0
(Bild: Mikhail Golub/Twitter)
Tisdag såg en andra större cyberattack i så många månader, som påverkar flera länder och massor av stora företag — och det är bara början.
Några av damm har lagt sig hela dagen. Här är vad du behöver veta, nu.
1. SAMMA ATTACK-MEN OLIKA
Om du trodde detta var liknande förra månadens WannaCry ransomware attack, du skulle vara rätt.
Precis som förra gången, det okända angripare används en bakdörr utnyttja utvecklats av National Security Agency, EternalBlue, som läckte ut för några månader sedan. Angriparen installerat bakdörr på tusentals datorer, som senare kom att användas som ett instrument för en ransomware nyttolast.
(Källa: Symantec/Twitter)
Förra månaden var det WannaCrypt ransomware, men den här gången, säkerhet företag som Symantec och Bitdefender har bekräftat att det är en Petya ransomware stam dubbade GoldenEye, som inte bara kryptera filerna — det också krypterar hårddiskar, vilket gör hela datorer värdelös.
Många av de första rapporterna om organisationer som berörs kom från Ukraina, inklusive banker, energibolag och även Kievs största flygplats. Det spridit sig till Danmark, Ryssland, STORBRITANNIEN och USA. Minst ett sjukhus har drabbats av ransomware.
Så långt, Kaspersky sade att det hade varit mer än 2 000 separata attacker i sex timmar efter den ursprungliga infektionen, medan STORBRITANNIENS nationella it-säkerhet förklarade en “global ransomware händelsen.”
2. INGEN VET VEM SOM LIGGER BAKOM ATTACKEN. AKTA ‘NATIONALSTAT’ RETORIK TILLS DET FINNS BEVIS
Det är lätt att ha att anta att detta skulle kunna vara en nation attack, med tanke på att skulden är oftast riktad mot Ryssland för stora it-angrepp eller politisk inblandning. I förra månadens cyberattack, Nordkorea var en viktig misstänkt.
Men det finns inga bevis på detta dags att föreslå en regering som ligger bakom attacken.
Problemet är att eftersom hackare publicerad den uppsättning av NSA verktyg som används för att genomföra både förra månaden och dagens attack, vem som helst kan använda dem-från en stat till en ensam hackare.
Med tanke på att många fortfarande lutad över förra månadens attack och har fortfarande ännu inte kommit upp med några definitiva svar på vem som var bakom det och varför visar att tilldelningen är mycket svårt, om inte omöjligt.
Läs mer: vem Som är att skylla för den cyberattack? Här är varför ingen är riktigt säker på | inför Kongressen lagförslag för att stoppa OSS från lagring it-vapen | NSA: s hacking verktyg har läckt ut
3. VISSA INFEKTIONER KAN SPÅRAS TILLBAKA TILL EN UKRAINSKA FINANSIELLA MJUKVARUFÖRETAG
En säkerhet som företaget verkar ha funnit ett samband mellan en ukrainsk finansiella programvara företaget och är möjligt “ground zero” för attacken.
Talos Intelligens sade i en preliminär analys att “det är möjligt att vissa infektioner kan vara i samband med uppdatering av programvara och system för en ukrainsk skatt redovisning paket som kallas MeDoc.”
Det verkar ha bekräftats av bolaget. “Vår server gjort en virus attack. Vi ber om ursäkt för besväret!” sade lappen. (MeDoc senare förnekade påståendet i ett Facebook-inlägg.)
“I huvudsak vad som hänt är MeDoc var hackad och de tryckte in skadlig kod via update-funktionen,” twittrade MalwareTech, en säkerhetsforskare krediteras för att hitta och aktivera de döda-omkopplaren i WannaCry attack.
Talos är inte säker på hur MeDoc var hackad. Det är utreder möjligheten att en angripare mailade en skadlig bifogad fil till en anställd på MeDoc nätverk, men sade att det ännu inte kan bekräftas.
Om det visat sig vara sant, det skulle ge mer tilltro till möjligheten att en stat eller angripare, eller åtminstone en mycket avancerad hacker, inledde attacken genom att hacka in i MeDoc servrar.
4. EN INKÖRSPORT KAN FÖRSTÖRA ETT NÄTVERK-PATCH ALLT
Om du inte har lappat ditt system nyligen, nu kan vara ett bra tillfälle.
