Μεγάλη επίθεση ransomware από το Wanna Decrypter 2.0: τι χρειάζεται να γνωρίζετε
Η Παρασκευή που μας πέρασε, ήταν μία πολύ δύσκολη ημέρα για πολλούς οργανισμούς, εξαιτίας του ταχύτατα εξαπλούμενου ransomware Wanna Decrypter 2.0 που ξεκίνησε την επίθεση του σε νοσοκομεία κατά μήκος του Ηνωμένου Βασιλείου και αργότερα σε όλη την υδρόγειο.
Η επίθεση μοιάζει να εκμεταλλεύεται μία ευπάθεια στα Windows, που η Microsoft διόρθωσε διαθέτοντας σχετικό patch τον περασμένο Μάρτιο. Το κενό ασφαλείας ή η ευπάθεια αν θέλετε, εντοπίζεται στην υπηρεσία SMB (Windows Server Message Block), που οι υπολογιστές Windows χρησιμοποιούν για να μοιράζονται αρχεία και εκτυπωτές κατά μήκος τοπικών δικτύων.
Η Microsoft, έκανε γνωστό το κρίσιμης σημασίας ζήτημα τον περασμένο Μάρτιο στο άρθρο 4013389 της γνωσιακής βάσης της εταιρείας και διέθεσε σχετική ενημέρωση για να το αντιμετωπίσει στα υποστηριζόμενα λειτουργικά συστήματα της εταιρείας (Microsoft Security Bulletin MS17-010 – Critical).
Σύμφωνα με τη SophosLabs, το ransomware –που είναι επίσης γνωστό με τις ονομασίες WannaCry, WCry, WannaCrypt, WanaCrypt και WanaCryptor- κρυπτογραφεί τα αρχεία των θυμάτων του και αλλάζει τις επεκτάσεις τους σε .wnry, .wcry, .wncry, .wncrypt.
H Sophos προστατεύει τους πελάτες της από την απειλή, την οποία ανιχνεύει ως Troj/Ransom-EMG, Mal/Wanna-A, Troj/Wanna-C και Troj/Wanna-D. Οι πελάτες της Sophos που χρησιμοποιούν το Intercept X θα δουν το ransomware να μπλοκάρεται από τον CryptoGuard. Η εταιρεία επίσης δημοσίευσε ένα άρθρο στην Γνωσιακή της Βάση για τους πελάτες της.
Ο NHS επιβεβαίωσε την επίθεση
Τα νοσοκομεία του Εθνικού Συστήματος Υγείας (NHS) στο Ηνωμένο Βασίλειο βρέθηκαν στο στόχαστρο της επίθεσης από την αρχή, έχοντας τα συστήματα πληροφορικής τους και τις τηλεφωνικές γραμμές τους σε ομηρία. Ο NHS Digital δημοσίευσε σχετική ανακοίνωση στην ιστοσελίδα του:
To Εθνικό Κέντρο Κυβερνοασφαλείας του Ηνωμένου Βασίλειου, το Υπουργείο Υγείας και το Εθνικό Σύστημα Υγείας της Αγγλίας συνεργάστηκαν την περασμένη Παρασκευή για να προσφέρουν υποστήριξη στα νοσοκομεία που επλήγησαν από την επίθεση ενώ συμπληρωματικά ή πρόσθετα συστήματα πληροφορικής τέθηκαν εκτός λειτουργίας για να σταματήσει η περαιτέρω εξάπλωση του ransomware.
Τα θύματα της επίθεσης έλαβαν το παρακάτω μήνυμα:
Περισσότερες οδηγίες από τη Sophos
Παρακάτω ακολουθεί μία ενημέρωση για τα στελέχη του ransomware έναντι στα οποία η Sophos παρέχει προστασία συγκεκριμένα:
Όπως τονίζεται από το παραπάνω, η Sophos προσφέρει προστασία για τους πελάτες της. Οι χρήστες των Intercept X και EXP δεν χρειάζεται να κάνουν το παραμικρό. Οι χρήστες Sophos Endpoint Protection και Sophos Homeθα πρέπει να ενημερώσουν την έκδοση του λογισμικού τους άμεσα.
