פרסומת
מתקפת סייבר מאסיבית פגעה במחשבים בכל רחבי העולם. תוכנת ה- Ransomware המשוכפלת העצמית-אדומה ביותר - המכונה WanaCryptor, Wannacry או Wcry - הניצלה בחלקה סוכנות לביטחון לאומי (NSA). שוחרר לטבע בחודש שעבר פושעי רשת בעלי כלי פריצה של CIA: מה זה אומר עבורךהתוכנה הזדונית המסוכנת ביותר של סוכנות הביון המרכזית - המסוגלת לפרוץ כמעט את כל האלקטרוניקה הצרכנית האלחוטית - יכולה כעת לשבת בידי גנבים וטרוריסטים. אז מה זה אומר עבורך? קרא עוד על ידי קבוצת פריצה המכונה מתווכי הצללים.
על פי מפתחי האנטי-וירוס, נראה כי תוכנת הכופר הדביקה לפחות 100,000 מחשבים. אווסט. ההתקפה המסיבית פגעה בעיקר ברוסיה, אוקראינה וטייוואן, אך התפשטה למוסדות מרכזיים בכל לפחות 99 מדינות אחרות. מלבד דרישת 300 דולר (בסביבות 0.17 ביטקוין בזמן הכתיבה), גם הזיהום בולט בגישה הרב-לשונית שלה לאבטחת הכופר: התוכנה הזדונית תומכת ביותר משני תריסר שפות.
מה קורה?
WanaCryptor גורם לשיבוש מאסיבי, כמעט חסר תקדים. תוכנת הכופר משפיעה על בנקים, בתי חולים, טלקומוניקציה, שירותי חשמל, ותשתיות קריטיות אחרות למשימה כאשר ממשלות תוקפות: נחשפות תוכנות זדוניות של מדינת לאום
רשת סייבר מתרחשת ברגע זה, מוסתרת על ידי האינטרנט, תוצאותיה כמעט ולא נצפו. אבל מי הם השחקנים בתיאטרון המלחמה הזה, ומה כלי הנשק שלהם? קרא עוד .בבריטניה בלבד, לפחות 40 אמוני NHS (שירות הבריאות הלאומי) הודיעו על חירום, ואילצו את ביטול החשובים ניתוחים, כמו גם ערעור הבטיחות והביטחון של המטופלים וכמעט בוודאות המובילים לכך הרוגים.
המשטרה נמצאת בבית החולים סאות'פורט והאמבולנסים "מגובים" ב- A&E כשהצוות מתמודד עם משבר האק המתמשך #NHSpic.twitter.com/Oz25Gt09ft
- Ollie Cowan (@Ollie_Cowan) 12 במאי 2017
WanaCryptor עלתה לראשונה בפברואר 2017. הגרסה הראשונית של תוכנת ה- ransomware שינתה את סיומות הקובץ המושפעות ל ".WNCRY" וכן סימנה כל קובץ במחרוזת "WANACRY!"
WanaCryptor 2.0 מתפשטת במהירות בין מחשבים באמצעות ניצול המשויך לקבוצת המשוואה, א קולקטיב פריצה הקשור קשר הדוק ל- NSA (ושמועות רבות על כך שהוא הפריצה "המלוכלכת" שלהם בבית יחידה). חוקר האבטחה המכובד, Kafeine, אישר כי ככל הנראה העלילייה המכונה ETERNALBLUE או MS17-010 הוצגה בגירסה המעודכנת.
WannaCry / WanaCrypt0r 2.0 אכן מפעיל כלל ET: 2024218 "ET EXPLOIT אפשרי ETERNALBLUE MS17-010 Echo Response" pic.twitter.com/ynahjWxTIA
- Kafeine (@kafeine) 12 במאי 2017
ניצולים מרובים
התפרצות רנסומור זו שונה ממה שראיתם כבר (ואני מקווה, לא מנוסה). WanaCryptor 2.0 משלב את SMB שדלף (Block Message Server, פרוטוקול שיתוף קבצים ברשת Windows) לנצל בעזרת עומס המשכפל את עצמו ומאפשר ל- Ransomware להתפשט ממכונה פגיעה אחת למחשב הבא. תולעת כופר זו חותכת את שיטת משלוח הכלי הרגיל של דוא"ל, קישור או פעולה אחרת.