Enligt analys av flera experter på säkerhet, allt som krävs är en startpunkt för att infektera hela nätverket. Det innebär att om en dator av hundra har inte lappat EternalBlue utnyttja, släppts av Microsoft tidigare i år, kan det i sidled spridda över hela nätverk.
Med andra ord, alla båtar som behöver lagas som en våg kan tippa dem över.
(Källa: Matthew Hickey/Twitter)
Lokalt nätverk eller ett företag som användare är den största risken. Så långt, större företag tycks vara de mest drabbade, inklusive OSS farmaceutiska jätten Merck, ryska oljebolaget Rosneft, Brittisk marknadsföring jätte WPP, och danska transport-och energi företaget Maersk,
Den goda nyheten är att de flesta hem med en enda Windows-dator är sannolikt automatiskt lappat och kan inte bli smittade.
5. JA, DENNA BRIST VAR FIXAD REDAN MEN DET ÄR ALLTID EN…
Microsoft har släppt flera säkerhetskorrigeringar sista månad i de omedelbara efterdyningarna av WannaCry cyberattack, även för äldre versioner av Windows att det inte har stöd för längre, i ett försök att stoppa skadliga program från att sprida sig.
De allra flesta hem och nätverk av företag som kör de senaste uppdateringarna och korrigeringarna är säker från dagens attack.
Men det är klart, inte alla installerade fläckar.
Många datorer och nätverk som drivs av kritisk infrastruktur-som tågstationer och flygplatser-var direkt berörda av dagens ransomware attack eftersom de är anslutna till nät som är utsatta och inte lagas. Många föredrar att installera patchar omedelbart, eftersom de kan ibland orsaka mer skada än nytta. Men också många som inte vill stilleståndstiden för att starta om en dator-i synnerhet i 24-timmars alltid på-miljöer, som transportnav.
Läs mer: Microsoft lugnt lappat Skugga Mäklare’ hacking tools | Microsoft: Senaste säkerhetskorrigeringarna omintetgöra NSA hackerverktyg | Microsoft varnar för den “destruktiva it-angrepp,” frågor i nya Windows XP-plåster
6: DEKRYPTERING OMÖJLIGT?
Och en sista sak.
E-postadressen visas på ransomware meddelandet har blockerats av e-postleverantören, vilket innebär att ingen kan få dekryptering nycklar för att låsa upp sina datorer.
Det innebär att alla som betalat lösen — ca $300 till ett värde av bitcoin till anonym plånbok — och bekräftade sin betalning till den e-post som anges på ransomware varning slösat bort sina pengar. (I skrivande stund, den bitcoin plånbok hade ungefär $6,000, vilket tyder på att minst 20 personer hade betalat lösen.)
Posteo, en e-tjänsteleverantör som används av ransomware angripare, sade i ett blogginlägg att det “blockerade kontot direkt” runt två timmar till attack.
“Vi tolererar inte missbruk av vår plattform: omedelbar blockering av felaktigt använda e-postkonton är nödvändig inställning av leverantörer i sådana fall”, sade uttalandet.
Medan du bör aldrig betala lösen för skäl syster-site CNET förklarade, nu kan du inte ens om du ville.
Kontakta mig ordentligt
Zack Whittaker kan nås säkert på Signal och WhatsApp på 646-755-8849, och hans PGP fingeravtryck för e-post är: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
ZDNET UTREDNINGAR
AMERIKANSKA regeringen drivit tech företag att lämna över källkoden
Vid den AMERIKANSKA gränsen, förväntar diskriminering, frihetsberövande, husrannsakan och förhör
Läckt: TSA-dokument avslöjar flygplatsen i New York våg av säkerhet upphör
Möta den mörka tech mäklare att leverera dina data till NSA
Trump medhjälpare’ användning av krypterade meddelanden kan eventuellt bryta mot de poster lag
Ett lån utan säkerhet databas lämnar off-the-grid energi utsatta kunder
Inne i den globala terror bevakningslista som i hemlighet skuggor miljoner
Säkerhetsbrister i Pentagon servrar “sannolikt” är under attack av hackare
Avslöjat: Hur en Amazon Kindle bluff gjort miljontals dollar
AMERIKANSKA regeringen underleverantör läckage av konfidentiell militär personal data
0