WannaCry, Петька, NotPetya: як зловмисники потрапили у великий час у 2017 році


Опубликованно 17.04.2018 11:00

WannaCry, Петька, NotPetya: як зловмисники потрапили у великий час у 2017 році

Для тисяч людей, вони в перший раз чули про "здирників" був, як вони відвернулися від лікарні в травні 2017 року.

Спалах WannaCry було Вимкнути комп'ютери в більш ніж 80 організацій НСЗ тільки в Англії, в результаті чого майже 20 000 несформованих призначень, 600 лікарів, які мають повернутися до Перу і папері, і п'ять лікарень просто відволікаючи швидкої допомоги, не в змозі впоратися ще якісь екстрені випадки.

Але спалах не народження здирників, вид комп'ютерних злочинів, який бачить комп'ютери або захоплені даних комісії зажадали віддати їм назад їх власникам.

Деякі з найбільш ранніх здирників стверджував, що попередження від ФБР з вимогою "добре", просто обманюючи користувачів, змушуючи платити до або шантажує їх із звинуваченнями у торгівлі зображень жорстокого поводження з дітьми.

Їх тактика не працює довго. Банківські перекази легко відстежуються, грошові виплати були важко здійснити, і якщо який-небудь варіант є успішні, люди обмінюються порадами про те, як перемогти його, а не оплачувати рахунок.

Сучасні атаки здирників, народився з двох новинок на початку цього десятиліття: шифрування і биткоин.

Сучасні атаки здирників народився від шифрування і биткоин. Фото: Джастін Талліс/АФП/Getty зображення

Вимагачі, такі як cryptolocker, яка вперше з'явилася в дикій природі в 2013 році, не просто Блокування екрану – це шифрувати всі дані на комп'ютері. Єдиний спосіб отримати її назад був платити за проїзд в обмін на ключ. Навіть якщо вам вдалося видалити сам здирників, дані були ще замкнені.

Біткойн означає здирників автори можуть брати оплату без участі атрибути традиційної банківської системи, такі як передоплачені кредитні картки.

Протягом майже п'яти років, так звані "cryptoransomware" гомоніла під поверхнею, намагаючись поширити. Як правило, це була централізована система, атакуючи нові жертви через директ-мейл кампаній, обманюючи користувачів завантаженні, або через бот-мережі з комп'ютерів, заражених іншими шкідливими програмами,– іти через парадний вхід, так сказати, а не через слабкі місця в комп'ютерних системах для розповсюдження.

WannaCry змінилося. Ransomworms

У травні здирників спалах була примітна з ряду причин: масштаби збитку; незвичайним чином, в якому вона дійшла кінця, відкриття погано приховувану "вимикач", і зростаюче переконання в тому, що його архітектори були не зловмисники, але за підтримки держави суб'єкти, швидше за все, працює для або з північнокорейським урядом.

Але найбільш важливим аспектом є, чому він зміг вийти з невідомих виймаючи значний шматок НСЗ протягом декількох днів. WannaCry був першим "ransomworm" світ коли-небудь бачив.

"Хробак", обчислювальної термінології, це шкідлива програма здатна поширитися на набагато більше шкоди, ніж ваш типовий комп'ютерний вірус. Вони самовідтворюються, підстрибуючи від вузла до вузла, і підкоряючись усім епідеміологічних правил, що реальні хвороби, зростає в геометричній прогресії і знімати, коли вони добре пов'язані заразити вузлів.

В якості методів комп'ютерної безпеки покращилися, у всьому світі спалахів хробака стали рідкісними. Важко спроектувати фрагмент шкідливої програми, який буде автоматично виконуватися на віддаленій машині без будь-якої участі користувача. Перед WannaCry, останній великий хробак, щоб вразити дикий був черв'як conficker. Один варіант поширилася майже на 20 млн машин за один місяць в січні 2009 року, заражаючи французького флоту Міністерства оборони Великобританії і поліцією Манчестера. Але так як хробак conficker, великі черв'яки були рідкісні інші, ніж хробак Мірай і бот-мережі з-за погано розробленого заражав Інтернет речей пристроїв, таких як веб-камери.

WannaCry було простягнути руку, щоб прорватися. У квітні 2017, загадкової хакерської групою під назвою тінь брокерів опублікувала подробиці про слабкість в операційних системах Windows від Microsoft, який може використовуватися для автоматичного запуску програм на інші комп'ютери в мережі.

Ця слабкість, як вважають, були вкрадені в свою чергу АНБ, який відкрив його невідомий період часу, кодовою назвою його EternalBlue. EternalBlue був частиною АНБ набір методів злому, використовуваних для атаки на машинах ми вороги – перш ніж один з них перевернув столи. Справжня сутність тіньової брокери досі невідома, хоча кожне доказ рішуче вказує на них, будучи пов'язаний з російською державою.

