0
Nog een maand, een nieuwe wereldwijde ransomware aanvallen. Even leek het erop dat de dreiging van WannaCry is verdwenen, organisaties over de hele wereld zijn het vinden van zichzelf onder druk van een nieuwe bedreiging.
Deze cyberaanval eerste hit doelen in Oekraïne, met inbegrip van de centrale bank, de belangrijkste internationale luchthaven en zelfs de Tsjernobyl kernreactor voor snel verspreiden over de hele wereld te infecteren organisaties in Europa, Noord-Amerika en zelfs Australië. Een dag na het incident begon, ten minste 2.000 aanvallen herinneren over ten minste 64 landen.
Vroege aanwijzingen suggereren dat deze uitbraak is een aangepaste versie van Petya ransomware, het combineren van elementen van GoldenEye en WannaCry ransomware in iets zeer krachtig.
Het zich de vicieuze karakter van GoldenEye — niet alleen het versleutelen van bestanden, maar ook hele harde schijven, waardoor hele netwerken nutteloos — samen met dezelfde EternalBlue Windows fout die WannaCry met de worm-achtige functies wordt gebruikt om te raken van de 300.000 computers over de hele wereld.
De exploit is ontwikkeld door de NSA voordat gelekt wordt door de Schaduw Makelaars hacken collectieve en, ondanks de afgifte van Microsoft een patch, de omvang van de nieuwe ransomware aanvallen, lijkt erop te wijzen dat veel systemen nog zeer kwetsbaar voor de dreiging.
Agentschappen van de wetshandhaving en cybersecurity bedrijven over de hele wereld zijn het onderzoek naar de aanslag – en-onderzoekers hebben aangeboden een tijdelijke methode van ‘vaccinatie’ tegen – maar hoe is dit gebeurd weer, net zes weken van een eerdere globale ransomware uitbraak?
Een reden dat deze nieuwe vorm van Petya blijkt zo effectief is als gevolg van de verbeterde worm mogelijkheden, zodat het verspreid over geïnfecteerde netwerken, wat betekent dat alleen een niet-gepatchte machine op een netwerk nodig heeft om te worden besmet om de hele operatie te instorten.
Niet alleen dat, maar cybersecurity onderzoekers bij Microsoft zeggen dat de ransomware heeft meerdere ‘laterale beweging’ technieken, via bestand-aandelen de overdracht van de malware in het netwerk, met behulp van de legitieme functies voor het uitvoeren van de lading en het heeft zelfs trojan-achtige vaardigheden te stelen referenties.
Onderzoekers hebben gesuggereerd dat phishing-e-mails en drinkplaats-aanvallen worden gebruikt om de verspreiding van malware, terwijl de analyse van Talos Intelligentie suggereert “”het is mogelijk dat sommige infecties kunnen worden geassocieerd met het bijwerken van software systemen voor een oekraïense fiscale administratie pakket genaamd MeDoc.”
Het bedrijf heeft echter geweigerd de vordering, ondanks eerder schijnbaar toelaten van hun server geïnfecteerd werd met een virus – in een inmiddels verwijderde post.
Maar er is een belangrijke reden waarom veel organisaties – vooral die in de industrie of vervoer sectoren – zijn het slachtoffer van deze uitbraak – omdat ze niet patchen van hun systemen.
In sommige gevallen, het is gewoon niet mogelijk om een update van een bepaalde maat gemaakte machines, maar ook in veel andere vallen bij de aanvallen is waarschijnlijk afkomstig zijn van het simpelweg niet toepassen van beveiligingsupdates ontworpen om te beschermen tegen de gelekte EternalBlue SMB fout.
Te veel organisaties actief zijn systemen die, om welke reden ook, logistieke en / of financiële, net nog niet gepatcht, waardoor ze nu vinden van zichzelf op risico van ransomware.
Zie ook: een enkel bestand Maken om jezelf te beschermen tegen de nieuwste ransomware aanvallen |
Ransomware: Een executive gids naar één van de grootste bedreigingen op het web
“Dit lijkt te raken van de grote industriële bedrijven, zoals Maersk shipping company en Rosneft oil company. Deze organisaties hebben meestal een uitdaging patchen al hun machines omdat veel systemen niet hebben. Luchthavens hebben ook deze uitdaging”, aldus Chris Wysopal, mede-oprichter en CTO bij Veracode
Het is verre van duidelijk wie er achter de aanval en in dit geval, het e-mailadres dat is geregistreerd voor de overdracht van Bitcoin losgeld is al uitgeschakeld door de host van het bedrijf, wat betekent dat deze achter het kan geen geld in.
Maar sommigen speculeren dat de aanvallers zijn meer geïnteresseerd in het veroorzaken van schade dan het maken van geld – vooral nu de worm uit de doos, het gaat om het verder te verspreiden tot het op één of andere manier gestopt worden.
“Er is steeds meer bewijs dat de #GoldenEye/#Petya ransomware campagne zou niet zijn gericht op financiële winst, maar eerder vernietiging van gegevens,” zegt Bogdan Botezatu, senior e-bedreiging analist bij Bitdefender.
Hij haalt de selectie van een reguliere e-mail service provider als een betaling kanaal, een gebrek aan een automatisch betaalsysteem en een “totaal gebrek aan bruikbaarheid” in de bevestiging van de betaling in dat de gebruiker om het type van een zeer lange “persoonlijke installatie sleutel” die het zou gemakkelijk om fouten te maken, in te voeren.
Maar ook het algemeen advies voor het niet betalen van het losgeld heeft niet door alle slachtoffers – ook na de gerelateerde e-mail account moet afsluiten – met iets meer dan 40 slachtoffers hebben gegeven en betaalde het losgeld, zelfs al is er geen manier voor hen om daadwerkelijk toegang te krijgen tot hun gegevens op deze manier.
Die in zichzelf biedt een microkosmos voor waarom ransomware werkt – in veel gevallen worden de slachtoffers het gevoel alsof ze hebben geen andere keus dan te betalen dus hand over losgeld, verder emboldening aanvallers.
De zorg is, als deze nieuwe vorm van ransomware is dus veel effectiever dan WannaCry na een paar weken – hoe slecht zou het krijgen in de toekomst?
“Wij geloven dat de gebeurtenissen van vandaag zijn onderdeel van de natuurlijke evolutie van ransomware technologie, maar ook een test-run voor een veel groter en brutaler aanval in de toekomst”, zei Steve Grobman CTO van McAfee.
Voor nu, er zijn twee dingen die kunnen worden gedaan in een poging om het minimaliseren van de impact van het slachtoffer van ransomware. De eerste is om ervoor te zorgen al uw operationele systemen en software worden bijgewerkt en up-to-date, de tweede is om voorzichtig te zijn met betrekking tot koppelingen en bijlagen in e-mails – twee van de belangrijkste aanval vectoren in eerste instantie voor het verspreiden van ransomware aanvallen.
LEES MEER OVER RANSOMWARE
WannaCry: Waarom deze ransomware gewoon niet dieSix snelle feiten om te weten over de Petya global ransomware attackAfter WannaCry, ransomware zal slechter worden, voordat het wordt betterHackers achter gestolen NSA tool voor WannaCry: Meer lekken [CNET]niet de zwakke schakel dat brengt ons allemaal neer op: Houdt uw OS bijwerken en up-to-date[TechRepublic]
0