Sophos Home
Σταματήστε το ransomware με το δωρεάν λογισμικό personal security της εταιρείας
Μέτρα άμυνας (ενημέρωση 13-05-2017)
Από την ώρα που η Sophos δημοσίευσε το συγκεκριμένο άρθρο, η Microsoft έλαβε ασυνήθιστα δραστικά μέτρα, καθιστώντας μία ενημέρωση ασφαλείας διαθέσιμη για σε όλους ακόμα και για τις μη-υποστηριζόμενες πλατφόρμες της, όπως για τα Windows XP. “Γνωρίζουμε ότι μερικοί από τους πελάτες μας τρέχουν εκδόσεις των Windows που δεν λαμβάνουν κανονική υποστήριξη. Αυτό σημαίνει ότι οι συγκεκριμένοι πελάτες δεν πρόκειται να λάβουν την ενημέρωση ασφαλείας που διατέθηκε τον περασμένο Μάρτιο. Λαμβάνοντας τις πιθανές επιπτώσεις στους πελάτες μας και τις επιχειρήσεις τους, καταλήξαμε στην απόφαση να καταστήσουμε την ενημέρωση ασφαλείας για τις πλατφόρμες σε “custom support” όπως είναι οι Windows XP, Windows 8 και Windows Server 2003, ευρέως διαθέσιμη για κατέβασμα εδώ“.
Σας καλούμε, αν δεν το έχετε κάνει ήδη, να:
- Εγκαταστήσετε το patch στα συστήματα σας ακόμα και αν χρησιμοποιείται μία μη-υποστηριζόμενη έκδοση των XP, των Windows 8 ή των Windows Server 2003 και να διαβάσετε τον οδηγό της Microsoft για τους πελάτες της σχετικά με τις επιθέσεις του WannaCrypt.
- Διαβάσετε το σχετικό άρθρο στη γνωσιακή βάση της Sophos που σχετίζεται με το ransomware Wana Decrypt0r 2.0.
- Κρατάτε συχνά backup των αρχείων τους, και να κρατάτε ένα αντίγραφο ασφαλείας εκτός σύνδεσης (offline). Υπάρχουν δεκάδες άλλοι τρόποι, πέρα από το ransomware, που μπορούν να γίνουν ο λόγος για την απώλεια αρχείων και δεδομένων, όπως είναι μία φωτιά, μία πλημμύρα, κάποια κλοπή ή κάποιο ατύχημα με το laptop ή κάποια μη σκόπιμη διαγραφή. Κρυπτογραφήστε το backup σας, και δεν χρειάζεται να ανησυχείτε μήπως η συσκευή backup σας επίσης πέσει σε λάθος χέρια.
- Είστε προσεκτικοί σχετικά με τα ανεπιθύμητα συνημμένα. Οι απατεώνες βασίζονται στο δίλλημα ότι δεν πρέπει να ανοίξετε κάποιο έγγραφο μέχρι να σιγουρευτείτε ότι είναι αυτό που θέλετε, αλλά από την άλλη δεν μπορείτε να είστε σίγουροι ότι είναι κάποιο που θέλετε μέχρι να το ανοίξετε. Αν έχετε αμφιβολίες, τότε αφήστε το.
- Χρησιμοποιήσετε το Sophos Intercept X, το οποίο σταματάει το ransomware με το να εμποδίζει την μη εξουσιοδοτημένη κρυπτογράφηση των αρχείων.
Πόροι
Άλλοι σύνδεσμοι που πιστεύουμε ότι θα βρείτε χρήσιμους:
- Για να αμυνθείτε ενάντια στο ransomware γενικώς, δείτε το άρθρο της Sophos “Πώς να παραμείνετε προστατευμένοι ενάντια στο ransomware”.
- Για να προστατευτείτε ενάντια στα συνημμένα Javascript, και να ορίσετε ότι τα αρχεία με κατάληξη .js ανοίγουν με το Notepad.
