De wereldwijde aanval met ransomware en hoe u uw gegevens kunt beschermen

Advertentie

Computers hebben over de hele wereld een enorme cyberaanval getroffen. De zeer virulente zelfreplicerende ransomware - bekend als WanaCryptor, Wannacry of Wcry - heeft zich gedeeltelijk een exploit van de National Security Agency (NSA) toegeëigend vorige maand vrijgelaten in het wild Cybercriminelen beschikken over CIA-hacktools: wat dit voor u betekentDe gevaarlijkste malware van de Central Intelligence Agency - in staat om bijna alle draadloze consumentenelektronica te hacken - zou nu in handen kunnen komen van dieven en terroristen. Dus wat betekent dat voor jou? Lees verder door een hackgroep die bekend staat als The Shadow Brokers.

De ransomware zou volgens antivirusontwikkelaars minstens 100.000 computers hebben geïnfecteerd, Avast. De massale aanval was voornamelijk gericht op Rusland, Oekraïne en Taiwan, maar verspreidde zich naar grote instellingen in ten minste 99 andere landen. Afgezien van het vragen van $ 300 (ongeveer 0,17 Bitcoin op het moment van schrijven), is de infectie ook opmerkelijk voor zijn meertalige aanpak om het losgeld te beveiligen: de malware ondersteunt meer dan twee dozijn talen.

Wat is er aan de hand?

WanaCryptor veroorzaakt een enorme, bijna ongekende verstoring. De ransomware treft banken, ziekenhuizen, telecommunicatie, energiebedrijven, en andere missiekritieke infrastructuur Wanneer regeringen aanvallen: Nation-State Malware blootgesteldEr vindt momenteel een cyberoorlog plaats, verborgen door het internet, waarvan de resultaten zelden worden waargenomen. Maar wie zijn de spelers in dit oorlogstheater en wat zijn hun wapens? Lees verder .

Alleen al in het VK, minstens 40 NHS (National Health Service) Trusts verklaarde noodsituaties, waardoor de annulering van belangrijke gedwongen werd operaties, evenals het ondermijnen van de veiligheid en beveiliging van patiënten en leiden vrijwel zeker tot dodelijke slachtoffers.

Politie bevindt zich in Southport Hospital en ambulances worden 'ondersteund' bij A&E terwijl het personeel de voortdurende hackcrisis het hoofd biedt #NHSpic.twitter.com/Oz25Gt09ft

- Ollie Cowan (@Ollie_Cowan) 12 mei 2017

WanaCryptor verscheen voor het eerst in februari 2017. De oorspronkelijke versie van de ransomware veranderde de betrokken bestandsextensies in ".WNCRY" en markeerde elk bestand met de string "WANACRY!"

WanaCryptor 2.0 verspreidt zich snel tussen computers met een exploit die is gekoppeld aan de Equation Group, een hackerscollectief dat nauw verbonden is met de NSA (en er wordt hard beweerd dat het hun interne "vuile" hacking is eenheid). De gerespecteerde beveiligingsonderzoeker, Kafeine, bevestigde dat de exploit die bekend staat als ETERNALBLUE of MS17-010 waarschijnlijk in de bijgewerkte versie te zien zou zijn geweest.

WannaCry / WanaCrypt0r 2.0 activeert inderdaad de ET-regel: 2024218 "ET EXPLOIT Mogelijke ETERNALBLUE MS17-010 Echo Response" pic.twitter.com/ynahjWxTIA

- Kafeine (@kafeine) 12 mei 2017

Meerdere exploits

Deze ransomware-uitbraak is anders dan wat je misschien al hebt gezien (en ik hoop dat je het niet hebt meegemaakt). WanaCryptor 2.0 combineert het gelekte SMB (Server Message Block, een protocol voor het delen van Windows-netwerkbestanden) exploiteren met een zelfreplicerende payload waardoor de ransomware zich van de ene kwetsbare machine naar de andere kan verspreiden De volgende. Deze losgeldworm verwijdert de gebruikelijke bezorgmethode voor ransomware van een geïnfecteerde e-mail, link of andere actie.

