Serangan Global Ransomware dan Cara Melindungi Data Anda

Iklan

Serangan cyber besar-besaran telah melanda komputer di seluruh dunia. Ransomware replikasi diri yang sangat ganas - yang dikenal sebagai WanaCryptor, Wannacry, atau Wcry - telah sebagian memanfaatkan eksploitasi Badan Keamanan Nasional (NSA) dirilis ke alam liar bulan lalu Penjahat Dunia Milik Memiliki Alat Peretasan CIA: Apa Artinya Ini untuk AndaMalware paling berbahaya dari Central Intelligence Agency - yang mampu meretas hampir semua elektronik konsumen nirkabel - sekarang bisa berada di tangan pencuri dan teroris. Jadi apa artinya itu bagimu? Baca lebih banyak oleh kelompok peretasan yang dikenal sebagai The Shadow Brokers.

Ransomware diperkirakan telah menginfeksi setidaknya 100.000 komputer, menurut pengembang antivirus, Avast. Serangan besar-besaran terutama menargetkan Rusia, Ukraina, dan Taiwan, tetapi menyebar ke lembaga-lembaga besar di setidaknya 99 negara lain. Selain menuntut $ 300 (sekitar 0,17 Bitcoin pada saat penulisan), infeksi ini juga terkenal untuk pendekatan multi-bahasa untuk mengamankan tebusan: malware mendukung lebih dari dua lusin bahasa.

Apa yang sedang terjadi?

WanaCryptor menyebabkan gangguan besar, hampir tidak pernah terjadi sebelumnya. Ransomware memengaruhi bank, rumah sakit, telekomunikasi, utilitas listrik, dan infrastruktur kritis misi lainnya Ketika Pemerintah Menyerang: Malware Negara-Negara TerkenaPerang cyber sedang berlangsung saat ini, disembunyikan oleh internet, hasilnya jarang terlihat. Tapi siapa pemain di teater perang ini, dan apa senjata mereka? Baca lebih banyak .

Di Inggris saja, paling sedikit 40 NHS (National Health Service) Trust menyatakan keadaan darurat, memaksa pembatalan yang penting operasi, serta merusak keselamatan dan keamanan pasien dan hampir pasti mengarah ke korban jiwa.

Polisi ada di Rumah Sakit Southport & ambulans 'didukung' di A&E ketika staf mengatasi krisis hack yang sedang berlangsung #NHSpic.twitter.com/Oz25Gt09ft

- Ollie Cowan (@Ollie_Cowan) 12 Mei 2017

WanaCryptor pertama kali muncul pada bulan Februari 2017. Versi awal ransomware mengubah ekstensi file yang terpengaruh menjadi ".WNCRY" serta menandai setiap file dengan string "WANACRY!"

WanaCryptor 2.0 menyebar dengan cepat antar komputer menggunakan exploit yang terkait dengan Equation Group, a peretasan kolektif yang terkait erat dengan NSA (dan banyak dikabarkan sebagai peretasan "kotor" di rumah mereka satuan). Peneliti keamanan yang dihormati, Kafeine, mengkonfirmasi bahwa exploit yang dikenal sebagai ETERNALBLUE atau MS17-010 kemungkinan besar akan ditampilkan dalam versi yang diperbarui.

WannaCry / WanaCrypt0r 2.0 memang memicu aturan ET: 2024218 "ET EXPLOIT Kemungkinan ETERNALBLUE MS17-010 Echo Response" pic.twitter.com/ynahjWxTIA

- Kafeine (@kafeine) 12 Mei 2017

Banyak Eksploitasi

Wabah ransomware ini berbeda dengan apa yang mungkin telah Anda lihat (dan saya harap, tidak mengalami). WanaCryptor 2.0 menggabungkan SMB yang bocor (Server Message Block, protokol berbagi file jaringan Windows) mengeksploitasi dengan muatan replikasi diri memungkinkan ransomware untuk menyebar dari satu mesin rentan ke lanjut. Worm tebusan ini memotong metode pengiriman ransomware biasa dari email, tautan, atau tindakan lain yang terinfeksi.

