Οι αρχαίοι θρύλοι της Νορβηγίας μιλάνε για ένα τεράστιο φίδι που ονομάζεται Jörmungandr, τόσο μεγάλο ώστε να περικυκλώνει τον κόσμο και να κρατά τη δική του ουρά στα δόντια του.

Φανταστικοί μύθοι όπως αυτοί συχνά μιλούν μύθοι, αλλά την περασμένη Παρασκευή παρατηρήσαμε τη γέννηση ενός πραγματικού ψηφιακού «παγκόσμιου φιδιού», ενός σκουληκιού που εξαπλώθηκε μέχρι στιγμής που περιείχε τον πλανήτη, μολύνοντας υπηρεσίες όπως το Εθνικό Ηνωμένο Βασίλειο Health Service και μεγάλες εταιρείες σε άλλα μέρη του κόσμου όπως η Telefónica στην Ισπανία.

Αν και οι ειδικοί εξακολουθούν να προσπαθούν να καταλάβουν πώς συνεχίζει να εξαπλώνεται αυτό το σκουλήκι και πώς να αντιμετωπίσει την απειλή, έχουμε μια καλή ιδέα για το τι συνέβη και πώς μπορείτε να αναλάβετε δράση για να αποφύγετε βλάβη στο σύστημά σας.

Τι συνέβη?

Στις 12 Μαΐου 2017, μια μαζική επίθεση στον κυβερνοχώρο πραγματοποιήθηκε από ένα άγνωστο κομμάτι ransomware (διαβάστε περισσότερα για τα ransomware εδώ). Τελικά ονομάστηκε WannaCry, κατάφερε να μολύνει ένα πρωτοφανές 230.000 συστήματα που διαδόθηκαν σε 150 χώρες χρησιμοποιώντας έναν συνδυασμό ηλεκτρονικού "ψαρέματος" (phishing) και εκμετάλλευσης μη πακεταρισμένων συστημάτων μέσω τοπικών μπλοκ μηνυμάτων διακομιστών (SMBs).

Το ransomware θα σας κλειδώσει από τα αρχεία σας και θα σας δείξει μια οθόνη (που φαίνεται παρακάτω) που απαίτησε 300 δολάρια στο Bitcoin εντός τριών ημερών για να ανακτήσει την πρόσβαση σε αυτά ή αλλιώς η τιμή θα διπλασιαστεί.

Αν και αυτό συμβαίνει συνήθως με το ransomware, υπήρξε ένα μικρό κτύπημα που το έκανε να εξαπλωθεί ακόμα πιο γρήγορα. Η WannaCry εκμεταλλεύτηκε ένα ελάττωμα στην SMB (η οποία είναι υπεύθυνη για την κοινή χρήση αρχείων και εκτυπωτών) που της επέτρεψε να εξαπλωθεί σε άλλους υπολογιστές μέσα στο ίδιο υποδίκτυο. Έλαβε μόνο τη μόλυνση ενός μόνο υπολογιστή για να απολύσει ολόκληρο το δίκτυο. Αυτό είναι βασικά αυτό που έκανε τη λοίμωξη έναν εφιάλτη για το NHS και άλλα μεγάλα ιδρύματα.

Ίσως να το αναφέρω εδώ, είναι το γεγονός ότι το εκμεταλλευόμενο SMB έχει ληφθεί από τη διαρροή εργαλείων της NSA χάκερ πριν από ένα μήνα. Αναφέραμε μια παρόμοια διαρροή των αρχείων Vault 7 της CIA, η οποία περιείχε επίσης μια ποικιλία λειτουργικών εκμεταλλεύσεων που θα μπορούσαν να χρησιμοποιηθούν ανά πάσα στιγμή από τους χάκερ για να γράψουν παρόμοιο κακόβουλο λογισμικό.

