IT zajednica objavila rat hakerima

Napadnuti serveri i podaci širom sveta

 

IT zajednica objavila rat hakerima i nudi nova rešenja za zaštiti računara, servera i podataka.

U TOKU JE NAJVEĆI RANSOMWARE NAPAD NA SVETU

U toku je najveći ransomware napad na svetu

Novi ransomware napravio je pometnju širom sveta. Pogođen je NHS (nacionalni zdravstveni sistem Velike Britanije), bolnice i organizacije povezane sa njima su u haosu. Zabeleženo je za sad više od 45.000 napada u 74 zemlje, a najveći broj u Rusiji. Pored Rusije i Velike Britanije, teško su pogođene Turska, Kazahstan, Indonezija, Vijetnam, Japan, Španija, Nemačka, Ukrajina i Filipini.

Krivac za ove napade je v2.0 Wcry ransomware koji je još poznat pod nazivima WannaCry i WanaCrypt0r ransomware.

WanaCrypt ransom note

Izvor slike MalwareHunter

Ransomware koristi NSA exploit koji je procureo u javnost zahvaljujući The Shadow Brokers hakerskoj grupi. Ima na desetine hiljada žrtava širom sveta, uključujući i rusko ministarstvo unutrašnjih poslova, kineske univerzitete, mađarsku telekomunikacionu kompaniju, delove FedEx korporacije itd.

WanaDecryptor

Izvor slike MalwareHunter

U prvih pet napada otkupnina je iznosila 300$ u bitkoinima, ali su napadači povećali zahteve, tako da je otkupnina sad 600$!

Praćenjem transfera bitcoina na račune hakera, utvrđeno je da su već zaradili preko 160.000$, dakle za svega nekoliko sati!

POSLEDICE

Napadnute bolnice u Velikoj Britaniji morale su da vrate pacijente kućama i da otkažu sve zakazane preglede, jer je ransomware onesposobio čitav kompjuterski sistem državnog zdravstvenog sistema.

Španska Telefonica je doživela jak udar, ljudi iz IT sektora upozoravaju zaposlene da isključe računare i VPN konekcije kako bi ograničili domet ransomware napada. Za sada je na stotine njihovih računara postalo žrtva ovog ransomwarea. Čini se da je ransomware inficirao interni server, a odatle se širi na računare zaposlenih. Pored Telefonice, pogođene su još 2 španske kompanije – Gas Natural (gasna kompanija) i Iberdrola (distributer električne energije). Još 2 kompanije sumnjaju da su napadnute i u procesu su utvrđivanja činjenica (Vodafone Španija i Capgemini).

Slika iz podzemne železnice u Frankfurtu

Ransom poruka – slika iz podzemne železnice u Frankfurtu

VIŠE O WANNACRY RANSOMWAREU

Verzija 1.0 je otkrivena 25. marta, a radilo se o kampanji malih razmera. Međutim, trenutna 2.0 verzija WannaCry ransomwarea je otkrivena pre par sati, a stručnjaci još uvek ne znaju odakle dolaze napadi. Moguće je da je u pitanju malvertising, alati za eksploataciju, imejl spam ili „ručni“ RDP napadi.

Ransomware koristi sajber-oružje američke NSA koje se zove EternalBlue koji napada SMB servise za deljenje fajlova. Nije poznato, kao što smo napomenuli, koji je vektor infekcije, ali se sumnja da su u pitanju infekcije koje eksploatišu Samba ranjivosti – MS17-010 i CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0147, CVE-2017-0148. MS17-010 je SMB ranjivost koju eksploatiše EternalBlue.

INDIKATORI KOMPROMITACIJE (IOCS):

SHA256 hash: ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa

Ekstenzija fajla: .wncry

Naziv poruke o otkupnini: @Please_Read_Me@.txt

UPDATE 13.05.2017.

Symantec je izdao obaveštenje u kom kaže da Symantec štiti još od juče od ovog ransomware-a i da njihovi korisnici ne moraju da se brinu, osim ako imaju servere i/ili računare bez instalirane Symantec zaštite.

Microsoft je takođe izdao obaveštenje u vezi ovog ransomwarea. Ključno je da se instalira MS17-010 patch. Ako niste u mogućnosti da instalirate MS17-010 patch onda možete da iskljućite SMBv1 (Server Message Block) koji se koristi kao vektor napada, prema Microsoftovom uputvstvu.

I Palo Alto Networks prepoznaje ovaj ransomware, odnosno korisnici su zaštićeni, zahvaljujući metodama prevencije koja automatski zaustavlja pretnju.

VAŽNA NAPOMENA

Pretnja stiže u vidu dropper trojanca koji ima 2 sledeće komponente:

  1. Komponentu koja pokušava da eksploatiše SMB EternalBlue ranjivost u drugim računarima.
  2. Ransomware WannaCrypt

Dropper pokušava da uspostavi konekciju sa sledećim domenom preko API InternetOpenUrlA(): hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

Ukoliko uspešno uspostavi konekciju, pretnja ne nastavlja dalje da inficira sistem ransomwareom ili da se širi u druge sisteme – jednostavno pretnja prestaje da se izvršava, a ako ne uspe, nastaviće sa kriptovanjem i širenjem.

Drugim rečima, blokiranje ovog domena na firewall-u je VRLO LOŠA ideja, jer će samo izazvati dalje širenje ransomwarea i kriptovanje fajlova! Takođe, ransomware proverava da li se koristi proxy ili ne, te ako vidi da se nalazi iza proxy-ja, nastavlja sa radom, ne proveravajući postojanje navedenog domana!

NOVA VERZIJA – UPDATE 13.05.2017 23:00

Izgleda da se pojavila nova verzija koja nema ugrađen „killswitch“, tj. proveru gore navedenog domena, što znači da će se širenje ovog ransomwarea nastaviti!!!

Post Author: Milan Petrović

Leave a Reply

Your email address will not be published. Required fields are marked *