0
Den WannaCry ransomware epidemi hårdt ramt: malware til at inficere over 300.000 ofre hele verden, der forårsager kaos.
Fabrikker, STORBRITANNIENS National Health Service, det russiske postvæsen og endda Kinesiske regering agenturer var blandt ofrene for den vilkårlige WannaCry angreb før udbruddet var bragt under kontrol, selv om ikke før, der koster flere milliarder i skader og tabt produktivitet.
Microsoft udsendte patches og den indledende kamp for at sikre systemer fokus flyttet mod at arbejde ud af, hvem der lancerede angreb med både private cybersecurity virksomheder og offentlige institutioner, der peger mod Nord-Korea som den skyldige bag en hændelse.
Men det var ikke enden. Over en måned efter den første udbrud, WannaCry er stadig hævder ofre. Søndag den 18 juni, bilproducent Honda blev tvunget til at lukke en af sine produktionsfaciliteter, fordi systemerne blev inficeret med WannaCry.
Den Japanske virksomhed midlertidigt standset produktionen på sin Sayama anlæg efter det blev opdaget, at den malware, orm, der var smittet i netværk på tværs af Japan, Nordamerika, Kina og meget mere.
Der ligger Nord Vest for Tokyo, Sayama anlægget var kun produktionsfacilitet til at have produktion påvirket af udbrud efter at være blevet lukket ned mandag, standse produktionen af omkring 1.000 biler – den daglige produktion i virksomheden.
Ingen andre produktionsfaciliteter, som var påvirket på denne måde og arbejde på anlægget genoptaget som normalt tirsdag, fortalte selskabet ZDNet, der tilføjer, at det vil “tage alle skridt til yderligere at styrke sikkerheden i de systemer”.
Blot få dage senere, WannaCry ramt 55 speed kameraer i Victoria, Australien, med kilden til infektion menes at være som følge af menneskelige fejl, når et inficeret USB-var indsat af en person, der udfører vedligeholdelse. Heldigvis offline karakter af enheder betyder ransomware ikke kunne sprede sig til andre netværk.Så hvorfor er WannaCry stadig skaber problemer for de organisationer, der er over en måned efter den første epidemi?
Meget af det kommer ned til orm-lignende egenskaber af ransomware, som bruger EternalBlue, en lækket NSA værktøj som udnytter en version af Windows Server Message Block (SMB) netværksprotokol til at sprede sig.
Og nu ormen er ude i naturen, det er stadig forsøger at finde ud af computere til at inficere og samtidig drevet af nogle systemer er det smittet i første udbrud.
“Denne særlige inkarnation af WannaCry er en orm, så det er formerings tilfældigt rundt på internettet. Så alle systemer, som er inficeret, og havde ikke rigtigt blevet renset stadig fortsatte med at udbrede den orm,” siger Danny Pilling, Senior Security Researcher på SecureWorks Imødegå Truslen Enhed.
“Der potentielt kan føre til nye infektioner i netværk og miljøer, der ikke har anvendt den programrettelse, og lad ormen i den ene eller anden måde”.
Det er ikke engang den første orm af denne art er fortsat et problem, længe efter at være først udgivet; Conficker-ormen – en SQL-Slammer, der udføres distribueret denial-of-service (DDoS) angreb – første gang i 2003, og 14 år senere, er det stadig udføre angreb, i en sådan grad, at det i December, det var den mest almindelige form for malware-angreb.
“WannaCry er stadig derude, der svarer til, hvordan orme som Conficker er stadig i stand til at sprede sig på internettet. Uden regelmæssig patching, organisationer, der er modtagelige for forskellige typer af angreb, herunder dem, som WannaCry,” siger Ronnie Tokazowski, Senior Malware Analytiker hos Flammepunkt.
Det er denne manglende plaster, som gør det muligt for folk WannaCry – og Conficker – til at fortsætte med at være en rent opportunistisk trussel, når de i mange tilfælde, vil det let kunne blive stoppet.