אדם קויאווה, חוקר במלווארביטס אמר Ars Technica "וקטור ההדבקה הראשוני הוא משהו שאנחנו עדיין מנסים לגלות... בהתחשב בכך שהתקף זה נראה ממוקד, יתכן שזה היה בגלל פגיעות בהגנות הרשת או דיוג חנית מעוצב מאוד התקפה. בלי קשר, זה מתפשט דרך רשתות נגועות באמצעות הפגיעות של EternalBlue, ומדביק מערכות נוספות שלא הוענקו להן. "
WanaCryptor ממנפת גם את DOUBLEPULSAR, עוד ניצול של NSA דלף פריצת CIA וכספת 7: המדריך שלך למהדורת הוויקי ליקס האחרונהכולם מדברים על WikiLeaks - שוב! אבל ה- CIA לא ממש צופה בך דרך הטלוויזיה החכמה שלך, נכון? ללא ספק המסמכים שהודלפו מזויפים? ואולי זה יותר מסובך. קרא עוד . זהו דלת אחורית המשמשת להזרקה והפעלת קוד זדוני מרחוק. הזיהום סורק אחר מארחים שנדבקו בעבר בדלת האחורית, וכאשר הם נמצאים משתמש בפונקציונליות הקיימת להתקנת WanaCryptor. במקרים בהם אין למערכת המארחת דלת אחורית קיימת של DOUBLEPULSAR, התוכנה הזדונית חוזרת לניצול ה- SMB של ETERNALBLUE.
עדכון אבטחה קריטי
הדליפה העצומה של כלי פריצה של NSA העלתה כותרות ברחבי העולם. עדויות מיידיות ובלתי מתחרות לכך שה- NSA אוסף ומאחסן מעלולים שאינם משוחררים ליום האפס לשימושו האישי. זה מהווה סיכון ביטחוני עצום 5 דרכים להגן על עצמך מפני ניצול אפס יוםניצולים של אפס יום, פגיעות תוכנה שמנוצלים על ידי האקרים לפני שהטלאי הופך להיות זמין, מהווים איום אמיתי על הנתונים והפרטיות שלך. כך תוכלו להאריך את ההאקרים. קרא עוד , כפי שראינו כעת.
למרבה המזל, מיקרוסופט טלאים ניצול הבלו-אייבלי במרץ לפני שעמדת הנשק המסיבית של מתווכי הצללים הגיעה לכותרות. בהתחשב באופי ההתקפה, שאנו יודעים כי ניצול ספציפי זה נמצא במשחק, ואופי הזיהום המהיר, נראה כי מדובר במספר עצום של ארגונים לא הצליחו להתקין את העדכון הקריטי כיצד ומדוע אתה צריך להתקין את תיקון האבטחה ההוא קרא עוד - יותר מחודשיים לאחר שחרורו.
בסופו של דבר, ארגונים מושפעים ירצו לשחק במשחק האשמה. אבל לאן האצבע צריכה להצביע? במקרה זה, יש מספיק אשמה לחלוק סביב: ה- NSA עבור מלאי מעלולים מסוכנים לאפס יום מהי פגיעות של יום אפס? [MakeUseOf מסביר] קרא עוד , גורמי המזיקים שעדכנו את WanaCryptor במעללים שהודלפו, הארגונים הרבים שהתעלמו מעדכון אבטחה קריטי, וארגונים נוספים המשתמשים עדיין ב- Windows XP.
ייתכן שאנשים מתו מכיוון שארגונים מצאו כי הנטל לשדרג את מערכת ההפעלה העיקרית שלהם פשוט מדהים.
למיקרוסופט יש שוחרר מייד עדכון אבטחה קריטי עבור Windows Server 2003, Windows 8 ו- Windows XP.
מיקרוסופט משחררת #WannaCrypt הגנה על מוצרים שאינם תומכים ב- Windows XP, Windows 8 ו- Windows Server 2003: https://t.co/ZgINDXAdCj
- מיקרוסופט (@ Microsoft) 13 במאי 2017
האם אני בסיכון?
WanaCryptor 2.0 התפשט כמו אש בשדה קוצים. במובן מסוים, אנשים מחוץ לתעשיית הביטחון שכחו את התפשטותה המהירה של תולעת, והבהלה שהיא יכולה לגרום. בעידן ההיפר-קשור הזה, ובשילוב עם תוכנת הקריפטה-רנסומיס, היו ספקי התוכנה הזדונית זוכים לאימה.
האם אתה בסיכון? למרבה המזל, לפני שארצות הברית התעוררה ויצאה ליום המחשוב שלה, ה- MalwareTechBlog מצא מתג הרג שהוסתר בקוד התוכנה הזדונית, ובכך צמצם את התפשטות הזיהום.
מתג ההשמדה כלל שם תחום מאוד לא רגיש - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - שהתוכנה הזדונית מבקשת.
אז אני יכול רק להוסיף ל"הגנה "שלי" עצר בטעות מתקפת סייבר בינלאומית ". ^^
- ScarewareTech (@MalwareTechBlog) 13 במאי 2017
אם הבקשה חוזרת לפעולה (כלומר נענה לבקשה), התוכנה הזדונית אינה מדביקה את ההתקן. לרוע המזל, זה לא עוזר לאף אחד שכבר נדבק. חוקר האבטחה שמאחורי MalwareTechBlog רשם את הכתובת למעקב אחר זיהומים חדשים באמצעות בקשותיהם, ולא הבין שמדובר במתג להרוג חירום.
