0
En månad, en annan global ransomware attack. Just som det verkade som att hotet om WannaCry har försvunnit, organisationer runt om i världen befinner sig under belägring från ett nytt hot.
Detta cyberattack första träffen mål i Ukraina, inklusive dess centralbank, största internationella flygplats och till och med i Tjernobyl anläggning innan du snabbt sprider sig runt om i världen, som infekterar organisationer i Europa, Nordamerika och även Australien. En dag efter händelsen började, minst 2 000 attacker har varit påminna över minst 64 länder.
Tidiga indikationer tyder på att detta utbrott är en modifierad version av Petya ransomware, som kombinerar element av GoldenEye och WannaCry ransomware till något extremt potent.
Det går med den onda karaktären i GoldenEye-inte bara kryptera filer men hela hårddiskar, vilket gör hela nätverk värdelös — tillsammans med samma EternalBlue Windows fel som avses WannaCry med mask-liknande funktioner som används för att slå på 300 000 datorer runt om i världen.
Utnyttja utvecklades av NSA innan som läckt ut från Skuggan Mäklare hacka kollektiv, och trots att Microsoft utfärdar en lapp, i vilken omfattning nya ransomware attacker som visas som tyder på att många system är fortfarande mycket utsatta för hot.
Brottsbekämpande myndigheter och it-företag i världen är att undersöka attack – och forskarna har erbjudit en tillfällig metod för att “vaccinera” mot det – men hur har detta hänt igen, bara sex veckor på sig från en tidigare globala ransomware utbrott?
En anledning till denna nya form av Petya visar sig vara så effektiv är en följd av förbättrade mask kapacitet, som gör det möjligt att sprida sig över smittade nätverk, vilket innebär att endast en okorrigerad maskinen på ett helt nät behöver för att bli smittade för hela verksamheten att rasa.
Inte bara det, men cybersäkerhet forskare på Microsoft säger ransomware har flera “sidled” tekniker, med hjälp av file-aktier för att överföra skadlig kod över nätverk med hjälp av legitima funktioner för att köra last och det har även trojan-liknande förmågor för att stjäla inloggningsuppgifter.
Forskare har föreslagit att phishing e-post och vattenhål attacker används för att sprida skadlig kod, medan analys av Talos Intelligens tyder på “”det är möjligt att vissa infektioner kan vara i samband med uppdatering av programvara och system för en ukrainsk skatt redovisning paket som kallas MeDoc.”
Bolaget har dock förnekat påståendet, trots tidigare till synes medge att deras server var infekterad med ett virus – i ett nu borttaget inlägg.
Men det finns en viktig anledningen till att många organisationer – särskilt i den industriella eller transporter – är att falla offer för detta utbrott – eftersom de inte korrigerar sina system.
I vissa fall, det är bara inte möjligt att uppdatera vissa skräddarsydda maskiner, men i många andra, faller till attacker är sannolikt att komma från helt enkelt inte tillämpa säkerhets-uppdateringar som har utformats för att skydda mot den läckte EternalBlue SMB fel.
För många organisationer är att driva system som, oavsett anledning, vara det logistiska eller finansiella, har bara inte lappat och så är de nu befinner sig i riskzonen för ransomware.
Se även: Skapa en enda fil för att skydda dig själv från de senaste ransomware attack |
Ransomware: En verkställande guide till en av de största hot på webben
“Det här verkar vara att slå stora industriella företag, som rederiet Maersk och Rosneft. Dessa organisationer har vanligen en utmaning att patcha alla sina maskiner på grund av att så många system kan inte ha ner tid. Flygplatser har också denna utmaning,” säger Chris Wysopal, grundare och CTO på Veracode
Det är långt ifrån klart vem som ligger bakom attacken och i detta fall, den e-postadress som registrerats för överföring av Bitcoin lösensummor för att redan har inaktiverats av det mottagande bolaget, vilket innebär att de som står bakom kan det inte kontanter.
Men vissa spekulerar i att angriparna är mer intresserade av att orsaka skada än att tjäna pengar – särskilt nu masken är out of the box, det kommer att fortsätta att sprida sig tills det på något sätt kan stoppas.
“Det finns allt fler bevis för att #GoldenEye/#Petya ransomware kampanjen kanske inte har riktade ekonomiska vinster utan snarare att data förstörs, säger Bogdan Botezatu, ledande e-hot analytiker på Bitdefender.
Han citerar val av en vanlig e-tjänsteleverantör som en betalning kanal, en brist på en automatisk betalning-system och en “total brist på användbarhet” i betalning bekräftelse i att användaren måste skriva en extremt lång “personlig installation nyckel” som det skulle vara lätt att göra fel i att komma in.
Men även allmänna råd om att inte betala lösen inte har fått igenom att alla offer – även när den relaterade e-postkonto fick stänga – med drygt 40 offer efter att ha gett in och betalat lösen, även om det finns inget sätt för dem att faktiskt få åtkomst till sina data på detta sätt.
Vilket i sig ger ett mikrokosmos för varför ransomware fungerar – i många fall är offren känner sig som om de har inget annat alternativ än att betala så lämna över lösensummor, ytterligare emboldening angripare.
Det som oroar mig är om denna nya form av ransomware är mycket mer effektiv än WannaCry efter bara några veckor – hur illa kan det bli i framtiden?
“Vi tror att dagens händelser är en del av den naturliga utvecklingen av ransomware teknik, men också ett test-run för en mycket större och djärvare attack i framtiden,” säger Steve Grobman CTO på McAfee.
För nu, det finns två saker som kan göras i ett försök att minimera effekterna av att falla offer för en ransomware. Den första är att se till att alla dina operativsystem och programvara är korrigerad och uppdaterad, den andra att vara försiktiga när det gäller länkar och bifogade filer i e-post – två av de viktigaste angreppsvinklar för från början att sprida ransomware attacker.
LÄS MER PÅ RANSOMWARE
WannaCry: Varför denna ransomware bara inte dieSix snabba fakta för att veta om Petya globala ransomware attackAfter WannaCry, ransomware kommer att bli värre innan det blir betterHackers bakom stulen NSA verktyg för WannaCry: Fler läckor kommer [MAG]inte vara den svaga länken som ger oss alla: Håll ditt OPERATIVSYSTEM lappat och upp till datum[TechRepublic]
0