The Global Ransomware Attack e How to Protect Your Data

Un enorme attacco informatico ha colpito computer in tutto il mondo. Il ransomware altamente virulento e autoreplicante - noto come WanaCryptor, Wannacry o Wcry - ha in parte utilizzato un exploit della National Security Agency (NSA) rilasciato in libertà il mese scorso. I cybercriminali possiedono strumenti di hacking della CIA: cosa significa per voi cybercriminali possedere hacking della CIA Strumenti: cosa significa per te Il malware più pericoloso dell'Agenzia di intelligence centralizzata - capace di hackerare quasi tutta l'elettronica di consumo wireless - potrebbe ora sedersi nelle mani di ladri e terroristi. Quindi cosa significa per te? Leggi di più da un gruppo di hacker noto come The Shadow Brokers.

Si pensa che il ransomware abbia infettato almeno 100.000 computer, secondo gli sviluppatori di antivirus, Avast. Il massiccio attacco ha colpito prevalentemente la Russia, l'Ucraina e Taiwan, ma si è diffuso presso le principali istituzioni in almeno 99 altri paesi. Oltre a richiedere $ 300 (circa 0,17 bitcoin al momento della scrittura), l'infezione è anche degna di nota per il suo approccio multilingue alla protezione del riscatto: il malware supporta più di due dozzine di lingue.

Cosa sta succedendo?

WanaCryptor sta causando un'interruzione massiccia, quasi senza precedenti. Il ransomware sta colpendo banche, ospedali, telecomunicazioni, servizi energetici e altre infrastrutture critiche quando i governi attaccano: il malware delle nazioni nazionali è esposto quando i governi attaccano: il malware delle nazioni dello stato è stato esposto Un cyberwar sta accadendo proprio ora, nascosto da internet, i suoi risultati sono raramente osservati. Ma chi sono i giocatori in questo teatro di guerra e quali sono le loro armi? Leggi di più .

Solo nel Regno Unito almeno 40 Trusts NHS (National Health Service) hanno dichiarato le emergenze, costringendo alla cancellazione di importanti interventi chirurgici, nonché minando la sicurezza e la sicurezza dei pazienti e quasi certamente portando a vittime.

La polizia è all'ospedale di Southport e le ambulanze vengono "sottoposte a backup" presso la A & E mentre il personale affronta la crisi in corso di hacking #NHS pic.twitter.com/Oz25Gt09ft

- Ollie Cowan (@Ollie_Cowan), 12 maggio 2017

WanaCryptor è emerso per la prima volta nel febbraio 2017. La versione iniziale del ransomware ha modificato le estensioni dei file interessate in “.WNCRY” oltre a contrassegnare ogni file con la stringa “WANACRY!”

WanaCryptor 2.0 si sta diffondendo rapidamente tra i computer utilizzando un exploit associato a Equation Group, un collettivo di hacker strettamente associato alla NSA (e pesantemente si dice che sia il loro interno “sporco” unità di hacking). La ricercata ricercatrice di sicurezza, Kafeine, ha confermato che l'exploit noto come ETERNALBLUE o MS17-010 avrebbe probabilmente presentato la versione aggiornata.

WannaCry / WanaCrypt0r 2.0 sta effettivamente attivando la regola ET: 2024218 "ET EXPLOIT Possibile ETERNALBLUE MS17-010 Risposta eco" pic.twitter.com/ynahjWxTIA

- Kafeine (@kafeine), 12 maggio 2017

Molteplici exploit

Questo scoppio di ransomware è diverso da quello che potresti aver già visto (e spero, non esperto). WanaCryptor 2.0 combina il leaked SMB (Server Message Block, un protocollo di condivisione file di rete Windows) con un payload autoreplicante che consente al ransomware di diffondersi da una macchina vulnerabile alla successiva. Questo taglia-verme taglia fuori il consueto metodo di consegna ransomware di una e-mail, un collegamento o altra azione infetti.

Adam Kujawa, un ricercatore di Malwarebytes, ha dichiarato ad Ars Technica “Il vettore di infezione iniziale è qualcosa che stiamo ancora cercando di scoprire ... Considerando che questo attacco sembra essere mirato, potrebbe essere stato attraverso una vulnerabilità nelle difese della rete o un attacco di spear phishing molto ben fatto. Indipendentemente da ciò, si sta diffondendo attraverso le reti infette utilizzando la vulnerabilità EternalBlue, infettando ulteriori sistemi senza patch.”

