Haluta itkeä
Arvioitu tartunnan saaneiden maiden kartta.
Ensimmäinen versio | 12. toukokuuta 2017 |
---|---|
Tyyppi | Tietokonehyökkäys |
WannaCry , joka tunnetaan myös nimellä WannaCrypt , WanaCrypt0r 2,0 tai vastaavia, on itsestään replikoituva kiristysohjelmat - tyyppi haittaohjelmia .
Sisään Toukokuu 2017Sitä käytetään tietoverkkojen maailmassa massa, joka vaikuttaa yli 300000 tietokoneita yli 150 maassa, lähinnä Intiassa , The USA ja Venäjä , ja käyttäen järjestelmää vanhentuneita Windows XP ja yleisemmin kaikki aiemmat versiot Windows 10 , ettei se ole suorittanut tietoturvapäivitykset , erityisesti14. maaliskuuta 2017 (tietoturvatiedote MS17-010).
Tämä tietoverkkohyökkäys pidetään suurin hakkerointi lunnaita ja Internet-historia , Euroopan toimiston fonttien Europolin kutsuen sitä "ennennäkemätön taso" ja lisäsi, että "se on joka tapauksessa lunnaita".
Tärkeimmistä organisaatioista, joihin tämä hyökkäys vaikuttaa, löydämme erityisesti Vodafone , FedEx , Renault , Telefónica , kansallisen terveyspalvelun , Liègen yliopistollisen sairaalan , Venäjän sisäasiainministeriön ja Deutsche Bahnin .
Tämä haittaohjelma käyttää NSA: n hyödyntämää ja hakkereiden Shadow Brokersin varastamia EternalBlue- tietoturva- aukkoja . Tämä virhe on korjattumaaliskuu 2017by Microsoftin kautta tiedotteen MS17-010 osana Patch tiistai .
Tästä viruksesta on puhuttu jälleen hyökkäämällä 23. kesäkuuta 2017yhdessä Honda- autoryhmän tehtaista , joka sijaitsee Sayamassa, Japanissa , ja tämä tapahtuu viisi päivää ennen toisen suuren globaalin kyberhyökkäyksen , NotPetyan , alkua .
Ensimmäiset infektiot olivat Espanjassa tai Yhdistyneessä kuningaskunnassa, ennen kuin ne levisivät muutamaan maailmaan muutamassa tunnissa. Ensimmäisenä iltana oletettu saastumisten määrä oli 100 000 Windows- järjestelmää . Vaikuttaa siltä, että ensimmäiset viruksen jäljet ovat peräisin edellisestä helmikuusta. Jotkut yritykset ovat päättäneet lopettaa saastuneet tuotantolinjat yrittäen pysäyttää leviämisen.
Kuningaskunnan National Health System (NHS) on yksi tärkeimmistä uhrien ransomware. Viisikymmentä NHS-sairaalaa, toisin sanoen 20% niistä, on huolestunut. Heillä on tosiaankin kymmeniä tuhansia tietokoneita, jotka käyttävät edelleen Windows XP: tä .
Oli mahdollista viivästyttää viruksen leviämistä rekisteröimällä tietty verkkotunnus killswitch , jonka brittiläinen tutkija teki . Tämä olisi ohjelmiston kehittäjien itsensä suunnittelemaa turvallisuutta. Virus leviää niin kauan kuin yllä määriteltyä verkkotunnusta ei ole rekisteröity, mutta etenemisvaihe on estetty, jos näin on. Se oli noin iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Tämä hengähdystauo oli lyhytikäinen, koska virus on sopeutunut siitä lähtien. Ainakin kaksi muuta muunnelmaa levisi pian sen jälkeen, joista yksi ei sisältänyt verkkotunnusten suojausta. Toisesta näistä muunnelmista johtuva verkkotunnus on ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.commolemmilla sama pääte. Useat muut "katkaisijat" on vähitellen tunnistettu. Se sisältää myös automaattisen uudelleenkäynnistyksen, jos toteutus keskeytyy. Samoin käyttäjän työtiedostojen salauksen lisäksi ohjelmisto muuttaa järjestelmän volyymeja häiritsemään viruksia, jotka eivät aktivoidu ajoissa.
BBC väittää virus ilmaisee tyytymättömyytensä Donald Trump politiikka . Jotkut toimittajat ovat yhteydessä siihen, että Apple kieltäytyi jakamasta arkaluonteisia tekniikoita NSA: n kanssa yhdessä viimeksi mainitun vuonna 2015 tekemistä terrorismin vastaisista tutkimuksista.
