0

Hva gjorde WannaCry så farlig og hva bør du vite

Fredag 12. Mai 2017 ble flere sykehus i England rammet av "WannaCry/Wanna Decryptor 2" og satte store systemer helt ute av spill før den spredde seg videre ut i verden.

WarnaCry

En av årsakene til at akkurat denne varianten er såpass effektiv i å spre seg er utnyttelse av en sårbarhet i Microsofts SMBv1 tjeneste. Dette er en eldre men velbrukt protokoll som lar maskiner dele filer og tjenester over nettverket, noe som gjør at ormen sprer seg i rekordfart uten at brukere trenger gjøre noe. (MS17-010)

 

Sårbarheten brukt i angrepet viser seg å være et lekket cybervåpen fra NSA. Cybervåpenet skal ha blitt brukt av NSA spioner til å levere deres verktøy til intetanende brukere. Infeksjonen kan ha starta med mårlettet phishing via e-post eller som infiserte .doc eller .pdf vedlegg. 27. April 2017 var det over 428,827+ offentlige IP adresser som var sårbare for dette angrepet noe som gjør at svært mange var et lett bytte.

 

WannaCry rammet over 150 forskjellig land fordelt mellom ca 200.000 infiserte maskiner. Selv om de forlanger $300 per maskin for å dekrypter filene igjen så har de trolig ikke tjent mer enn $20,000 dollar ifølge flere kilder som har oversikt over Bitcoin "lommebøkene" brukt. 

wannacry_04.png

Angrepet kunne vært mye værre hadde det ikke vært for en twitterbruker ved navn @MalwareTechBlog som oppdaget en "killdswitch" i kildekoden. Det ligger en detaljert rapport om funnene her. Kort fortalt så kjørte twitterbrukeren skadevaren i et simulert miljø og oppdaget at den tok kontakt med et uregistrert domene, noe han var rask med å registrere selv. Uten å vite det hadde han da faktisk stoppet spredningen videre. Grunnen er at koden benyttet i angrepet prøver å koble seg til domenet og hvis tilkoblingen ikke er vellykket, så blir systemet kryptert. Når domenet da var registrert og mulig å nå så ble ikke maskinene kryptert.

Men med kildekoden nå fritt tilgjengelig for alle som ønsker, så kan vi forvente at nye varianter vil dukke opp de kommende dagene. Da er nok domenesjekken med byttet ut og det vil ikke være like enkelt å stoppe spredningen.

 

Hva bør du gjøre:

  • Det viktigste man kan gjøre for å sikre systemene er blant annet å patche alle windows miljøer: https://support.microsoft.com/en-us/help/4013389/title
  • Fortsett å holde operativsystemer og applikasjoner oppdaterte for å hindre utnyttelse av sikkerhetshull. Dette gjelder ikke bare for ransomware varianter men også ved andre former for skadelig kode eller ved forsøk på å stjele sensitiv data.
  • Hvitelist følgende adresse : www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. (Fjern klammene [ ] når dere hvitelister.
  • Anskaffe proxy-skanning og endepunktssikring som stopper ransomware og gjør skanning av web trafikk.

 

Vi har også fått bekreftet at Sophos Intercept X/ eXploit Prevention stopper krypteringsforsøket, og den ekstra innebygde sårbarhetsbeskyttelsen hindrer også SMBv1 svakheten i å bli utnyttet.

Kontakt oss for mer informasjon eller registrer deg for en test her!

https://www.cyberon.no/ransomware

 

 Referanser:

http://blog.binaryedge.io/2017/04/21/doublepulsar/

https://nakedsecurity.sophos.com/2017/05/12/wanna-decrypter-2-0-ransomware-attack-what-you-need-to-know/

http://edition.cnn.com/2017/05/13/world/ransomware-attack-things-to-know/

http://www.cbc.ca/beta/news/ransomware-attack-nsa-cyber-weapon-code-1.4113156

https://community.sophos.com/kb/en-us/126733

 

Ransomware # WannaCry #