De WannaCry ransomware epidemie hard getroffen: de malware te infecteren meer dan 300.000 slachtoffers over de hele wereld het veroorzaken van chaos.
Fabrieken, de BRITSE National Health Service, de russische postal service, en zelfs de Chinese overheid waren onder de slachtoffers van de willekeurige WannaCry vallen voordat de uitbraak werd onder controle gebracht, maar niet voordat kost miljarden aan schade en gederfde productiviteit.
Microsoft patches uitgegeven en de eerste scramble die systemen is de focus verschoven naar uit te werken die begonnen met de aanval, met zowel eigen cybersecurity bedrijven en overheidsinstellingen in de richting van Noord-Korea als de dader achter een incident.
Maar dat was niet het einde. Meer dan een maand op de eerste uitbraak, WannaCry is nog steeds beweren slachtoffers. Op zondag 18 juni autofabrikant Honda werd gedwongen om af te sluiten met één van haar productiefaciliteiten, omdat systemen besmet waren met WannaCry.
De Japanse firma tijdelijk gestopt met de productie bij de database nederlands plant nadat was ontdekt dat de malware worm was besmet netwerken in Japan, Noord-Amerika, China en nog veel meer.
Gelegen ten Noord-Westen van Tokyo, de database nederlands plant was de enige productie-faciliteit voor de productie hebben beïnvloed door de uitbraak na afsluiten op maandag, stopzetting van de productie van rond de 1000 auto ‘ s – de dagelijkse output van de faciliteit.
Geen enkele andere productie-installaties werden beïnvloed op deze manier en werken in de fabriek hervat als normaal op dinsdag, het bedrijf, vertelde ZDNet, het toevoegen van het “nemen van elke stap naar een verdere versterking van de veiligheid van de systemen”.
Een paar dagen later, WannaCry hit 55 speed camera ‘ s in Victoria, Australië, met de bron van de infectie gedacht te worden als gevolg van een menselijke fout bij een geïnfecteerde USB-werd geplaatst door iemand die het uitvoeren van onderhoud. Gelukkig is de offline aard van de apparaten van de ransomware kon niet verspreid naar andere netwerken.Dus waarom is WannaCry nog steeds problemen voor organisaties die meer dan een maand op de eerste epidemie?
Veel komt het neer op het worm-achtige eigenschappen van de ransomware, die gebruik maakt van EternalBlue, een gelekt NSA tool die gebruik maakt van een versie van het Windows Server Message Block (SMB) netwerkprotocol om zichzelf te verspreiden.
En nu is de worm in het wild, is het nog steeds probeert te vinden om computers te infecteren, terwijl alle aangedreven door sommige systemen besmet in de eerste uitbraak.
“Deze bijzondere incarnatie van WannaCry is een worm, dus het is het uitdragen van willekeurig in het rond op het internet. Dus alle systemen die besmet waren en had niet goed gereinigd is nog steeds uitdragen van de worm,” zegt Rafe Pilling, Senior Security Researcher bij SecureWorks Teller Bedreiging Eenheid.
“Dat kan mogelijk leiden tot nieuwe infecties in netwerken en omgevingen die nog niet toepassen van de patch en laat de worm in de een of andere manier”.
Het is zelfs niet de eerste worm van deze soort te blijven van een probleem lang nadat ze voor het eerst uitgebracht; de Conficker-worm – een SQL-Slammer uitgevoerd distributed denial of service (DDoS) – aanvallen – verscheen voor het eerst in 2003 en 14 jaar later nog steeds het uitvoeren van aanvallen, zodanig dat in December, het was de meest voorkomende vorm van malware-aanval.
“WannaCry is er nog steeds vergelijkbaar met hoe wormen als Conficker nog steeds in staat om zich te verspreiden op het internet. Zonder regelmatig patchen, organisaties zijn gevoelig voor verschillende vormen van cyber-aanvallen, met inbegrip van die zoals WannaCry,” zegt Ronnie Tokazowski, Senior Malware Analist bij Vlampunt.
Het is deze storing patch, die het inschakelen van de wil van WannaCry – en Conficker – blijven om een puur opportunistische dreiging, toen, in veel gevallen, het kan gemakkelijk worden gestopt.