Adam Kujawa, onderzoeker bij Malwarebytes verteld Ars Technica “De aanvankelijke infectievector is iets dat we nog steeds proberen te achterhalen... Gezien het feit dat deze aanval lijkt gericht, kan het zijn geweest door een kwetsbaarheid in de netwerkafweer of door een zeer goed vervaardigde spear phishing aanval. Hoe dan ook, het verspreidt zich via geïnfecteerde netwerken met behulp van de EternalBlue-kwetsbaarheid en infecteert extra niet-gepatchte systemen. ”

WanaCryptor maakt ook gebruik van DOUBLEPULSAR, een andere gelekte NSA-exploit CIA Hacking & Vault 7: uw gids voor de nieuwste WikiLeaks-releaseIedereen heeft het weer over WikiLeaks! Maar de CIA kijkt niet echt naar je via je smart-tv, toch? De gelekte documenten zijn toch nep? Of misschien is het ingewikkelder dan dat. Lees verder . Dit is een achterdeur die wordt gebruikt om op afstand schadelijke code te injecteren en uit te voeren. De infectie scant naar hosts die eerder zijn geïnfecteerd met de achterdeur en gebruikt de bestaande functionaliteit om WanaCryptor te installeren. In gevallen waarin het hostsysteem geen bestaande DOUBLEPULSAR-achterdeur heeft, keert de malware terug naar de ETERNALBLUE SMB-exploit.

Kritieke beveiligingsupdate

Het enorme lek van NSA-hacktools haalde de krantenkoppen over de hele wereld. Er is onmiddellijk en ongeëvenaard bewijs dat de NSA niet-vrijgegeven zero-day exploits voor eigen gebruik verzamelt en opslaat. Dit vormt een enorm veiligheidsrisico 5 manieren om jezelf te beschermen tegen een uitbuiting van nul dagenZero-day exploits, softwarekwetsbaarheden die worden misbruikt door hackers voordat er een patch beschikbaar komt, vormen een echte bedreiging voor uw gegevens en privacy. Hier leest u hoe u hackers op afstand kunt houden. Lees verder , zoals we nu hebben gezien.

Toevallig, Microsoft gepatcht de Eternalblue-uitbuiting in maart voordat de enorme wapenuitrusting van de Shadow Brokers de krantenkoppen haalde. Gezien de aard van de aanval, waarvan we weten dat deze specifieke exploit in het spel is, en de snelle aard van infectie, lijkt het een groot aantal organisaties hebben de essentiële update niet kunnen installeren Hoe en waarom u die beveiligingspatch moet installeren Lees verder - meer dan twee maanden na de release.

Uiteindelijk zullen getroffen organisaties het schuldspel willen spelen. Maar waar moet de vinger naar wijzen? In dit geval is er genoeg schuld om rond te delen: de NSA voor het opslaan van gevaarlijke zero-day exploits Wat is een Zero Day-kwetsbaarheid? [MakeUseOf Explains] Lees verder , de boosdoeners die WanaCryptor hebben bijgewerkt met de gelekte exploits, de talrijke organisaties die een kritieke beveiligingsupdate hebben genegeerd, en andere organisaties die nog steeds Windows XP gebruiken.

Dat er mogelijk mensen zijn omgekomen omdat organisaties de last ondervonden van het upgraden van hun primaire besturingssysteem, is gewoon schokkend.

Microsoft heeft onmiddellijk vrijgegeven een essentiële beveiligingsupdate voor Windows Server 2003, Windows 8 en Windows XP.

Microsoft-releases #WannaCrypt bescherming voor niet-ondersteunde producten Windows XP, Windows 8 en Windows Server 2003: https://t.co/ZgINDXAdCj

- Microsoft (@Microsoft) 13 mei 2017

Loop ik risico?

WanaCryptor 2.0 verspreidde zich als een lopend vuurtje. In zekere zin waren mensen buiten de beveiligingssector de snelle verspreiding van een worm vergeten, en paniek die daardoor kan ontstaan. In dit hyper-verbonden tijdperk, en gecombineerd met crypto-ransomware, waren de malwareleveranciers een angstaanjagende winnaar.

Loopt u risico? Gelukkig vond de MalwareTechBlog, voordat de Verenigde Staten wakker werden en hun computerdag begonnen, een kill-switch verborgen in de malwarecode, waardoor de verspreiding van de infectie werd beperkt.

Bij de kill-switch ging het om een ​​zeer lange onzinnige domeinnaam - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - waar de malware om vraagt.

