L'attacco globale al ransomware e come proteggere i tuoi dati

Annuncio pubblicitario

Un massiccio attacco informatico ha colpito i computer di tutto il mondo. Il ransomware autoregolante ad alta virulenza - noto come WanaCryptor, Wannacry o Wcry - ha in parte adottato un exploit della National Security Agency (NSA) rilasciato in libertà il mese scorso I criminali informatici possiedono strumenti di hacking della CIA: cosa significa per teIl malware più pericoloso della Central Intelligence Agency - in grado di hackerare quasi tutta l'elettronica di consumo wireless - ora potrebbe sedere nelle mani di ladri e terroristi. Cosa significa questo per te? Leggi di più da un gruppo di hacking noto come The Shadow Brokers.

Si ritiene che il ransomware abbia infettato almeno 100.000 computer, secondo gli sviluppatori di antivirus, avast. Il massiccio attacco ha colpito principalmente Russia, Ucraina e Taiwan, ma si è diffuso alle principali istituzioni in almeno altri 99 paesi. Oltre a richiedere $ 300 (circa 0,17 Bitcoin al momento della scrittura), l'infezione è notevole per il suo approccio multilingue alla protezione del riscatto: il malware supporta oltre due dozzine le lingue.

Cosa sta succedendo?

WanaCryptor sta causando interruzioni enormi, quasi senza precedenti. Il ransomware sta interessando banche, ospedali, telecomunicazioni, servizi energetici, e altre infrastrutture mission-critical Quando i governi attaccano: malware nazionale-stato espostoIn questo momento si sta verificando una guerra informatica, nascosta da Internet, i cui risultati sono raramente osservati. Ma chi sono i giocatori in questo teatro di guerra e quali sono le loro armi? Leggi di più .

Solo nel Regno Unito, almeno 40 NHS (National Health Service) si fida delle emergenze dichiarate, forzando la cancellazione di importanti interventi chirurgici, oltre a minare la sicurezza e l'incolumità del paziente e quasi certamente a comportare incidenti mortali.

La polizia è al Southport Hospital e le ambulanze sono "appoggiate" all'A & E mentre il personale affronta la crisi di hacking in corso #NHSpic.twitter.com/Oz25Gt09ft

- Ollie Cowan (@Ollie_Cowan) 12 maggio 2017

WanaCryptor è emerso per la prima volta nel febbraio 2017. La versione iniziale del ransomware ha modificato le estensioni dei file interessati in ".WNCRY", oltre a contrassegnare ogni file con la stringa "WANACRY!"

WanaCryptor 2.0 si sta diffondendo rapidamente tra i computer utilizzando un exploit associato a Equation Group, a collettivo di hacking strettamente associato all'NSA (e si dice che sia il loro hacking "sporco" interno) unità). Il rispettato ricercatore di sicurezza, Kafeine, ha confermato che l'exploit noto come ETERNALBLUE o MS17-010 era probabilmente presente nella versione aggiornata.

WannaCry / WanaCrypt0r 2.0 sta effettivamente innescando la regola ET: 2024218 "ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response" pic.twitter.com/ynahjWxTIA

- Kafeine (@kafeine) 12 maggio 2017

Exploit multipli

Questo scoppio di ransomware è diverso da quello che potresti aver già visto (e spero, non sperimentato). WanaCryptor 2.0 combina SMB trapelato (Server Message Block, un protocollo di condivisione file di rete Windows) sfruttare con un payload autoreplicante che consente al ransomware di diffondersi da una macchina vulnerabile a Il prossimo. Questo ransom-worm elimina il solito metodo di consegna ransomware di un'email, link o altra azione infetti.

