Σάββατο, 13 Μαΐου 2017

Ο WanaCrypt0r χτύπησε παγκόσμια.. Πως σταμάτησε η μεγαλύτερη επίθεση ransomware


WanaCrypt0r: Χρήστες και επιχειρήσεις πρέπει να είναι σίγουροι πως τα συστήματά τους είναι ενημερωμένα με τα τελευταία patch, για να αποτρέψουν τη συνεχή μόλυνση από το WannaCry ransomware.

Αναφορές δύο μαζικών παγκόσμιων επιθέσεων ransomware κυριαρχούν στις ειδήσεις. Καθώς οι εργαζόμενοι στην Ευρώπη κατευθύνονται προς το σπίτι για το Σαββατοκύριακο, το ransomware κλείνει τα συστήματά τους. Τι γνωρίζουμε μέχρι στιγμής.

Ο WanaCrypt0r χτύπησε παγκόσμια.. 
Μεγάλοι στόχοι
 
Η Εθνική Υπηρεσία Υγείας της Αγγλίας (NHS) και η Telefonica, ένας από τους μεγαλύτερους παρόχους τηλεπικοινωνιών στον κόσμο, έδωσαν εκθέσεις δηλώνοντας ότι τα συστήματά τους έχουν τεθεί υπό τη τροχιά ενός ransomware που η Malwarebytes ανιχνεύει ως Ransom.WanaCrypt0r. Το ransomware έχει επίσης παρατηρηθεί σε εταιρείες στην Ισπανία, τη Ρωσία, την Ουκρανία και την Ταϊβάν.

 
Μέθοδος

 
Το ransomware εξαπλώνεται (αφού ο χρήστης βάλει το χέρι του και ανοίξει κάποιο e-mail ή εγκαταστήσει κάποιο κακόβουλο λογισμικό καταλάθος) χρησιμοποιώντας μια γνωστή και patched ευπάθεια ( MS17-010 ) που προήλθε από μια διαρροή της NSA. Η έρευνά μας δείχνει ότι η κρυπτογράφηση γίνεται με  RSA-2048. Αυτό σημαίνει ότι η αποκρυπτογράφηση θα είναι αδύνατη, εκτός αν οι κωδικοποιητές έχουν κάνει κάποιο λάθος που δεν έχουμε βρει ακόμα.
Παρακάτω είναι στιγμιότυπα από τη μόλυνση συστημάτων Πανευρωπαϊκά. Η πρώτη από το πανεπιστήμιο του Μιλάνο Bicocca. Η δεύτερη από υπολογιστή της Αγγλικής υπηρεσίας υγείας και η τρίτη από οθόνη ανακοίνωσης δρομολογίων των Γερμανικών σιδηροδρόμων.

Ο WanaCrypt0r χτύπησε παγκόσμια..
Ο WanaCrypt0r χτύπησε παγκόσμια..Ο WanaCrypt0r χτύπησε παγκόσμια..
Όπως φαίνεται στις οθόνες, η ειδοποίηση έρχεται αφού το ransomware καταφέρει να κρυπτογραφήσει ότι μπορεί στο σύστημα. Έπειτα ζητά λεφτά στη μορφή bitcoin για να αποκρυπτογραφήσει τα έγγραφα.

INFRASTRUCTURE ANALYSIS

Τα αρχεία που κρυπτογραφούνται από το συγκεκριμένο ransomware, έχουν τις παρακάτω μορφές.
Ο WanaCrypt0r χτύπησε παγκόσμια..
Με λίγα λόγια, κρυπτογραφήθηκαν από έγγραφα word μέχρι τραγούδια και εικόνες. Αλλά και πρότζεκτς προγραμματιστικού χαρακτήρα.
Συμβουλή μας είναι πως τα συστήματά μας πρέπει να είναι πάντα ενημερωμένα, τουλάχιστον μια φορά την εβδομάδα πρέπει να τρέχουμε το Windows Update και να σκανάρουμε το σύστημά μας. Η καλύτερη λύση για να αποφύγουμε προβλήματα σαν και αυτά είναι η έγκαιρη πρόβλεψη. Όταν τα αρχεία μας κρυπτογραφηθούν, τότε είναι πλέον αργά.
Οι ερευνητές της Cisco παρατήρησαν για πρώτη φορά αιτήματα για ένα από τα domains του WannaCry (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] Com) ξεκινώντας από τις 07:24 UTC, έπειτα χτυπόντας κορυφή λίγο πάνω από 1.400 σχεδόν 10 ώρες αργότερα.
Ο WanaCrypt0r χτύπησε παγκόσμια..
Η σύνθεση του τομέα φαίνεται σχεδόν πληκτρολογούμενη από άνθρωπο, με τους περισσότερους χαρακτήρες να προέρχονται από τις σειρές ενός σπιτικού πληκτρολογίου.
Η επικοινωνία σε αυτόν τον τομέα μπορεί να κατηγοριοποιηθεί ως kill switch domain από τον ρόλο του στη γενική εκτέλεση του κακόβουλου λογισμικού:
Ο WanaCrypt0r χτύπησε παγκόσμια.. 