WanaCryptor fa anche leva su DOUBLEPULSAR, un altro exploit NSA trapelato CIA Hacking & Vault 7: la tua guida all'ultima versione di WikiLeaks CIA Hacking & Vault 7: la tua guida all'ultima versione di WikiLeaks Tutti parlano di Wikileaks - ancora! Ma la CIA non ti sta davvero guardando attraverso la tua smart TV, vero? Sicuramente i documenti trapelati sono falsi? O forse è più complicato di così. Leggi di più . Questa è una backdoor utilizzata per iniettare ed eseguire codice malevolo da remoto. L'infezione esegue la scansione degli host precedentemente infettati con la backdoor e, quando trovati, utilizza la funzionalità esistente per installare WanaCryptor. Nei casi in cui il sistema host non ha una backdoor DOUBLEPULSAR esistente, il malware ritorna all'exploit ETERNALBLUE SMB.

Aggiornamento di sicurezza critico

La massiccia perdita di strumenti di hacking della NSA ha fatto notizia in tutto il mondo. La prova immediata e senza eguali che la NSA raccoglie e memorizza exploit zero-day inediti per il proprio uso è là fuori. Questo pone un enorme rischio per la sicurezza 5 modi per proteggersi da uno sfruttamento zero-day 5 modi per proteggersi da exploit zero-day Zero-day exploit, le vulnerabilità software che vengono sfruttate dagli hacker prima che una patch diventi disponibile, rappresentano un'autentica minaccia per i tuoi dati e la privacy. Ecco come puoi tenere a bada gli hacker. Per saperne di più, come abbiamo visto ora.

Casualmente, Microsoft ha corretto l'exploit Eternalblue a marzo prima che il massiccio exploit-trionfo dei Shadow Broker raggiungesse i titoli dei giornali. Data la natura dell'attacco, che sappiamo che questo specifico exploit è in gioco e la natura rapida dell'infezione, sembrerebbe che un enorme numero di organizzazioni non abbia installato l'aggiornamento critico. Come e perché è necessario installare quella patch di sicurezza & Perché è necessario installare quella patch di sicurezza Per saperne di più - più di due mesi dopo il suo rilascio.

In definitiva, le organizzazioni interessate vorranno giocare il gioco della colpa. Ma dove dovrebbe puntare il dito? In questo caso, c'è abbastanza colpa da condividere: l'NSA per lo stoccaggio di pericolosi exploit zero-day Cos'è una vulnerabilità Zero Day? [MakeUseOf Explains] Che cos'è una vulnerabilità Zero Day? [MakeUseOf Explains] Leggi di più, i malfattori che hanno aggiornato WanaCryptor con gli exploit trapelati, le numerose organizzazioni che hanno ignorato un aggiornamento di sicurezza critico e altre organizzazioni che utilizzano ancora Windows XP.

Che le persone possano essere morte perché le organizzazioni hanno scoperto che l'onere di aggiornare il loro sistema operativo primario è semplicemente sorprendente.

Microsoft ha rilasciato immediatamente un aggiornamento di sicurezza critico per Windows Server 2003, Windows 8 e Windows XP.

Microsoft rilascia la protezione #WannaCrypt per i prodotti fuori supporto Windows XP, Windows 8 e Windows Server 2003: https://t.co/ZgINDXAdCj

- Microsoft (@Microsoft), 13 maggio 2017

Sono a rischio?

WanaCryptor 2.0 si è diffuso come un incendio. In un certo senso, le persone al di fuori del settore della sicurezza hanno dimenticato la rapida diffusione di un worm e il panico che può causare. In questa era iper-connessa e combinata con il cripto-ransomware, i fornitori di malware erano su un terrificante vincitore.

Sei a rischio? Fortunatamente, prima che gli Stati Uniti si svegliassero e passassero il giorno del calcolo, il MalwareTechBlog trovò un kill-switch nascosto nel codice del malware, riducendo la diffusione dell'infezione.

Il kill-switch ha coinvolto un nome di dominio molto lungo senza senso - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - che il malware fa una richiesta a.