Zie ook: Hoe om jezelf te verdedigen tegen de WannaCrypt global ransomware aanvallen| Ransomware: Een executive gids naar één van de grootste bedreigingen op het web
“Conficker is al jaar en er is absoluut geen reden op deze aarde, waarom zouden we nog steeds deze infectie”, zegt Mark James, Security Specialist bij ESET. “
Een andere reden waarom WannaCry is nog steeds te zien is dat veel bedrijven nog steeds rekenen op oudere machines en op maat gemaakte toepassingen, die niet langer worden ondersteund door patches of gewoon niet kan worden versteld in de eerste plaats. Dit soort technologie kan nog steeds kwetsbaar voor de worm.
“Het is heel gebruikelijk voor die soort van systemen voor het draaien van oudere versies van besturingssystemen die niet gecorrigeerde, uitgevoerd oude toepassingen, gebruikt gedeelde aanmeldingen, dat soort dingen, allemaal van die creëert en omgeving die meer gevoelig zijn voor dit soort dingen,” zegt Pilling.
“Het probleem met deze oudere systemen – Windows 7 vooral met WannaCry – is kunnen er gevallen zijn waarin de feitelijke SMB service is rechtmatig wordt gebruikt,” zegt James.
En terwijl organisaties proberen te doen alles wat ze kunnen proberen te doen alles wat ze kunnen doen de beveiliging van systemen met patches – het is gewoon de kwestie dat het moeilijk is om voortdurend bijwerken van oude systemen, in het bijzonder wanneer de fabrikanten stoppen met het aanbieden van patches, maar veel organisaties druk op deze benadering, omdat het alternatief betreft de besteding van grote bedragen op wholesale-upgrades.
“Het probleem is dat als het is ingebed en een deel van uw productie lijn, die gaat naar de persoon die gaat zeggen dat we moeten gooi dit perfect werken £500,000 van de machine voor een ander stuk van het systeem heeft een nieuwe processor,” James zegt.
Dus wat kan worden gedaan om te voorkomen slachtoffer te worden van WannaCry nu en nog steeds op zoek zijn naar systemen te infecteren?
“Netwerk segregatie speelt een belangrijke rol in de defensie”, zegt Pilling. “Ideaal niemand moet de poorten die nodig zijn voor deze worm te propageren toegankelijk op het internet of met uitgaande toegang tot het internet – het is over het algemeen beschouwd als een slechte praktijk voor de SMB-poort te worden blootgesteld is aan het internet, of u wilt toestaan dat uw systemen om te praten met dat protocol”.
Zelfs als WannaCry blijft zich verspreiden over het web, soms veroorzaakt door verstoring van fabrieken en andere organisaties, op een manier dat we geluk hebben dat sommige onderdelen van de code achter de ransomware was vrij amateuristisch.
Terwijl productief, als een ransomware aanvallen, WannaCry kan worden beschouwd als mislukt als het niet om veel geld te verdienen van losgeld betalingen, met slechts een klein deel van de slachtoffers betalen, het genereren van de aanvallers rond de $140,000 – en dat cijfer is alleen dat de hoge wijten aan een stijging in de waardering van Bitcoin.
Maar er zijn lessen die hier geleerd heb, zoals de uitbraak kon al veel meer storend als de ransomware was zo geavanceerd is als de wil van Locky of Cerber, sommige van de ransomware-varianten het meest succesvol in het exploiteren van betalingen van slachtoffers en het helpen van de malware kost bedrijven meer dan $1 miljard in 2016.
Organisaties die nog steeds vinden zichzelf in gevaar van wormen met behulp van exploits te infecteren oudere besturingssystemen moet serieus rekening houden met de potentiële impact — en wat zou er mis kunnen gaan als er iets erger is dan WannaCry aangekomen — voordat het te laat is.
LEES MEER OP CYEBRCRIME
WannaCry: De smart person ‘s guide [TechRepublic]Na WannaCry, ransomware zal slechter worden, voordat het wordt betterWannaCry ransomware is het echte slachtoffer: Uw plaatselijke winkel op de hoek [CNET]Ondanks de veiligheidsrisico’ s, oudere Windows-versies pest duizenden businessesLeaked NSA hacken exploit gebruikt in WannaCry ransomware is nu het voeden van Trojan malware