O ataque global ao ransomware e como proteger seus dados

Propaganda

Um ataque cibernético maciço atingiu computadores em todo o mundo. O ransomware auto-replicante e altamente virulento - conhecido como WanaCryptor, Wannacry ou Wcry - se apropriou em parte de uma exploração da Agência de Segurança Nacional (NSA) lançado na natureza no mês passado Cibercriminosos possuem ferramentas de hackers da CIA: o que isso significa para vocêO malware mais perigoso da Agência Central de Inteligência - capaz de invadir quase todos os eletrônicos de consumo sem fio - agora podia estar nas mãos de ladrões e terroristas. Então, o que isso significa para você? consulte Mais informação por um grupo de hackers conhecido como The Shadow Brokers.

Pensa-se que o ransomware tenha infectado pelo menos 100.000 computadores, de acordo com desenvolvedores de antivírus, Avast. O ataque maciço atingiu predominantemente a Rússia, Ucrânia e Taiwan, mas se espalhou para as principais instituições em pelo menos 99 outros países. Além de exigir US $ 300 (cerca de 0,17 Bitcoin no momento da redação), a infecção também é notável por sua abordagem multilíngue para garantir o resgate: o malware suporta mais de duas dúzias línguas.

O que está acontecendo?

O WanaCryptor está causando uma interrupção maciça, quase sem precedentes. O ransomware está afetando bancos, hospitais, telecomunicações, concessionárias de energia, e outra infraestrutura de missão crítica Quando os governos atacam: malware de Estado-nação expostoUma guerra cibernética está ocorrendo agora, escondida pela internet, seus resultados raramente observados. Mas quem são os atores desse teatro de guerra e quais são suas armas? consulte Mais informação .

Somente no Reino Unido, finalmente 40 NHS (Serviço Nacional de Saúde) Confia em emergências declaradas, forçando o cancelamento de importantes cirurgias, além de comprometer a segurança dos pacientes e quase certamente levar a fatalidades.

A polícia está no Hospital Southport e as ambulâncias são "apoiadas" na A&E, enquanto a equipe lida com a atual crise de hackers #NHSpic.twitter.com/Oz25Gt09ft

- Ollie Cowan (@Ollie_Cowan) 12 de maio de 2017

O WanaCryptor surgiu pela primeira vez em fevereiro de 2017. A versão inicial do ransomware alterou as extensões de arquivo afetadas para ".WNCRY", além de marcar cada arquivo com a string "WANACRY!"

O WanaCryptor 2.0 está se espalhando rapidamente entre computadores usando uma exploração associada ao Equation Group, um coletivo de hackers intimamente associado à NSA (e há muito rumores de que eles são os hackers “sujos” internos unidade). O respeitado pesquisador de segurança, Kafeine, confirmou que a exploração conhecida como ETERNALBLUE ou MS17-010 provavelmente teria aparecido na versão atualizada.

O WannaCry / WanaCrypt0r 2.0 está realmente acionando a regra de ET: 2024218 "ET EXPLORAR Possível Resposta Eterna do Eco ETERALBLUE MS17-010" pic.twitter.com/ynahjWxTIA

- Kafeine (@kafeine) 12 de maio de 2017

Explorações múltiplas

Esse surto de ransomware é diferente do que você já deve ter visto (e espero que não tenha experimentado). O WanaCryptor 2.0 combina o SMB vazado (Server Message Block, um protocolo de compartilhamento de arquivos de rede do Windows) explorar com uma carga útil de replicação automática, permitindo que o ransomware se espalhe de uma máquina vulnerável para a Próximo. Esse worm de resgate elimina o método usual de entrega de ransomware de um email, link ou outra ação infectada.