Se også: Hvordan du kan forsvare dig mod WannaCrypt globale ransomware angreb| Ransomware: executive-guide til en af de største trusler på nettet
“Conficker har eksisteret i årevis, og der er absolut ingen grund til på denne jord, hvorfor vi stadig skal se denne infektion,” siger Mark James, Sikkerhed Specialist hos ESET. “
En anden grund til hvorfor WannaCry stadig overlever, er, at mange virksomheder stadig stole på ældre maskiner og skræddersyede applikationer, der enten ikke længere understøttes af patches – eller bare ikke kan blive lappet i første omgang. Denne form for teknologi, der kan stadig være sårbar over for orm.
“Det er helt almindeligt, at den slags systemer til at køre ældre versioner af operativsystemer, der går unpatched, køre gamle applikationer, der bruges fælles logins, den slags ting, som alle skaber og miljø, som er mere modtagelige over for denne slags ting,” siger Pilling.
“Problemet med disse ældre systemer – Windows 7 hovedsageligt med WannaCry – er, at der kan være tilfælde, hvor den faktiske SMB-tjeneste er lovligt bliver brugt,” siger James.
Og mens organisationer, der forsøger at gøre alt, hvad de kan forsøge at gøre alt, hvad de kan gøre for at beskytte systemer med patches – det er simpelthen sagen, at det er svært at løbende opdatere gamle systemer, især når producenterne stoppe med at levere patches – men mange organisationer, presse på med denne tilgang, fordi alternativet indebærer, at bruge store mængder af penge på engros-opgraderinger.
“Problemet er, hvis den er forankret og en del af din produktionslinje, der kommer til at være den person, der kommer til at sige, at vi er nødt til at kassere det, der fungerer perfekt £500,000 af maskiner, der for et stykke system, som er en ny processor,” siger James.
Så hvad kan gøres for at undgå at blive offer for WannaCry nu er det derude og stadig leder efter systemer til at inficere?
“Netværk adskillelse spiller en stor rolle i forsvaret,” siger Pilling. “Ideelt set ingen bør have de porte, der er nødvendige for denne orm til at formere sig, adgang til internettet eller med få udgående adgang til internettet – det er generelt anset for dårlig praksis til SMB-port for at blive udsat til internettet, eller at tillade, at dine systemer til at tale til, at protokol”.
Selv hvis WannaCry fortsætter med at sprede sig rundt omkring på nettet, lejlighedsvis forårsage afbrydelse til fabrikker og andre organisationer, på en sådan måde, at vi er heldige, at nogle af koden bag ransomware var temmelig amatør.
Mens produktiv, som en ransomware angreb, WannaCry kan betragtes som mislykket, da det ikke at tjene mange penge fra løsepenge betalinger, med blot en lille del af ofrene betale op, som skaber angribere rundt omkring $140,000 – og at dette tal er højt på grund af en stigning i værdiansættelsen af Bitcoin.
Men der er erfaringer at lære her, da udbruddet kunne have været meget mere forstyrrende, hvis ransomware var så avanceret som de kan lide af Locky eller Cerber, nogle af de ransomware varianter mest succesfulde i at udnytte betalinger fra ofre og hjælpe malware koste virksomheder over $1 milliard i løbet af 2016.
Organisationer, der stadig befinder sig i fare, orme med exploits kan inficere ældre operativsystemer, skal seriøst overveje de potentielle konsekvenser — og hvad der kunne gå galt, hvis noget værre end WannaCry ankom — før det er for sent.
LÆS MERE OM CYEBRCRIME
WannaCry: smart person ‘s guide [TechRepublic]Efter WannaCry, ransomware vil blive værre, før det bliver betterWannaCry ransomware’ s egentlige offer: Din lokale hjørne butik [CNET]på Trods af sikkerhedsrisici, ældre Windows-versioner plager tusindvis af businessesLeaked NSA hacking, exploit, der anvendes i WannaCry ransomware er nu siddet med Trojan, malware
0