iboss: Και μετά το WannaCry, τι;
Από τότε που ξεκίνησε να εξαπλώνεται το ransomware WannaCry στα τέλη Απριλίου, παρατηρείται έντονη δραστηριότητα και από τις δύο πλευρές, και από την πλευρά των επιτιθέμενων κυβερνοεγκληματιών, και από την πλευρά εκείνων που βρίσκονται απέναντι και αμύνονται.
Οι αμυνόμενοι με τη βοήθεια του Adrien Guinet κατάφεραν να δημιουργήσουν έναν decryptor –για μία μέθοδο κρυπτογράφησης που χρησιμοποιούσαν οι κυβερνοεγκληματίες- ώστε σε περίπτωση που μολυνθείτε, να μην χρειαστεί να πληρώσετε τα λύτρα.
Τελευταία κυκλοφόρησαν κάποιες αναφορές, ανάμεσα τους και μία του ITWorld στην οποία υποστηρίζεται ότι το στοιχείο ransomware είναι τόσο κακοσχεδιασμένο που κανείς δεν θα έπρεπε να πληρώσει τα λύτρα. Οι κυβερνοεγκληματίες μπορούν να επαναφέρουν τα συστήματα που έχουν μολυνθεί –και τα αρχεία τους έχουν κρυπτογραφηθεί- με το να στείλουν χειροκίνητα το κλειδί αποκρυπτογράφησης για κάθε υπολογιστή μεμονωμένα, κάτι που είναι απίθανο να συμβεί. Ένα άλλο πρόβλημα είναι ότι το WannaCry δεν έχει κάποιο μηχανισμό καθορισμού για το ποιος πλήρωσε τα λύτρα, και ποιος υπολογιστής πρέπει να “απελευθερωθεί”.
Ενδεχομένως το καλύτερο αποτέλεσμα από το όλο θέμα με το WannaCry να είναι η καλύτερη εκπαίδευση του προσωπικού πληροφορικής σχετικά με τους SMB-based φορείς επίθεσης, που ένας από τους βασικούς λόγους που οδήγησαν στη μεγάλη εξάπλωση της μόλυνσης σε όλο τον κόσμο. Η Microsoft έχει τρεις διαφορετικές εκδόσεις αυτού του πρωτοκόλλου, και η πρώτη έκδοση είναι η λιγότερο ασφαλής και θα πρέπει να απενεργοποιηθεί. Οι δύο μεταγενέστερες εκδόσεις δεν θα έπρεπε να απενεργοποιηθούν μονίμως, αφού χρησιμοποιούνται σε μία σειρά δικτυακών δραστηριοτήτων που αφορούν σε μηνύματα ή στη κρυπτογράφηση αρχείων κ.ά.
Η Microsoft δημοσίευσε εξαιρετικές πληροφορίες στο blog υποστήριξης της εταιρείας που αποκαλύπτει συγκεκριμένα στοιχεία. Αν δεν είστε σίγουροι ότι τα συστήματα σας είναι patched και αναβαθμισμένα, καλό θα ήταν να διαβάσετε τις συμβουλές της Microsoft προσεκτικά και να τις εφαρμόσετε το ταχύτερο δυνατόν.
Όμως ότι έχουν αναφερθεί νέες επιθέσεις είναι ιδιαίτερα ανησυχητικό. Η πρώτη επίθεση του είδους ανακαλύφθηκε από τον Miroslav Stampar, μέλος της ομάδας CERT (Computer Emergency Response Team) της Κροατικής κυβέρνησης. Σύμφωνα με το Bleeping Computer, χρησιμοποιήθηκε μία περισσότερο εξελιγμένη επίθεση SMB. Η εταιρεία Proofpoint ανακάλυψε ένα malware με την ονομασία Adylkuzz, που χρησιμοποιεί μέρος της ίδιας τεχνολογίας που βρίσκεται και πίσω από το WannaCry, μολονότι στον χώρο του Bitcoin. “Μέσα σε 20 λεπτά από την ώρα που αφήσαμε εκτεθειμένο τον υπολογιστή στον ανοιχτό Ιστό, “παρασύρθηκε” σε ένα mining botnet του Adylkuzz” δήλωσαν ερευνητές ασφαλείας της Proofpoint. Αυτό που είναι ιδιαίτερα ενδιαφέρον σχετικά με το συγκεκριμένο exploit είναι ότι προηγείται ημερομηνιακά του WannaCry εδώ και αρκετές ημέρες.
Ερευνητές επίσης της εταιρείας Checkpoint αποκάλυψαν ένα ακόμη νέο φορέα επίθεσης που χρησιμοποιεί αρχεία υποτίτλων κινηματογραφικών ταινιών. Με την ενσωμάτωση κακόβουλου λογισμικού στα αρχεία, οι επιτιθέμενοι μπορούν να πάρουν τον πλήρη έλεγχο οποιασδήποτε συσκευής που χρησιμοποιεί streaming media players συμπεριλαμβανομένων των VLC, Kodi (XBMC) και Popcorn-Time. Ξεκάθαρα, ο κόσμος των εγκληματιών είδε οφέλη από το WannaCry και θα συνεχίσει την ανάπτυξη άλλων exploits που θα χρησιμοποιούν τα χαρακτηριστικά του στο μέλλον.
Είναι ξεκάθαρο πως θα υπάρξουν και άλλες επιθέσεις που θα εκμεταλλεύονται τα εργαλεία hacking της NSA μελλοντικά. Η καλύτερη συμβουλή που μπορούν να μας δώσουν από την iboss είναι να βεβαιωθούμε ότι όλοι οι υπολογιστές στην επιχείρηση μας χρησιμοποιούν τελευταίας τεχνολογίας, πλήρως ενημερωμένο λογισμικό Windows, και διαθέτουν αναβαθμισμένα πρωτόκολλα SMB. Και αν χρησιμοποιείτε κάποιο εργαλείο δικτυακής προστασίας, βεβαιωθείτε ότι είναι ενημερωμένο και μπορεί να αποτρέψει το κακόβουλο λογισμικό WannaCry κατά μήκος όλου του δικτύου σας.
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.