Ο διακόπτης σκοτώσεων

Κάποιος άγνωστος ερευνητής ασφάλειας ο οποίος πηγαίνει από το ψευδώνυμο "MalwareTech" κατέγραψε έναν τομέα που βρέθηκε μέσα στον κώδικα της WannaCry ο οποίος σταμάτησε την εξάπλωση του λογισμικού. Βλέπετε, κάθε φορά που το κακόβουλο λογισμικό θα τρέξει σε έναν υπολογιστή, θα ελέγξει για να δει αν υπάρχει ο τομέας (είναι, εξάλλου, iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com ). Σε περίπτωση που καταγραφεί, το κακόβουλο λογισμικό θα είναι σε θέση να συνδεθεί με αυτό και μετά από αυτό θα σταματήσει αμέσως η εξάπλωση. Φαίνεται ότι ο χάκερ που το έγραψε ήθελε να δοκιμάσει τα νερά και να έχει ένα σχέδιο έκτακτης ανάγκης σε περίπτωση που τα πράγματα πάνε απολύτως αχρείος. Αυτή η ξεχωριστή στιγμή σταμάτησε το ransomware από το να καταστρέψει περισσότερο χάος ... τουλάχιστον για τώρα.

Εδώ είναι η ζοφερή αλήθεια: Δεν υπάρχει ευτυχές τέλος εδώ. Αποσυνθέστε τον κώδικα και μπορείτε να βρείτε εύκολα τα κομμάτια όπου η εφαρμογή καλεί τις λειτουργίες WinAPI "InternetOpenURLA ()" ή "InternetOpenA ()". Τελικά, θα μπορείτε να επεξεργαστείτε το απόσπασμα όπου προσπαθεί να συνδεθεί με το kill τομέα αλλαγής. Δεν απαιτεί ένα εξαιρετικά εξειδικευμένο προγραμματιστή για να το κάνει αυτό και αν κάποιος χάκερ παίρνει τη φωτεινή ιδέα να κάνει μια νέα έκδοση του WannaCry με το διακόπτη kill να επεξεργαστεί έξω πριν ο καθένας επιδιορθώσει τα συστήματά τους, η εξάπλωση θα συνεχιστεί. Περισσότεροι επιχειρηματίες χάκερ θα επεξεργαστούν ακόμη και τον λογαριασμό Bitcoin ότι οι πληρωμές πρέπει να πάνε και να κάνουν ένα μεγάλο κέρδος.

Οι εκδόσεις του WannaCry με διαφορετικούς τομείς αλλαγής θανάτου έχουν ήδη εντοπιστεί στη φύση και δεν έχουμε ακόμη επιβεβαιώσει αν έχει εμφανιστεί μια έκδοση χωρίς διακόπτη kill.

Τι μπορείς να κάνεις?

Υπό το πρίσμα αυτού που συνέβη, η Microsoft ανταποκρίθηκε γρήγορα με διορθώσεις, καλύπτοντας ακόμη και μη υποστηριζόμενες εκδόσεις λειτουργικού συστήματος όπως τα Windows XP. Εφόσον διατηρείτε το σύστημά σας ενημερωμένο, δεν θα πρέπει να αντιμετωπίζετε τη μόλυνση σε επίπεδο SMB. Ωστόσο, εξακολουθείτε να υποφέρετε από μόλυνση εάν ανοίξετε ένα ηλεκτρονικό μήνυμα ηλεκτρονικού "ψαρέματος" (phishing). Μην ξεχνάτε ποτέ να ανοίγετε εκτελέσιμα αρχεία που αποστέλλονται ως συνημμένα ηλεκτρονικού ταχυδρομείου Όσο ασκείτε λίγο σύνεση θα πρέπει να είστε σε θέση να επιβιώσετε από την επίθεση.

Όσον αφορά τα κυβερνητικά θεσμικά όργανα που έχουν καταστρατηγηθεί, αυτό δεν θα συνέβαινε αν απλώς θα διαπέραζαν τα κρίσιμα συστήματα αποστολής τους.

Θα πρέπει να αναμένουμε πιο τολμηρές επιθέσεις μετά την εφαρμογή των εκμεταλλεύσεων που εντοπίζονται στις πρόσφατες διαρροές ασφαλείας των ΗΠΑ; Πείτε μας τι σκέφτεστε σε ένα σχόλιο!