringen weten en geef ons een aandeel als we u hebben geholpen.
Image Credit: alles wat ik doe via Shutterstock.com
Ontdek meer over: Hacking, Ransomware.