Adam Kujawa, un ricercatore di Malwarebytes detto Ars Technica “Il vettore dell'infezione iniziale è qualcosa che stiamo ancora cercando di scoprire... Considerando che questo attacco sembra mirato, potrebbe essere stato attraverso una vulnerabilità nelle difese della rete o un phishing di lancia molto ben realizzato attacco. Indipendentemente da ciò, si sta diffondendo attraverso le reti infette utilizzando la vulnerabilità EternalBlue, infettando ulteriori sistemi senza patch. "

WanaCryptor sta anche sfruttando DOUBLEPULSAR, un altro exploit della NSA trapelato CIA Hacking & Vault 7: la tua guida all'ultima versione di WikiLeaksTutti parlano di Wikileaks - di nuovo! Ma la CIA non ti sta davvero guardando tramite la tua smart TV, vero? Sicuramente i documenti trapelati sono falsi? O forse è più complicato di così. Leggi di più . Questa è una backdoor utilizzata per iniettare ed eseguire codice dannoso in remoto. L'infezione esegue la scansione degli host precedentemente infettati dalla backdoor e, quando rilevati, utilizza la funzionalità esistente per installare WanaCryptor. Nei casi in cui il sistema host non ha una backdoor DOUBLEPULSAR esistente, il malware ritorna all'exploit SMB ETERNALBLUE.

Aggiornamento critico sulla sicurezza

La massiccia perdita di strumenti di hacking della NSA ha fatto notizia in tutto il mondo. Esistono prove immediate e senza rivali che l'NSA raccoglie e archivia exploit zero-day inediti per proprio uso. Ciò comporta un enorme rischio per la sicurezza 5 modi per proteggersi da uno sfruttamento zero-dayGli exploit zero-day, le vulnerabilità del software che vengono sfruttate dagli hacker prima che una patch sia disponibile, rappresentano una vera minaccia per i tuoi dati e la tua privacy. Ecco come tenere a bada gli hacker. Leggi di più , come abbiamo visto ora.

Fortunatamente, Microsoft rattoppato l'exploit di Eternalblue a marzo prima che i massicci exploit di livello delle armi dei Shadow Broker raggiungessero i titoli dei giornali. Data la natura dell'attacco, che sappiamo che questo exploit specifico è in gioco e la rapida natura dell'infezione, sembrerebbe un numero enorme di organizzazioni impossibile installare l'aggiornamento critico Come e perché è necessario installare quella patch di sicurezza Leggi di più - più di due mesi dopo il suo rilascio.

Alla fine, le organizzazioni interessate vorranno giocare il gioco della colpa. Ma dove dovrebbe puntare il dito? In questo caso, c'è abbastanza colpa da condividere: la NSA per accumulare pericolosi exploit zero-day Che cos'è una vulnerabilità zero day? [MakeUseOf Explains] Leggi di più , i malfattori che hanno aggiornato WanaCryptor con gli exploit trapelati, le numerose organizzazioni che hanno ignorato un aggiornamento di sicurezza critico e altre organizzazioni che utilizzano ancora Windows XP.

Che le persone possano essere morte perché le organizzazioni hanno scoperto che l'onere di aggiornare il loro sistema operativo principale è semplicemente sorprendente.

Microsoft ha rilasciato immediatamente un aggiornamento di sicurezza critico per Windows Server 2003, Windows 8 e Windows XP.

Microsoft rilascia #WannaCrypt protezione per prodotti fuori supporto Windows XP, Windows 8 e Windows Server 2003: https://t.co/ZgINDXAdCj

- Microsoft (@Microsoft) 13 maggio 2017

Sono a rischio?

WanaCryptor 2.0 si diffuse come un incendio. In un certo senso, le persone al di fuori del settore della sicurezza avevano dimenticato la rapida diffusione di un worm e il panico che può causare. In questa era iper-connessa, e combinata con il cripto-ransomware, i fornitori di malware erano su un terrificante vincitore.

Sei a rischio? Fortunatamente, prima che gli Stati Uniti si svegliassero e proseguissero i loro giorni informatici, MalwareTechBlog ha trovato un kill-switch nascosto nel codice malware, limitando la diffusione dell'infezione.

Il kill switch ha comportato un nome di dominio insensato molto lungo - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - a cui il malware fa una richiesta.