Adam Kujawa, seorang peneliti di Malwarebytes diceritakan Ars Technica “Vektor infeksi awal adalah sesuatu yang masih kami coba cari tahu… Mengingat serangan ini tampaknya ditargetkan, itu mungkin baik melalui kerentanan dalam pertahanan jaringan atau phishing tombak yang sangat baik menyerang. Bagaimanapun, itu menyebar melalui jaringan yang terinfeksi menggunakan kerentanan EternalBlue, menginfeksi sistem tambahan yang belum ditambal. ”

WanaCryptor juga memanfaatkan DOUBLEPULSAR, eksploitasi NSA lain yang bocor CIA Hacking & Vault 7: Panduan Anda untuk Rilis WikiLeaks TerbaruSemua orang berbicara tentang WikiLeaks - lagi! Tetapi CIA tidak benar-benar menonton Anda melalui TV pintar Anda, bukan? Tentunya dokumen yang bocor itu palsu? Atau mungkin lebih rumit dari itu. Baca lebih banyak . Ini adalah backdoor yang digunakan untuk menyuntikkan dan menjalankan kode berbahaya dari jarak jauh. Infeksi memindai host yang sebelumnya terinfeksi dengan backdoor, dan ketika ditemukan menggunakan fungsionalitas yang ada untuk menginstal WanaCryptor. Dalam kasus di mana sistem host tidak memiliki backdoor DOUBLEPULSAR yang ada, malware kembali ke eksploitasi SMB ETERNALBLUE.

Pembaruan Keamanan Penting

Bocoran besar-besaran alat peretasan NSA menjadi berita utama di seluruh dunia. Bukti langsung dan tak tertandingi bahwa NSA mengumpulkan dan menyimpan eksploitasi nol hari yang tidak pernah dirilis untuk digunakan sendiri ada di luar sana. Ini menimbulkan risiko keamanan yang sangat besar 5 Cara untuk Melindungi Diri dari Eksploitasi Nol HariEksploitasi nol hari, kerentanan perangkat lunak yang dieksploitasi oleh peretas sebelum patch tersedia, menimbulkan ancaman nyata terhadap data dan privasi Anda. Berikut ini cara mencegah peretas. Baca lebih banyak , seperti yang telah kita lihat sekarang.

Kebetulan, Microsoft ditambal eksploitasi Eternalblue pada bulan Maret sebelum eksploit senjata kelas tinggi Shadow Brokers menjadi berita utama. Mengingat sifat serangan itu, kita tahu bahwa eksploitasi spesifik ini berperan, dan sifat infeksi yang cepat, tampaknya sejumlah besar organisasi gagal menginstal pembaruan penting Bagaimana & Mengapa Anda Perlu Memasang Patch Keamanan Itu Baca lebih banyak - lebih dari dua bulan setelah dirilis.

Pada akhirnya, organisasi yang terkena dampak akan ingin memainkan permainan menyalahkan. Tapi di mana titik jari? Dalam hal ini, ada cukup banyak kesalahan untuk dibagikan: NSA untuk menimbun eksploitasi zero-day yang berbahaya Apa itu Kerentanan Hari Nol? [MakeUseOf Menjelaskan] Baca lebih banyak , faktor yang memperbarui WanaCryptor dengan eksploitasi yang bocor, banyak organisasi yang mengabaikan pembaruan keamanan penting, dan organisasi lebih lanjut masih menggunakan Windows XP.

Orang-orang itu mungkin telah meninggal karena organisasi mendapati beban untuk meningkatkan sistem operasi utama mereka cukup mengejutkan.

Microsoft miliki segera dirilis pembaruan keamanan penting untuk Windows Server 2003, Windows 8, dan Windows XP.

Rilis Microsoft #WannaCrypt perlindungan untuk produk yang tidak didukung Windows XP, Windows 8, & Windows Server 2003: https://t.co/ZgINDXAdCj

- Microsoft (@Microsoft) 13 Mei 2017

Apakah saya berisiko?

WanaCryptor 2.0 menyebar seperti api. Dalam arti tertentu, orang-orang di luar industri keamanan telah melupakan penyebaran cepat worm, dan kepanikan itu dapat menyebabkannya. Di usia yang sangat terhubung ini, dan dikombinasikan dengan crypto-ransomware, penyedia malware menjadi pemenang yang menakutkan.

Apakah Anda berisiko? Untungnya, sebelum Amerika Serikat bangun dan pergi tentang hari komputasi, MalwareTechBlog menemukan tombol mematikan yang disembunyikan dalam kode malware, mengurangi penyebaran infeksi.

Kill-switch melibatkan nama domain yang sangat tidak masuk akal - iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - yang diminta oleh malware.

Jadi saya hanya bisa menambahkan "secara tidak sengaja menghentikan serangan dunia maya internasional" ke resume saya. ^^

- ScarewareTech (@MalwareTechBlog) 13 Mei 2017

Jika permintaan kembali langsung (mis. Menerima permintaan), malware tidak menginfeksi mesin. Sayangnya, itu tidak membantu siapa pun yang sudah terinfeksi. Peneliti keamanan di belakang MalwareTechBlog mendaftarkan alamat untuk melacak infeksi baru melalui permintaan mereka, tidak menyadari bahwa itu adalah saklar mematikan darurat.

