0
Den WannaCry ransomware-epidemin slår hårt: skadlig kod för att infektera över 300 000 offer runt om i världen orsakar kaos.
Fabriker, UK National Health Service, ryska posten och även Kinesiska myndigheter fanns bland offren för den urskillningslösa WannaCry attack innan utbrottet var under kontroll – även om det inte innan, som kostar miljarder i skadestånd och förlorad produktivitet.
Microsoft patchar och den inledande rusning för att säkra system flyttades fokus mot att arbeta ut som inledde attacken, med både privata it-företag och myndigheter pekar mot Nordkorea som den skyldige bakom en incident.
Men det var inte slutet. Över en månad efter att det första utbrottet, WannaCry är fortfarande påstår offer. På söndag den 18 juni, biltillverkaren Honda tvingades att stänga ner en av sina produktionsanläggningar eftersom systemen var infekterade med WannaCry.
Det Japanska företaget tillfälligt stoppat produktionen vid Sayama anläggningen efter att det upptäcktes att det skadliga programmet mask hade smittats nätverk över hela Japan, Nordamerika, Kina och mer.
Ligger nordväst om Tokyo, Sayama anläggningen var den enda fabrik för att ha produktionen påverkades av utbrottet efter att stängas av på måndag, stoppa produktion av cirka 1 000 bilar – den dagliga produktionen av anläggningen.
Inga andra produktionsanläggningar har påverkats på detta sätt och arbeta på anläggningen återupptas som vanligt på tisdag, företaget berättade ZDNet, och tillägger att det kommer att “ta varje steg för att ytterligare stärka säkerheten i system”.
Bara några dagar senare, WannaCry slår 55 hastighetskameror i Victoria, Australien, med källan till smittan tros vara ett resultat av den mänskliga faktorn när en infekterad USB-minne är isatt av någon som utför underhåll. Lyckligtvis offline typ av enheter: ransomware inte kunde sprida sig till andra nätverk.Så varför är WannaCry fortfarande orsakar problem för organisationer som under en månad från den första epidemin?
Mycket av det kommer ner till maskliknande egenskaper ransomware, som använder EternalBlue en läckt NSA verktyg som använder en version av Windows Server Message Block (SMB) nätverksprotokoll som används för att sprida sig.
Och nu masken är ute i det vilda är det fortfarande försöker finna att infektera datorer – samtidigt som drivs av vissa system är det smittade i första utbrott.
“Just den här inkarnationen av WannaCry är en mask så det är förökningsmaterial på måfå kring internet. Så något system som var infekterade och hade inte rengjorts ordentligt ändå fortsatt att sprida masken, säger Rafe Pilling, Högre Säkerhet Forskare vid SecureWorks Motverka Hot Enhet.
“Som potentiellt kan leda till att nya infektioner i nätverk och miljöer som inte tillämpas plåstret och låt masken på ett eller annat sätt”.
Det är inte ens den första masken av detta slag att vara ett problem långt efter att vara först ut, masken Conficker – en SQL Slammer utförs distributed denial of service (DDoS) attacker – för första gången i 2003, och 14 år senare är det fortfarande utföra attacker, i en sådan omfattning att det i December, det var den vanligaste formen av skadlig kod attack.
“WannaCry fortfarande finns kvar på liknande sätt som maskar som Conficker är fortfarande möjlighet att sprida på internet. Utan regelbunden lapp, organisationer som är mottagliga för olika typer av it-attacker, inklusive de som WannaCry,” säger Ronnie Tokazowski, Senior Malware Analytiker på Flashpoint.
Det är detta misslyckande att patch som gör att de tycker om WannaCry – och Conficker – för att fortsätta vara ett rent opportunistiska hot när, i många fall, den kan lätt stoppas.
Se även: Hur för att försvara dig mot WannaCrypt globala ransomware attack| Ransomware: En verkställande guide till en av de största hot på webben
“Conficker har funnits i flera år och det finns absolut ingen anledning att på denna jord varför vi ska fortfarande se den här infektionen, säger Mark James, säkerhetsspecialist på ESET. “
En annan anledning till varför WannaCry fortfarande lever är att många företag fortfarande förlita sig på äldre maskiner och skräddarsydda applikationer som antingen inte längre stöds av plåster – eller bara inte kan lagas i första hand. Denna typ av teknik kan fortfarande vara utsatta för masken.
“Det är ganska vanligt för dessa typer av system för att köra äldre versioner av operativsystem som gå okorrigerad, kör gamla program, som används gemensamt inloggningar, den sortens grejer, alla som skapar och miljö som är mer mottagliga för denna typ av sak, säger Pilling.
“Problemet med dessa äldre system – Windows 7 främst med WannaCry – är att det kan finnas fall där den faktiska SMB-tjänsten är legitimt att användas,” säger James.
Och medan organisationer som försöker göra allt de kan för att försöka göra allt de kan göra för att skydda system med fläckar – det är helt enkelt frågan om att det är svårt att kontinuerligt uppdatera gamla system, särskilt när tillverkarna sluta ge fläckar – men många organisationer att driva på med detta tillvägagångssätt eftersom alternativet innebär att spendera stora summor pengar på grossist-uppgraderingar.
“Problemet är om det är inbäddad och en del av din produktion, som kommer att vara den person som kommer att säga att vi behöver göra detta en perfekt fungerande £500,000 av maskiner för en annan del av systemet som har en ny processor,” säger James.
Så vad kan göras för att undvika att falla offer för WannaCry nu är det ute och söker efter system för att smitta?
“Nätverk segregation spelar en viktig roll i försvaret, säger Pilling. “Helst ingen ska ha portar som krävs för denna mask för att sprida tillgänglig till internet eller med utgående åtkomst till internet – det är i allmänhet anses vara en dålig praxis för SMB-port för att bli utsatt för på internet, eller att låta ditt system att prata med som protokoll”.
Även om WannaCry fortsätter att sprida sig runt om på nätet, ibland orsakar störningar till fabriker och andra organisationer, på ett sätt vi tur att en del av koden bakom ransomware var ganska amatör.
Medan produktiva, som en ransomware attack, WannaCry kan anses som misslyckat eftersom det inte gick att göra mycket pengar från lösen betalningar, med bara en liten del av alla offer att betala upp, skapa angriparna runt $140,000 – och den siffran är bara att höga på grund av en ökning i värderingen av Bitcoin.
Men det finns lärdomar att dra här, som utbrottet kunde ha varit mycket mer störande om ransomware var lika avancerad som den lik av Locky eller Cerber, några av ransomware varianter mest framgångsrika när det gäller att utnyttja betalningar från offer och hjälpa malware kostnaden företag över $1 miljarder under 2016.
Organisationer som fortfarande befinner sig i riskzonen från maskar med bedrifter för att infektera äldre operativsystem måste allvarligt överväga de potentiella effekterna — och vad skulle kunna gå fel om något värre än WannaCry kom-innan det är för sent.
LÄS MER PÅ CYEBRCRIME
WannaCry: smart person ‘ s guide [TechRepublic]Efter WannaCry, ransomware kommer att bli värre innan det blir betterWannaCry ransomware är verkliga offer: Din lokala närbutik [MAG]Trots säkerhetsrisker, äldre Windows-versioner plåga tusentals businessesLeaked NSA hacka utnyttja används i WannaCry ransomware är nu att driva Trojan malware
0