Adam Kujawa, pesquisador da Malwarebytes contou Ars Technica “O vetor inicial de infecção é algo que ainda estamos tentando descobrir… Considerando que esse ataque parece direcionado, pode ter sido por uma vulnerabilidade nas defesas da rede ou por um spear phishing muito bem criado ataque. Independentemente disso, ele está se espalhando por redes infectadas usando a vulnerabilidade EternalBlue, infectando sistemas adicionais sem correção. ”

O WanaCryptor também está alavancando o DOUBLEPULSAR, outra exploração vazada da NSA CIA Hacking & Vault 7: Seu guia para a versão mais recente do WikiLeaksTodo mundo está falando sobre o WikiLeaks - de novo! Mas a CIA não está realmente assistindo você através da sua TV inteligente, está? Certamente os documentos vazados são falsos? Ou talvez seja mais complicado que isso. consulte Mais informação . Este é um backdoor usado para injetar e executar código malicioso remotamente. A infecção procura por hosts previamente infectados pelo backdoor e, quando encontrada, usa a funcionalidade existente para instalar o WanaCryptor. Nos casos em que o sistema host não possui um backdoor DOUBLEPULSAR existente, o malware é revertido para a exploração ETERNALBLUE SMB.

Atualização crítica de segurança

O vazamento maciço de ferramentas de hackers da NSA foi notícia em todo o mundo. Existem evidências imediatas e incomparáveis ​​de que a NSA coleta e armazena explorações de dia zero inéditas para seu próprio uso. Isso representa um enorme risco à segurança 5 maneiras de se proteger de uma exploração de dia zeroExplorações de dia zero, vulnerabilidades de software que são exploradas por hackers antes que um patch seja disponibilizado, representam uma ameaça genuína aos seus dados e privacidade. Aqui está como você pode manter os hackers à distância. consulte Mais informação , como vimos agora.

Felizmente, a Microsoft remendado a exploração Eternalblue em março, antes que o enorme volume de exploração dos Shadow Brokers chegasse às manchetes. Dada a natureza do ataque, que sabemos que essa exploração específica está em jogo e a natureza rápida da infecção, parece um grande número de organizações falharam ao instalar a atualização crítica Como e por que você precisa instalar esse patch de segurança consulte Mais informação - mais de dois meses após o seu lançamento.

Por fim, as organizações afetadas vão querer jogar o jogo da culpa. Mas para onde o dedo deve apontar? Nesse caso, há culpa suficiente para compartilhar: a NSA para armazenando explorações perigosas de dia zero O que é uma vulnerabilidade de dia zero? [MakeUseOf explica] consulte Mais informação , os malfeitores que atualizaram o WanaCryptor com as explorações vazadas, as numerosas organizações que ignoraram uma atualização crítica de segurança e outras organizações que ainda usam o Windows XP.

Essas pessoas podem ter morrido porque as organizações consideraram o ônus de atualizar seu sistema operacional principal simplesmente surpreendente.

Microsoft tem liberado imediatamente uma atualização de segurança crítica para o Windows Server 2003, Windows 8 e Windows XP.

Versões da Microsoft #WannaCrypt proteção para produtos sem suporte Windows XP, Windows 8 e Windows Server 2003: https://t.co/ZgINDXAdCj

- Microsoft (@Microsoft) 13 de maio de 2017

Estou em risco?

O WanaCryptor 2.0 se espalhou como fogo. Em certo sentido, pessoas de fora do setor de segurança haviam esquecido a rápida propagação de um worm e o pânico que ele pode causar. Nesta era hiperconectada, e combinados com o cripto-ransomware, os fornecedores de malware obtiveram um vencedor aterrorizante.

Você está em risco? Felizmente, antes que os Estados Unidos acordassem e passassem o dia da computação, o MalwareTechBlog encontrou um interruptor de interrupção oculto no código do malware, reduzindo a propagação da infecção.

O interruptor de interrupção envolvia um nome de domínio absurdo muito longo - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - ao qual o malware faz uma solicitação.

Portanto, só posso acrescentar "interrompi acidentalmente um ataque cibernético internacional" ao meu currículo. ^^

- ScarewareTech (@MalwareTechBlog) 13 de maio de 2017

Se a solicitação voltar ao ar (ou seja, aceitar a solicitação), o malware não infectará a máquina. Infelizmente, isso não ajuda ninguém já infectado. O pesquisador de segurança por trás do MalwareTechBlog registrou o endereço para rastrear novas infecções por meio de seus pedidos, sem perceber que era o interruptor de emergência.

