0
En anden måned, en anden global ransomware angreb. Lige som det syntes, at truslen om WannaCry har spredes, organisationer rundt omkring i verden er at finde sig selv under belejring fra en ny trussel.
Dette cyberattack først ramme mål i Ukraine, herunder dens centralbanks vigtigste internationale lufthavn og selv Tjernobyl-anlægget, før der hurtigt breder sig over hele kloden, organisationer, inficere over hele Europa, Nordamerika og endda Australien. En dag efter episoden begyndte, mindst 2.000 angreb har været recored på tværs af mindst 64 lande.
Tidlige indikationer tyder på, at dette udbrud er det ned til en modificeret version af Petya ransomware, der kombinerer elementer af GoldenEye og WannaCry ransomware til noget meget potent.
Det slutter sig til den onde karakter af GoldenEye-ikke kun for at kryptere filer, men hele harddiske, hvilket gør det hele netværk ubrugelige — sammen med den samme EternalBlue Windows fejl, som er fastsat WannaCry med den orm-lignende funktioner, der bruges til at ramme de 300.000 computere rundt omkring i verden.
Den udnyttelse, der blev udviklet af NSA, før, før du bliver lækket af den Skygge Mæglere hacking kollektiv, og på trods af Microsoft udstedelse af en patch, omfanget af ny ransomware angreb synes at antyde, at mange systemer er stadig meget sårbare over for truslen.
Retshåndhævende myndigheder og cybersecurity virksomheder over hele verden er ved at undersøge angrebet, og forskere har tilbudt en midlertidig metode til at ‘vaccinere’ mod det – men hvordan er det sket igen, kun seks uger på en tidligere globale ransomware udbrud?
En af grundene til denne nye form for Petya, har vist sig så effektiv, er på grund af forbedret orm evner, så er det at sprede sig på tværs inficeret netværk, hvilket betyder, at kun én unpatched inde på et helt netværk har behov for at blive smittet, for at hele operationen for at komme ned ned.
Ikke kun det, men cybersecurity forskere på Microsoft siger, at den ransomware har flere ‘lateral bevægelse’ teknikker, ved hjælp af fil-aktier til at overføre malware på tværs af netværket, ved hjælp af legitime funktioner, til at udføre nyttelast, og det har endda trojan-lignende evner til at stjæle loginoplysninger.
Forskere har foreslået, at phishing-e-mails og watering hole-angreb bliver brugt til at sprede malware, mens analyse af Talos Efterretninger antyder, at “”det er muligt, at nogle infektioner kan være forbundet med software opdatering systemer til en ukrainsk skat regnskabs-pakke kaldet MeDoc.”
Men selskabet har afvist kravet, på trods af tidligere tilsyneladende indrømme deres server var inficeret med en virus – i en nu slettet, indlæg.
Men der er en nøgle til, hvorfor mange organisationer – navnlig i de industrielle og transportsektoren – er ofre for dette udbrud – fordi de ikke lappe deres systemer.
I nogle tilfælde, det er bare ikke muligt at opdatere visse skræddersyede maskiner, men i mange andre, falder til angreb er sandsynligvis kommet fra ganske enkelt ikke at anvende de sikkerhedsopdateringer, der er designet til at beskytte mod de lækkede EternalBlue SMB fejl.
Alt for mange organisationer er, der kører systemer, der, uanset af hvilken grund, være det logistisk eller økonomisk, har bare ikke lappet, og så er de nu at finde sig selv i fare for ransomware.
Se også: Opretter en enkelt fil for at beskytte dig selv fra de nyeste ransomware angreb |
Ransomware: executive-guide til en af de største trusler på nettet
“Dette synes at være at ramme store industrielle virksomheder, som Mærsk rederiet og Rosneft oil company. Disse organisationer har typisk en udfordring at lappe alle deres maskiner, fordi så mange systemer, ikke kan få ned i tid. Lufthavne, der også har denne udfordring,” siger Chris Wysopal, co-stifter og CTO i Veracode
Det er langt fra klart, hvem der står bag angrebet, og i dette tilfælde e-mail-adresse, der er registreret til at overføre Bitcoin løsepenge til, er allerede blevet deaktiveret af værten, hvilket betyder, at dem, der står bag det ikke kan kontanter i.
Men nogle spekulere i, at angribere er mere interesseret i at forårsage skade, end at tjene penge – især nu ormen er ude af kassen, det kommer til at fortsætte med at sprede sig, indtil den en eller anden måde kan blive stoppet.
“Der er stigende bevis for, at den #GoldenEye/#Petya ransomware kampagne måske ikke er målrettet økonomisk gevinst, men snarere data ødelæggelse,” sagde Bogdan Botezatu, senior e-trussel, analytiker hos Bitdefender.
Han citerer udvælgelsen af en almindelig e-mail-udbyder, som en betaling kanal, en mangel af et automatisk betalingssystem og en “total mangel på anvendelighed” i betaling bekræftelse i, at brugeren har til at skrive en meget lang “personlig installation nøgle”, som det ville være nemt at lave fejl i indtastning.
Men selv generel rådgivning om ikke at betale den løsesum, der ikke har fået gennem alle ofrene – selv efter den tilhørende e-mail konto er blevet lukket ned – med kun lidt over 40 ofre, der har givet og betalt løsepenge, selvom der ikke er nogen måde for dem til rent faktisk at få adgang til deres data på denne måde.
Hvilket i sig selv giver et mikrokosmos for, hvorfor ransomware virker – i mange tilfælde føle sig som ofre, hvis de har ingen anden mulighed end at betale så hånden over løsepenge, yderligere emboldening angribere.
Den bekymring er, om denne nye form for ransomware er så meget mere effektiv end WannaCry efter kun et par uger – hvor slemt kan det blive i fremtiden?
“Vi mener, at dagens begivenheder er en del af den naturlige udvikling af ny teknologi, men også en test-kørsel for en langt større og mere dristige angreb i fremtiden,” sagde Steve Grobman CTO hos McAfee.
For nu, er der to ting, der kan gøres i et forsøg på at minimere konsekvenserne af at blive ofre for ransomware. Den første er at sikre, at alle dine operativsystemer og software der er patchet og opdateret, den anden er at være forsigtig med hensyn til links og vedhæftede filer i e-mails – to af de vigtigste angrebsvinkler til i første omgang spredning ransomware angreb.
LÆS MERE OM RANSOMWARE
WannaCry: Hvorfor denne ransomware bare ikke dieSix hurtige fakta at vide om Petya globale ransomware attackAfter WannaCry, ransomware vil blive værre, før det bliver betterHackers bag stjålet NSA værktøj til WannaCry: Flere lækager [CNET]Må ikke være det svage led, som bringer os alle ned: Hold OS opdateret og ajour med[TechRepublic]
0