Тінь брокерів вперше заявили про себе у серпні 2016 року, маєте роботу-багато кібер-зброї, які він сказав, були вкрадені з "групи рівнянь" – кодова назва операції по злому АНБ. Більше чотирьох витоку слідують EternalBlue в квітні.

Компанія Microsoft виправила EternalBlue слабкість в березні, перш ніж він був випущений тінню брокерів, попередив АНБ, що він, ймовірно, буде оприлюднено. Але через два місяці, багатьом організаціям ще належить встановити патч. Спалаху

Повідомлення з вимогою грошей на комп'ютер зламаний вірусом, відомим як Петька в червні 2017 року. Фотографія: Донат Сорокін/ТАСС

У кінцевому рахунку, WannaCry був дуже успішним для його ж блага, поширюється так швидко, що дослідники безпеки розриваючи її на частини протягом декількох годин після його появи в природі. Один з них, молодий британець на ім'я Марк Хатчинс, виявив, що комп'ютер намагався отримати доступ до певного веб-адресою після зараження. Цікаво, що адреса не зареєстрований на кого завгодно, так він купив домен – та просто так, шкідлива програма, зупинили поширення.

До цих пір неясно, чому WannaCry включив цей вимикач. Деякі дослідники вважають, що це тому, що автори спостерігали прогресування conficker, який привертав до себе зайвої уваги. Інші ж припускають, версія WannaCry "випадково" уникнув мережі він був випробуваний на.

Навіть з вбити перемикач активний, спалах завдав величезної шкоди. У доповіді, опублікованій в жовтні, орієнтуючись тільки на ефекти на НГС до висновку, що "WannaCry кібер-атака була потенційно серйозні наслідки для системи громадської охорони здоров'я і його спроможності надавати допомогу пацієнтам".

Він сказав, що WannaCry "був невигадливий і напад можна було б запобігти ДСЗ наступні основні ІТ-безпеки кращі практики", такі як установка виправлень, які були випущені в березні.

"Є більш витончені кібер-загрози там, ніж WannaCry тому Департамент і НСЗ повинні отримати їх діяти спільно, щоб забезпечити НСЗ краще захищені від нападів в майбутньому".

Місяць тому один із цих нападів прибув охрестили NotPetya, у зв'язку з початковим помилковим, вважаючи, що це був більш ранній варіант здирників називається Petyna. Шкідлива програма була чітко вибудувана на уроках WannaCry, використовуючи той же EternalBlue слабкість поширення в корпоративних мережах, але, не будучи в змозі перейти з однієї мережі в іншу.

Замість цього, NotPetya був посіяний жертвам через зламаний версія програми бухгалтерського обліку широко використовується в Україні. Він все-таки взяв з далеко і широко, з доставкою фірма maersk у фармацевтичної компанії Merck – транснаціональні корпорації, внутрішні мережі яких були досить великими, що інфекція може подорожувати досить далеко від України.

NotPetya була ще одна особливість: він насправді не здається, створені, щоб заробляти гроші. На "здирників" була запрограмована таким чином, що навіть якщо користувачі не платять, їх дані не можуть бути відновлені. "Я хочу сказати, що як мінімум з помірним ступенем впевненості, що це був навмисний, злісний, руйнівної атаки або, можливо, тест замаскований здирників," академічного університету Берклі, Ніколас Уівер розповів блогу "інформзахист" Кребс про безпеку.

Що реалізація означало зосередитися на Україна взяла на себе в Новому Світлі. Країна вже давно в авангарді кібервійни, постійно торгувати цифровими ударами зі своїм сусідом Росією, навіть коли дві країни торгують реальними ударами з-за Криму. Якщо національна держава було писати шкідливі програми з метою підриву економіки цієї мети, вона може виглядати як багато NotPetya. Більше

З Eternalblue поступово зробився, вік ransomworm може бути закінчена, поки знайшли новий, в рівній мірі уразливості. Замість цього, схоже, старої школи здирників почне знову в центрі уваги – з родзинкою.

"Люди втрачають чутливість до звичайних здирників, де він тільки шифрує ваші файли", - говорить Марчін Kleczynski, глава виконавчої влади інформації фірма безпеки компанії symantec.

Широко поширене резервне копіювання даних значить, менше готові платити. Тому замість того, щоб просто фіксувати дані, зловмисники загрожують прямо протилежне: опублікувати його для усіх світу, щоб побачити. Такі атаки, відомий як "doxware", вже були помічені в дикій природі, але в даний час лише в невеликому масштабі або здійснюватися вручну, а коли Литовська клініка пластичної хірургії бачив його файли, опубліковані для викупу до €2,000 (?1762).

Щоб залишитися безпечний в 2018 році, хоча рада раніше, так само, як це було завжди. Не натискайте на невідомі вкладення, завжди використовуйте надійні і унікальні паролі, і тримати актуальну резервну копію. Навіть якщо зловмисники більше не круто, це як і раніше навколо, і, схоже, це тут, щоб залишитися.



Категория: Технологии