Quindi posso aggiungere "accidentalmente fermato un attacco informatico internazionale" al mio curriculum. ^^

- ScarewareTech (@MalwareTechBlog), 13 maggio 2017

Se la richiesta ritorna live (cioè accetta la richiesta), il malware non infetta la macchina. Sfortunatamente, questo non aiuta nessuno già infetto. Il ricercatore di sicurezza dietro MalwareTechBlog ha registrato l'indirizzo per tracciare nuove infezioni tramite le loro richieste, senza rendersi conto che si trattava dell'interruttore di interruzione di emergenza.

Il carico utile di propagazione #WannaCry contiene un dominio precedentemente non registrato, l'esecuzione non riesce ora che il dominio è stato scavato pic.twitter.com/z2ClEnZAD2

- Darien Huss (@darienhuss), 12 maggio 2017

Sfortunatamente, esiste la possibilità che esistano altre varianti del ransomware, ognuna con il proprio kill-switch (o per niente, a seconda dei casi).

La vulnerabilità può anche essere mitigata disabilitando SMBv1. Microsoft fornisce un approfondito tutorial su come farlo per Windows e Windows Server. Su Windows 10, questo può essere rapidamente raggiunto premendo Tasto Windows + X, Selezione PowerShell (amministratore), e incollando il seguente codice:

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

SMB1 è un vecchio protocollo. Le versioni più recenti non sono vulnerabili alla variante WanaCryptor 2.0.

Inoltre, se il tuo sistema è aggiornato come al solito, lo sei improbabile sentire gli effetti diretti di questa particolare infezione. Detto questo, se hai annullato un appuntamento NHS, il pagamento bancario è andato storto, o un pacchetto vitale non è arrivato, sei stato colpito, indipendentemente.

E una parola per il saggio, un exploit patchato non sempre fa il lavoro. Conficker, chiunque?

Cosa succede dopo?

Nel Regno Unito, WanaCryptor 2.0 è stato inizialmente descritto come un attacco diretto al NHS. Questo è stato scontato. Ma il problema rimane che centinaia di migliaia di persone hanno subito interruzioni dirette a causa di malware.

Il malware ha le caratteristiche di un attacco con conseguenze drasticamente non intenzionali. L'esperto di sicurezza informatica, il dott. Afzal Ashraf, ha detto alla BBC che “probabilmente hanno attaccato una piccola società supponendo che avrebbero ottenuto una piccola somma di denaro, ma è entrata nel sistema NHS e ora hanno il pieno potere dello stato contro di loro - perché ovviamente, il governo non può permettersi che questo genere di cose accadano e avere successo.”

Non è solo il servizio sanitario nazionale, ovviamente. In Spagna, il mondo segnala che l'85% dei computer di Telefonica era affetto dal worm. Fedex ha confessato che erano stati colpiti, così come Portugal Telecom e il russo MegaFon. E questo è senza considerare anche i principali fornitori di infrastrutture.

Due indirizzi bitcoin creati (qui e qui) per ricevere riscatti ora contengono un combinato 9,21 BTC (circa $ 16,000 USD al momento della scrittura) da 42 transazioni. Detto questo, e corroborando il “conseguenze non volute” teoria, è la mancanza di identificazione del sistema fornita con i pagamenti Bitcoin.

Forse mi manca qualcosa. Se così tante vittime di Wcry hanno lo stesso indirizzo di bitcoin, in che modo gli sviluppatori sono in grado di dire chi ha pagato? Qualcosa ??.

- BleepingComputer (@BleepinComputer), 12 maggio 2017

Quindi cosa succede dopo? Il processo di pulizia ha inizio e le organizzazioni colpite contano le loro perdite, sia finanziarie che basate sui dati. Inoltre, le organizzazioni interessate guarderanno con attenzione alle loro pratiche di sicurezza e - spero davvero, speriamo - si aggiornino, lasciando alle spalle il vecchio e antiquato sistema operativo Windows XP.

Speriamo.

Sei stato direttamente influenzato da WanaCryptor 2.0? Hai perso i dati o hai annullato un appuntamento? Pensi che i governi debbano imporre l'infrastruttura mission-critical per l'aggiornamento? Fateci sapere di seguito le vostre esperienze su WanaCryptor 2.0 e fateci una condivisione se vi abbiamo aiutato.

Credito immagine: tutto ciò che faccio tramite Shutterstock.com

Scopri di più su: Hacking, Ransomware.