Η παραπάνω υπορουτίνα επιχειρεί ένα HTTP GET σε αυτόν τον τομέα και εάν αποτύχει, συνεχίζει να πραγματοποιεί τη μόλυνση. Ωστόσο, αν πετύχει, η υπορουτίνα εξέρχεται. Ο τομέας είναι καταχωρημένος σε μια καλά γνωστή καταβόθρα, προκαλώντας αποτελεσματικά αυτό το δείγμα να τερματίσει την κακόβουλη δραστηριότητα του.
Με λίγα λόγια, αυτός που προγραμμάτισε το ransomware είναι σαν να είπε στους ερευνητές, πληρώστε λίγα δολάρια, αγοράστε το συγκεκριμένο domain ώστε η κλήση να είναι αληθής και το ransomware θα απενεργοποιηθεί! Ούτε το Νταν Μπράουν δεν το χει σκεφτεί ακόμα αυτό…
Ή επίσης ήταν μια βλακεία βιασύνης του προγραμματιστή, ο οποίος έβαλε ένα domain που δεν υπάρχει ούτως ώστε το αποτέλεσμα να είναι πάντα ψευδές και το ransomware να συνεχίζει να είναι ενεργό. Λογικά, δεν σκέφτηκε πως κάποιος θα έμπαινε στον κόπο να το αποκτήσει;

Ποιος ξέρει;



secnews.gr


Πως σταμάτησε η μεγαλύτερη επίθεση ransomware

Χθες αναφέραμε για την μεγαλύτερη επίθεση ransomware που χρησιμοποιώντας ένα από τα exploit της NSA που διέρρευσαν πρόσφατα από την ομάδα Shadow Brokers, οι επιτιθέμενοι μπόρεσαν να προσβάλλουν υπολογιστές σε παγκόσμιο επίπεδο με το WannaCry (ένα exploit των Windows το οποίο ασπάστηκε από το εργαλείο EternalBlue της NSA). Η Microsoft έχει κυκλοφορήσει ήδη μια ενημέρωση για αυτήν την ευπάθεια, αλλά πολλοί χρήστες και οργανισμοί δεν έκαναν τον κόπο να ενημερώσουν τα συστήματά τους.

Το κακόβουλο λογισμικό μολύνει υπολογιστές, εκμεταλλευόμενο μια ευπάθεια για την κοινή χρήση αρχείων SMB. Παλαιότερες εκδόσεις των Windows επηρεάζονται περισσότερο από αυτό, ειδικά επειδή η Microsoft δεν υποστηρίζει πλέον τα Windows XP ή τα Windows (server) 2003.
Εγκαθιστά το Doublepulsar, ένα backdoor που επιτρέπει την τηλεχειρισμό του μολυσμένου μηχανήματος. Αυτό είναι ένα άλλο κλεμμένο εργαλείο της NSA που διέρρευσε παράλληλα με Eternalblue. Το κακόβουλο λογισμικό ελέγχεται επίσης μέσω του ανώνυμου δικτύου Tor, για να λαμβάνει περαιτέρω εντολές από τους δημιουργούς του.Πως σταμάτησε η μεγαλύτερη επίθεση ransomware

Όπως φαίνεται όμως στον κώδικα του κακόβουλου λογισμικού υπήρχε και ένας διακόπτης απενεργοποίησης με την μορφή ενός kill switch domain.

Τι σημαίνει αυτό με απλά λόγια; Όταν το κακόβουλο λογισμικό εντοπίσει ότι υπάρχει ένα συγκεκριμένο domain, σταματάει τις λοιμώξεις. Αυτό το domain δημιουργήθηκε (καταχωρήθηκε) νωρίτερα σήμερα από έναν ερευνητή, ο οποίος παρατήρησε το dot-com στο reverse-engineered binary. Όταν η καταχώριση εντοπίστηκε από το κακόβουλο λογισμικό, σταμάτησε αμέσως τη διανομή ransomware, και την παγκόσμια εξάπλωσή του.

Οι συνδέσεις στο μαγικό domain: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com οδηγούνται σε ένα διακομιστή στην Καλιφόρνια και οι διαχειριστές των μολυσμένων συστημάτων που φτάνουν το domain θα ειδοποιηθούν, αναφέρει ο ερευνητής.

“Οι διευθύνσεις IP έχουν σταλεί στο FBI και το ShadowServer, έτσι οι οργανισμοί που επηρεάζονται θα πρέπει να λάβουν σύντομα μια ειδοποίηση”, δήλωσε ο ερευνητής, ο οποίος παραδέχτηκε ότι πρώτα καταχώρησε το domain, και μετά συνειδητοποίησε ότι ήταν ένα kill switch.

Ακολουθούν μερικοί γρήγοροι σύνδεσμοι σε πολύ περισσότερες τεχνικές λεπτομέρειες που έχουμε συγκεντρώσει:

Η ομάδα Talos της Cisco ανέλυσε το κακόβουλο λογισμικό, περιγράφοντας τα συστατικά του.
Ένα αποκρυπτογραφημένο δείγμα του κακόβουλου λογισμικού υπάρχει εδώ.
Ένα exploit για το MS17-010 γραμμένο σε Python με παράδειγμα shellcode. Βασίζεται στο εργαλείο Eternalblue που έχει κλαπεί από την NSA και αναπτύχθηκε από τον infosec RiskSense. Αποκαλύπτει ότι το σφάλμα διακομιστή SMB είναι το αποτέλεσμα μιας υερχείλισης buffer στον κώδικα της Microsoft.

Μπορείτε να παρακολουθείτε τις λοιμώξεις σε πραγματικό χρόνο, από εδώ. Υπάρχουν τουλάχιστον 104.000 αναγνωρισμένοι μολυσμένοι ξενιστές παγκοσμίως.








secnews.gr



 
Δείτε επίσης:

WannaCry: Δείτε πώς μπορείτε να προστατεύσετε τον υπολογιστή σας από την ηλεκτρονική ομηρία (βίντεο)
Blog Widget by LinkWithin
Related Posts Plugin for WordPress, Blogger...