Kuten useimmat tietokonevirukset , tämä virus välittyy lähiverkon ja Internetin kautta saastuneiden liitteiden kautta, joita botnet- verkon kautta lähettää suuri määrä sähköposteja . Tämä opinnäytetyö on kiistanalainen, koska näistä sähköpostiviesteistä ei ole löydetty jälkiä: ”Kaikki etsivät sitä kuuluisaa alkuperäistä sähköpostia ja neljän päivän aikana yksikään tiimi ei ole onnistunut saamaan sitä käsiinsä. » CERT-Wavestonesta vastaava Wavestonen johtaja Vincent Nguyen sanoo .
Tutkijat esittävät toisen tutkielman väittäen, että heidän yksinkertaisesti Internetiin kytketyt hunajapotit olivat saastuneet nopeasti. Siksi se replikoituu itsestään.
Yhteinen kaikille lunnasohjelmille , kun saastuminen tapahtuu, virus salaa kaikki tiedostot kyseisellä tietokoneella ja näyttää käyttäjälle lunnaat.
Sitten se leviää muodostamalla yhteyden muihin haavoittuviin tietokoneisiin täysin itsenäisesti. Linux-käyttöjärjestelmä, joka sisältää osittain Samba- protokollan , ei näytä kohdistuvan.
Tälle lunnasohjelmalle on ominaista hyökkäyksen nopeus, joka vaikuttaa satoihin tuhansiin koneisiin ympäri maailmaa viikonloppuna. Hyökkäystaajuus oli vähintään yksi yritys sekunnissa ja sen vahvuudelle osoitettiin 226800 IP-osoitetta . Samoin ei vaikuta siltä, että siitä olisi tehty testausvaiheita, vaan pikemminkin alustavan tutkimuksen kausi. Siksi ei ole suljettu pois rikollisjärjestön tai valtion (tai valtion tukeman) hyökkäyksen jälkiä . Europolin mukaan yksikään maa ei ole erityisen kohdennettu.
Vaadittu lunnaat ovat tässäkin summa bitcoineina , joiden arvo on suhteellisen pieni, 300-600 dollaria . Aluksi se on 300 ja nousee sitten 600 päivään kolmen päivän kuluttua, jos käyttäjä ei ole vielä maksanut, tiedot poistetaan sitten seitsemän päivän kuluttua. Tekijät luottavat infektioiden suureen määrään. Normaalisti kun lunnaat on maksettu, An salausavain hallussa hakkerit avata tietokone, mutta ei ole mitään takeita. Analysoitu koodi osoittaa, että tiedostojen salauksen purkaminen vaatii rikollisten manuaalista puuttumista.
Asiantuntijat väittävät siis, että vaikka lunnaat maksettaisiin, käyttäjillä ei ole juurikaan mahdollisuuksia saada tiedostot salauksen purettua ja pystymään palauttamaan ne. Vastaavasti tiedostojen palautusta ei ole toistaiseksi havaittu. Bitcoin- kaupat ovat julkisia, ja rikolliset olisivat saaneet 51,92 bitcoinia eli yli 95 000 dollaria hyökkäyksen aikaan. Twitter- robotti luotiin tämän summan kasvun osoittamiseksi.
Ottaen huomioon potentiaalisen vaikutuksen asiakkaisiin ja heidän liiketoimintaansa Microsoft on poikkeuksellisesti asettanut tietoturvapäivitykset saataville alustoille, joita se ei enää ylläpitää, eli Windows XP , Windows 8 ja Windows Server 2003 . Yritys väittää, että se ei vaikuta Windows 10: een . Yrityksen johtaja Brad Smith (en) osoittaa sormella tiedustelupalvelujen vastuuta tällaisissa tapauksissa ja toivoo, että se saa heidät tietoiseksi vastuustaan: "Tämä hyökkäys on uusi esimerkki ongelman havainnollistamiseksi. - valtion porsaanreikien varastointi " .
Ranskassa Pariisin syyttäjänvirasto on antanut räikeän tutkimuksen tieto- ja viestintätekniikoihin liittyvän rikollisuuden torjuntaa käsittelevälle keskusvirastolle "vilpillisestä pääsystä ja huollosta automaattisissa tietojenkäsittelyjärjestelmissä", "näiden järjestelmien toiminnan estämisestä" ja ”Kiristys ja kiristysyritys. Myös Euroopan poliisitoimisto Europol työskentelee tapauksen parissa. Tämän hyökkäyksen sanotaan aiheuttaneen kymmeniä miljoonia dollareita vahinkoa.
Internet-käyttäjiä, jotka ovat kokeneet tietokoneensa tartunnan saaneita, kehotetaan pitämään kopio salatuista tiedostoista. Itse asiassa on mahdollista, että tutkija löytää myöhemmin keinon niiden tulkitsemiseksi.