#Ingin menangis propagasi payload berisi domain yang sebelumnya tidak terdaftar, eksekusi gagal sekarang bahwa domain telah tenggelam pic.twitter.com/z2ClEnZAD2

- Darien Huss (@darienhuss) 12 Mei 2017

Sayangnya, ada kemungkinan varian ransomware lain ada, masing-masing dengan kill-switch mereka sendiri (atau tidak sama sekali, tergantung kasusnya).

Kerentanan juga dapat dikurangi dengan menonaktifkan SMBv1. Microsoft menyediakan tutorial menyeluruh tentang cara melakukan ini untuk Windows dan Windows Server. Di Windows 10, ini bisa cepat dicapai dengan menekan Tombol Windows + X, memilih PowerShell (Admin), dan menempelkan kode berikut:

Nonaktifkan-WindowsOptionalFeature -Online -FeatureName smb1protocol

SMB1 adalah protokol lama. Versi yang lebih baru tidak rentan terhadap varian WanaCryptor 2.0.

Selain itu, jika sistem Anda telah diperbarui seperti biasa, Anda tidak sepertinya untuk merasakan efek langsung dari infeksi khusus ini. Yang mengatakan, jika Anda membuat janji NHS dibatalkan, pembayaran perbankan salah, atau paket penting gagal tiba, Anda sudah terpengaruh, bagaimanapun.

Dan kata bijak, eksploit yang ditambal tidak selalu melakukan pekerjaan. Conficker, ada orang?

Apa yang terjadi selanjutnya?

Di Inggris, WanaCryptor 2.0 pada awalnya digambarkan sebagai serangan langsung terhadap NHS. Ini telah didiskon. Tetapi masalahnya tetap bahwa ratusan ribu orang mengalami gangguan langsung karena malware.

Malware ini memiliki ciri khas serangan dengan konsekuensi yang tidak diinginkan secara drastis. Pakar keamanan dunia maya, Dr. Afzal Ashraf, kepada BBC bahwa “mereka mungkin menyerang perusahaan kecil dengan anggapan mereka akan mendapatkan sejumlah kecil uang, tetapi masuk ke sistem NHS dan sekarang mereka memiliki kekuatan penuh negara terhadap mereka - karena jelas, pemerintah tidak mampu untuk hal semacam ini terjadi dan terjadi berhasil. "

Tentu saja, ini bukan NHS. Di spanyol, duniamelaporkan bahwa 85 persen komputer di Telefonica dipengaruhi oleh cacing. Fedex menyatakan bahwa mereka telah terpengaruh, serta Portugal Telecom, dan MegaFon Rusia. Dan itu tanpa mempertimbangkan penyedia infrastruktur utama juga.

Dua alamat bitcoin dibuat (sini dan sini) untuk menerima uang tebusan sekarang mengandung 9,21 BTC gabungan (sekitar $ 16.000 USD pada saat penulisan) dari 42 transaksi. Yang mengatakan, dan menguatkan teori "konsekuensi yang tidak diinginkan", adalah kurangnya identifikasi sistem yang disediakan dengan pembayaran Bitcoin.

Mungkin saya kehilangan sesuatu. Jika begitu banyak korban Wcry memiliki alamat bitcoin yang sama, bagaimana para devs dapat memberi tahu siapa yang membayar? Sesuatu ...

- BleepingComputer (@BleepinComputer) 12 Mei 2017

Jadi apa yang terjadi selanjutnya? Proses pembersihan dimulai, dan organisasi yang terkena dampak menghitung kerugian mereka, baik berbasis keuangan maupun data. Lebih jauh lagi, organisasi yang terkena dampak akan memerlukan waktu lama untuk melihat praktik keamanan mereka dan - I benar - benar berharap - memperbarui, meninggalkan sistem operasi Windows XP yang kuno dan sekarang berbahaya dibelakang.

Kami harap.

Apakah Anda terpengaruh langsung oleh WanaCryptor 2.0? Apakah Anda kehilangan data, atau janji temu dibatalkan? Apakah Anda pikir pemerintah harus memaksa infrastruktur penting untuk memperbarui? Beri tahu kami pengalaman WanaCryptor 2.0 Anda di bawah ini dan beri kami bagian jika kami membantu Anda.

Kredit Gambar: Semua yang Saya Lakukan melalui Shutterstock.com