- Για να προστατευτείτε ενάντια στις παραπλανητικές ονομασίες, οπότε να ορίσετε ότι ο Explorer των Windows δείχνει τις καταλήξεις των αρχείων
- Για να μάθετε περισσότερα σχετικά με το ransomware, ακούστε το podcast της Sophos, Techknow
- Για να προστατεύσετε τους φίλους και την οικογένεια σας από το ransomware, δοκιμάστε το δωρεάν εργαλείο της Sophos, Sophos Home για Windows και Mac.
Ενημερώσεις
- Αναφορές σε πολλά μέσα ενημέρωσης εστιάζουν στο πως η επίθεση ξεκίνησε με τη χρήση κώδικα της Υπηρεσίας Εθνικής Ασφαλείας των Ηνωμένων Πολιτειών της Αμερικής από μία ομάδα hackers με την ονομασία The Shadow Brokers. Και ακριβώς αυτό είναι που συνέβη, με βάση έρευνα της ίδιας της SophosLabs.
- Η SophosLabs θα συνεχίσει να ενημερώνει το σχετικό άρθρο στη γνωσιακή βάση της για τους πελάτες της καθώς τα γεγονότα εξελίσσονται. Αρκετές νέες ειδήσεις και ενημερώσεις προστέθηκαν πρόσφατα και βρίσκονται στη παράγραφο “Περισσότερες οδηγίες από την Sophos”.
- Η Microsoft έλαβε ασυνήθιστα δραστικά μέτρα, καθιστώντας μία ενημέρωση ασφαλείας διαθέσιμη για σε όλους ακόμα και για τις μη-υποστηριζόμενες πλατφόρμες της, όπως για τα Windows XP. “Γνωρίζουμε ότι μερικοί από τους πελάτες μας τρέχουν εκδόσεις των Windows που δεν λαμβάνουν κανονική υποστήριξη. Αυτό σημαίνει ότι οι συγκεκριμένοι πελάτες δεν πρόκειται να λάβουν την ενημέρωση ασφαλείας που διατέθηκε τον περασμένο Μάρτιο. Λαμβάνοντας τις πιθανές επιπτώσεις στους πελάτες μας και τις επιχειρήσεις τους, καταλήξαμε στην απόφαση να καταστήσουμε την ενημέρωση ασφαλείας για τις πλατφόρμες σε “custom support” όπως είναι οι Windows XP, Windows 8 και Windows Server 2003, ευρέως διαθέσιμη για κατέβασμα εδώ”.
- Με τον κώδικα πίσω από την μεγάλη επίθεση την περασμένη Παρασκευή στη διάθεση του οποιουδήποτε, θα πρέπει να είμαστε προετοιμασμένοι ότι και άλλοι επιτήδειοι θα προσπαθήσουν να πραγματοποιήσουν παρόμοιες εκστρατείες τις επόμενες μέρες για να κεφαλαιοποιήσουν κερδίζοντας πολλά χρήματα από την ευκαιρία που τους παρουσιάστηκε, λέει ο Dave Kennedy, CEO και ιδρυτής της TrustedSec.
- Η επίθεση θα μπορούσε πάντως να είναι ακόμα χειρότερη, αν ένας ερευνητής που χρησιμοποιεί τον λογαριασμό @MalwareTechBlog δεν έκανε μία τυχαία ανακάλυψη. Πιο συγκεκριμένα βρήκε έναν “διακόπτη απενεργοποίησης” κρυμμένο στο κακόβουλο λογισμικό. Ο ερευνητής δημοσίευσε τα ευρήματα του εδώ. Στην ανάρτηση του, έγραψε: Ένα πράγμα που είναι πολύ σπουδαίο να σημειωθεί είναι ότι το sinkholing μας σταματάει μόνο το συγκεκριμένο δείγμα και πως τίποτα δεν μπορεί να σταματήσει τους επιτήδειους από το να αφαιρέσουν τον έλεγχο του domain και να ξαναδοκιμάσουν να επιτεθούν, οπότε είναι εξαιρετικά σπουδαίο ότι στα ευάλωτα συστήματα να εγκατασταθεί το patch το συντομότερο δυνατό”.
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.