Quindi posso aggiungere solo "un attacco informatico internazionale bloccato" al mio CV. ^^

- ScarewareTech (@MalwareTechBlog) 13 maggio 2017

Se la richiesta ritorna attiva (ovvero accetta la richiesta), il malware non infetta la macchina. Sfortunatamente, ciò non aiuta nessuno già infetto. Il ricercatore di sicurezza dietro MalwareTechBlog ha registrato l'indirizzo per rintracciare nuove infezioni attraverso le loro richieste, senza rendersi conto che era l'interruttore di arresto di emergenza.

#Voglio piangere il payload di propagazione contiene un dominio precedentemente non registrato, l'esecuzione non riesce ora che il dominio è stato affondato pic.twitter.com/z2ClEnZAD2

- Darien Huss (@darienhuss) 12 maggio 2017

Sfortunatamente, esiste la possibilità che esistano altre varianti del ransomware, ognuna con il proprio kill-switch (o per niente, a seconda dei casi).

La vulnerabilità può anche essere mitigata disabilitando SMBv1. Microsoft fornisce un tutorial completo su come farlo per Windows e Windows Server. Su Windows 10, questo può essere raggiunto rapidamente premendo Tasto Windows + X, selezionando PowerShell (amministratore)e incollando il seguente codice:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

SMB1 è un vecchio protocollo. Le versioni più recenti non sono vulnerabili alla variante WanaCryptor 2.0.

Inoltre, se il tuo sistema è stato aggiornato normalmente, lo sei improbabile sentire gli effetti diretti di questa particolare infezione. Detto questo, se un appuntamento del SSN è stato annullato, il pagamento bancario è andato storto o un pacchetto vitale non è arrivato, sei stato colpito, indipendentemente.

E in parole povere, un exploit rattoppato non fa sempre il lavoro. Conficker, qualcuno?

Cosa succede dopo?

Nel Regno Unito, WanaCryptor 2.0 è stato inizialmente descritto come un attacco diretto al SSN. Questo è stato scontato. Ma il problema rimane che centinaia di migliaia di persone hanno subito un'interruzione diretta a causa di malware.

Il malware porta i segni distintivi di un attacco con conseguenze drasticamente indesiderate. Esperto di sicurezza informatica, Dr. Afzal Ashraf, ha detto alla BBC che "probabilmente hanno attaccato una piccola azienda supponendo che avrebbero ottenuto una piccola somma di denaro, ma è entrato nel sistema NHS e ora hanno hanno il pieno potere dello stato contro di loro - perché ovviamente il governo non può permettersi che questo genere di cose accada e sia riuscito."

Non è solo il SSN, ovviamente. In Spagna, il mondosegnala che l'85 percento dei computer a Telefonica sono stati colpiti dal worm. Fedex ha confermato che erano stati colpiti, così come Portugal Telecom e MegaFon della Russia. E questo senza considerare anche i principali fornitori di infrastrutture.

Due indirizzi bitcoin creati (Qui e Qui) per ricevere i riscatti ora contengono un combinato BTC 9.21 (circa $ 16.000 USD al momento della stesura) da 42 transazioni. Detto questo, e corroborando la teoria delle "conseguenze indesiderate", c'è la mancanza di identificazione del sistema fornita con i pagamenti Bitcoin.

Forse mi manca qualcosa. Se così tante vittime di Wcry hanno lo stesso indirizzo bitcoin, come possono gli sviluppatori sapere chi ha pagato? Qualcosa ...

- BleepingComputer (@BleepinComputer) 12 maggio 2017

Quindi cosa succede dopo? Inizia il processo di pulizia e le organizzazioni interessate contano le perdite, sia finanziarie sia basate sui dati. Inoltre, le organizzazioni interessate esamineranno a lungo le loro pratiche di sicurezza e - I spero davvero, aggiorna, lasciando il sistema operativo Windows XP antiquato e ora pericoloso dietro a.

Speriamo.

Sei stato direttamente interessato da WanaCryptor 2.0? Hai perso i dati o hai annullato un appuntamento? Pensi che i governi dovrebbero forzare l'aggiornamento delle infrastrutture mission-critical? Facci sapere di seguito le tue esperienze con WanaCryptor 2.0 e dacci una condivisione se ti abbiamo aiutato.

Credito di immagine: tutto ciò che faccio tramite Shutterstock.com