Ik kan dus alleen maar "per ongeluk een internationale cyberaanval hebben gestopt" aan mijn cv toevoegen. ^^

- ScarewareTech (@MalwareTechBlog) 13 mei 2017

Als het verzoek live terugkomt (d.w.z. het verzoek accepteert), infecteert de malware de machine niet. Helaas helpt dat niemand die al is geïnfecteerd. De beveiligingsonderzoeker achter MalwareTechBlog registreerde het adres om nieuwe infecties op te sporen via hun verzoeken, zich niet realiserend dat het de noodstopschakelaar was.

#Wil huilen propagation payload bevat voorheen niet-geregistreerd domein, uitvoering mislukt nu dat domein is verzonken pic.twitter.com/z2ClEnZAD2

- Darien Huss (@darienhuss) 12 mei 2017

Helaas bestaat de mogelijkheid dat er andere varianten van de ransomware bestaan, elk met hun eigen kill-switch (of helemaal niet, naargelang het geval).

De kwetsbaarheid kan ook worden verminderd door SMBv1 uit te schakelen. Microsoft biedt een grondige tutorial over hoe u dit moet doen voor Windows en Windows Server. Op Windows 10 kan dit zijn snel bereikt door op te drukken Windows-toets + X, selecteren PowerShell (beheerder), en de volgende code plakken:

Schakel WindowsOptionalFeature -Online -FeatureName smb1protocol uit

SMB1 is een oud protocol. Meer recente versies zijn niet kwetsbaar voor de WanaCryptor 2.0-variant.

Bovendien, als uw systeem normaal is bijgewerkt, bent u dat ook onwaarschijnlijk om de directe effecten van deze specifieke infectie te voelen. Dat gezegd hebbende, als u een NHS-afspraak had geannuleerd, de bankbetaling verkeerd is gegaan of een vitaal pakket niet is aangekomen, bent u hoe dan ook getroffen.

En om het wijs te zeggen, een gepatchte exploit doet niet altijd zijn werk. Conficker, iemand?

Wat gebeurt er nu?

In het Verenigd Koninkrijk werd WanaCryptor 2.0 aanvankelijk beschreven als een directe aanval op de NHS. Dit is verdisconteerd. Maar het probleem blijft dat honderdduizenden individuen direct werden verstoord door malware.

De malware heeft kenmerken van een aanval met drastisch onbedoelde gevolgen. Cybersecurity-expert, Dr. Afzal Ashraf, vertelde de BBC dat "ze waarschijnlijk een klein bedrijf hebben aangevallen in de veronderstelling dat ze een klein bedrag zouden krijgen, maar het kwam in het NHS-systeem en nu zijn ze de volledige macht van de staat tegen hen hebben - want de regering kan zich natuurlijk niet veroorloven dat dit soort dingen gebeuren en gebeuren succesvol. '

Het is natuurlijk niet alleen de NHS. In Spanje, El Mundomelden dat 85 procent van de computers bij Telefonica werden aangetast door de worm. Fedex gaf toe dat ze waren getroffen, evenals Portugal Telecom en de Russische MegaFon. En dat is zonder rekening te houden met de grote infrastructuuraanbieders.

Twee bitcoin-adressen gemaakt (hier en hier) om losgeld te ontvangen, bevat nu een gecombineerde BTC van 9,21 (ongeveer $ 16.000 USD op het moment van schrijven) van 42 transacties. Dat gezegd hebbende, en wat de theorie van de "onbedoelde gevolgen" bevestigt, is het gebrek aan systeemidentificatie dat bij de Bitcoin-betalingen wordt verstrekt.

Misschien mis ik iets. Als zoveel Wcry-slachtoffers hetzelfde bitcoin-adres hebben, hoe kunnen de ontwikkelaars dan zien wie heeft betaald? Iets ...

- BleepingComputer (@BleepinComputer) 12 mei 2017

Dus wat gebeurt er daarna? Het opschoningsproces begint en getroffen organisaties tellen hun verliezen, zowel financieel als op gegevens gebaseerd. Bovendien zullen getroffen organisaties hun beveiligingspraktijken lang en grondig bekijken en - ik echt hoop echt - update, het verlaten van het verouderde en nu gevaarlijke Windows XP-besturingssysteem achter.

We hopen.

Werd u direct getroffen door WanaCryptor 2.0? Bent u gegevens kwijt of heeft u een afspraak geannuleerd? Vindt u dat overheden missiekritieke infrastructuur moeten upgraden? Laat ons hieronder uw WanaCryptor 2.0-ervaringen weten en geef ons een aandeel als we u hebben geholpen.

Beeldcredits: alles wat ik doe via Shutterstock.com