#רוצה לבכות עומס ההפצה מכיל דומיין שלא היה רשום בעבר, הביצוע נכשל כעת לאחר שהדומיין נבלע pic.twitter.com/z2ClEnZAD2
- דריאן הוס (@darienhuss) 12 במאי 2017
למרבה הצער, קיימת האפשרות שקיימים גרסאות אחרות של תוכנת הכופר, שלכל אחת מהן יש מתג להרוג משלהן (או בכלל לא לפי העניין).
ניתן להקל על הפגיעות על ידי השבתת SMBv1. מיקרוסופט מספקת הדרכה יסודית כיצד לעשות זאת עבור Windows ו- Windows Server. במערכת Windows 10 זה יכול להיות מושגת במהירות על ידי לחיצה על מקש חלונות + X, בחירה PowerShell (מנהל)והדבקת הקוד הבא:
השבת-WindowsOptionalFeature -Online -FeatureName smb1protocolSMB1 הוא פרוטוקול ישן. גרסאות עדכניות יותר אינן פגיעות לגרסת WanaCryptor 2.0.
בנוסף, אם המערכת שלך עודכנה כרגיל, כן לא סביר לחוש את ההשפעות הישירות של זיהום מסוים זה. עם זאת, אם בוטל פגישה של NHS, התשלום הבנקאי לא השתבש, או שחבילה חיונית לא הצליחה להגיע, אתה הושפע ללא קשר.
ומילה לחכם, ניצול טלאים לא תמיד עושה את העבודה. קונפיקר, מישהו?
מה קורה לאחר מכן?
בבריטניה תואר בתחילה WanaCryptor 2.0 כהתקפה ישירה על ה- NHS. זה הוזל. אולם הנושא נותר שמאות אלפי אנשים חוו הפרעה ישירה בגלל תוכנות זדוניות.
התוכנה הזדונית נושאת סימני היכר לתקיפה עם השלכות בלתי מכוונות באופן דרסטי. מומחה לאבטחת סייבר, ד"ר אפזל אשרף, אמר ל- BBC כי "הם ככל הנראה תקפו חברה קטנה בהנחה שהם יקבלו סכום כסף קטן, אבל זה נכנס למערכת NHS ועכשיו הם יש את מלוא כוחה של המדינה נגדם - כי ברור, הממשלה לא יכולה להרשות לעצמה שדברים מסוג זה יקרה ויהיה מצליח. "
זה לא רק ה- NHS, כמובן. בספרד, אל מונדומדווחים ש 85 אחוז מהמחשבים בטלפוניקה הושפעו מהתולעת. פדקס הודה שהם הושפעו, כמו גם פורטוגל טלקום, והמגה-פון הרוסית. וזה גם מבלי להתחשב בספקי התשתית הגדולים.
שתי כתובות ביטקוין נוצרו (כאן ו כאן) כדי לקבל כופר מכיל כעת BTC משולב של 9.21 (כ- 16,000 $ דולר בשעת הכתיבה) מ 42 עסקאות. עם זאת, ומאששים את תיאוריית "ההשלכות הבלתי מכוונות", הוא היעדר זיהוי המערכת המסופק עם תשלומי הביטקוין.
אולי חסר לי משהו. אם לכל כך הרבה קורבנות Wcry יש את אותה כתובת ביטקוין, איך החיילים יכולים לדעת מי שילם? כמה דברים ...
- BleepingComputer (@BleepinComputer) 12 במאי 2017
אז מה קורה אחר כך? תהליך הניקוי מתחיל, וארגונים המושפעים סופרים את הפסדיהם, הן כספיים והן מבוססי נתונים. יתרה מזאת, ארגונים שנפגעו יבחנו מבט ארוך וקשה על נוהלי האבטחה שלהם ו - אני באמת, באמת מקווה - עדכן, משאיר את מערכת ההפעלה Windows XP המיושנת והמסוכנת כעת מאחור.
אנו מקווים.
הושפעתם ישירות מ- WanaCryptor 2.0? איבדתם נתונים או שביטלתם פגישה? האם אתה חושב שממשלות צריכות לכפות שדרוג של תשתיות קריטיות למשימה? ספר לנו את חוויות WanaCryptor 2.0 שלהלן ולתת לנו נתח אם נעזור לך.
אשראי תמונה: כל מה שאני עושה דרך Shutterstock.com
גבין הוא סופר בכיר ב- MUO. הוא גם עורך ומנהל SEO של אתר האחות הממוקדת בקריפטו של MakeUseOf, Blocks Decoded. הוא בעל תואר ראשון (Hons) בכתיבה עכשווית עם פרקטיקות באמנות דיגיטלית, הנדנדה מגבעות דבון, וכן ניסיון של למעלה מעשור של כתיבה מקצועית. הוא נהנה מכמויות תה רבות.