Sveitsissä tietoturvan keskusrekisteri- ja analyysikeskus ilmoitti, että kyberhyökkäys tartunnan lähes 200 koneella eri puolilla maata.
Muutama päivä myöhemmin toinen laajamittainen kyberhyökkäys , Adylkuzz , iski satoja tuhansia tietokoneita; se hyödyntää samoja turvallisuusreikiä kuin WannaCry. Sitten27. kesäkuuta 2017, toinen laajamittainen kyberhyökkäys , NotPetya , on vaikuttanut satoihin tuhansiin tietokoneisiin hyödyntäen myös näitä haavoittuvuuksia.
Tutkimuksessa tarkastellaan " potilaan nollaa ", joka on ensimmäinen tartunnan saanut tietokone.
Vaikka hyökkäyksen alkuperää on melko vaikea määritellä, tietoturvatutkijat ovat ilmoittaneet todennäköisestä yhteydestä Pohjois-Koreaan . Insinööri Neel Nehta, tietojenkäsittelytieteen tutkija, Google- yrityksen työntekijä , latasi lähdekoodin osia, jotka osoittavat tiettyjä yhtäläisyyksiä uuden viruksen ja toisen Aasian maalle liittyvän hakkerointisarjan välillä. Hakkerit pohjoiskorealaiset epäillään kuuluvan kollektiivisen Lazarus Group (in) , joka on kiinnittänyt huomiota vuonna 2007, kuten Kaspersky.
Muut tutkijat ovat myös muodostaneet yhteyden kiinalaisiin hakkereihin. Flashpoint-asiantuntijat analysoivat WannaCry-lunastusviestit 28 eri kielellä. Heidän tulokset osoittavat, että hakkerit puhuvat sujuvasti kiinaa, jonka viesti on kieliopillisesti paremmin rakennettu ja sisältää enemmän tietoa. Muut käännökset saatiin englanninkielisestä viestistä (joka sisältää vakavan kielioppivirheen) ja Google Kääntäjältä . Lazarus-ryhmää (en) osoittavat ohjelmakappaleet olisi voitu istuttaa haittaohjelmiin vain hakkereiden jälkien peittämiseksi.
Elokuussa 2017 brittiläinen tutkija Malwaretech, joka oli auttanut pysäyttämään viruksen, pidätettiin Las Vegasissa, missä hän oli Def Conissa. Pidätys ei kuitenkaan liity WannaCryyn, vaan koskee muita pankkitapahtumatietovarkauksia. Tämä pidätys on kiistanalainen Internetin oikeuksien puolustajien yhteisössä: Electronic Frontier -säätiö on mobilisoinut lakimiehiä puolustamaan hakkereiden oikeuksia ja selvittämään pidätyksensä todellisen syyn.
Kolmen ranskalaisen, tietoturva- asiantuntijan ryhmä on kehittänyt Wanakiwi-nimisen ohjelmiston , työkalun lukittujen tietojen saannin palauttamiseksi. Tämä ohjelmisto toimii Windows XP: ssä , Windows Vistassa ja Windows 7: ssä, ja sen on hyväksynyt Euroopan poliisivirasto Europol .
Kuten monet lunnasohjelmat, WannaCry luo kaksi avainta tietojen salaamiseen. Yksi on julkinen ja toinen yksityinen . Kun haittaohjelma on asennettu, yksityinen avain itse salataan. Virus käyttää Windowsin salaustoimintoja näiden avainten luomiseen, mutta nämä toiminnot kirjoittavat yksityisen avaimen lyhyesti salaamattomana tietokoneen RAM-muistiin . Näin he onnistuivat luomaan tämän ohjelmiston, joka pystyy hakemaan tämän yksityisen avaimen jäljet tiedostojen pääsyn vapauttamiseksi.
Ryhmä vaatii reaktiivisuutta, koska "tämä muisti tyhjennetään automaattisesti seitsemän päivän kuluttua". Lisäksi, jotta tämä ratkaisu toimisi, kyseisiä tietokoneita ei ole pitänyt käynnistää uudelleen tartunnan jälkeen, koska RAM on epävakaa. Wanakiwi toimii 60 prosentissa tapauksista koneissa, joissa on Windows XP. Windows 7: ssä onnistumisaste on tällä hetkellä pysähtynyt 10 prosenttiin.
On rakennettu useita apuohjelmia, jotka mahdollistavat suojauksen tietoturvaloukkauksia vastaan, muun muassa WannaSmile, joka poistaa tietyt rikkomuksen käyttämien Windows-järjestelmien toiminnot ja WannaPatch, ranskalaisesta SysStreamingistä, joka tunnistaa järjestelmän haavoittuvuuden ja jos on. tapaus, joka mahdollistaa asianomaisen korjaustiedoston välittömän lataamisen.