#Quero chorar carga útil de propagação contém domínio anteriormente não registrado, a execução falha agora que o domínio foi perfurado pic.twitter.com/z2ClEnZAD2

- Darien Huss (@darienhuss) 12 de maio de 2017

Infelizmente, existe a possibilidade de existirem outras variantes do ransomware, cada uma com seu próprio interruptor de interrupção (ou não, conforme o caso).

A vulnerabilidade também pode ser atenuada, desativando o SMBv1. A Microsoft fornece um tutorial completo sobre como fazer isso no Windows e no Windows Server. No Windows 10, isso pode ser rapidamente alcançado pressionando Tecla do Windows + X, selecionando PowerShell (administrador)e colando o seguinte código:

Desativar-WindowsOptionalFeature -Online -FeatureName smb1protocol

SMB1 é um protocolo antigo. Versões mais recentes não são vulneráveis ​​à variante WanaCryptor 2.0.

Além disso, se seu sistema foi atualizado normalmente, você está improvável sentir os efeitos diretos dessa infecção em particular. Dito isto, se você cancelou uma consulta no NHS, o pagamento bancário deu errado ou um pacote vital não chegou, você foi afetado, independentemente.

E, para os sábios, uma exploração corrigida nem sempre faz o trabalho. Conficker, alguém?

O que acontece depois?

No Reino Unido, o WanaCryptor 2.0 foi inicialmente descrito como um ataque direto ao NHS. Este foi descontado. Mas o problema é que centenas de milhares de pessoas sofreram interrupções diretas devido a malware.

O malware apresenta as características de um ataque com consequências drasticamente não intencionais. Dr. Afzal Ashraf, especialista em segurança cibernética, disse à BBC que “eles provavelmente atacaram uma pequena empresa assumindo que receberiam uma pequena quantia em dinheiro, mas ela entrou no sistema do NHS e agora eles tem todo o poder do Estado contra eles - porque, obviamente, o governo não pode permitir que esse tipo de coisa aconteça e seja bem sucedido."

Não é apenas o NHS, é claro. Na Espanha, El Mundorelatam que 85% dos computadores na Telefonica foram afetados pelo worm. A Fedex confirmou que eles foram afetados, assim como a Portugal Telecom e o MegaFon da Rússia. E isso sem considerar também os principais fornecedores de infraestrutura.

Dois endereços de bitcoin criados (aqui e aqui) para receber resgates agora contêm um combinado de 9,21 BTC (cerca de US $ 16.000 no momento em que este foi escrito) de 42 transações. Dito isto, e corroborando a teoria das “consequências não intencionais”, está a falta de identificação do sistema fornecida com os pagamentos Bitcoin.

Talvez esteja faltando alguma coisa. Se tantas vítimas do Wcry têm o mesmo endereço de bitcoin, como os desenvolvedores podem saber quem pagou? Algumas coisas ...

- BleepingComputer (@BleepinComputer) 12 de maio de 2017

Então o que acontece depois? O processo de limpeza começa e as organizações afetadas contam suas perdas, tanto financeiras quanto baseadas em dados. Além disso, as organizações afetadas analisarão longamente suas práticas de segurança e - eu verdadeiramente, verdadeiramente espero - atualize, deixando o sistema operacional Windows XP antigo e agora perigoso atrás.

Nós esperamos.

Você foi diretamente afetado pelo WanaCryptor 2.0? Você perdeu dados ou teve um compromisso cancelado? Você acha que os governos devem forçar a infraestrutura de missão crítica a atualizar? Deixe-nos conhecer suas experiências com o WanaCryptor 2.0 abaixo e compartilhe-nos se tivermos ajudado você.

Crédito de imagem: Tudo o que faço via Shutterstock.com