Foto: Getty
En annen stor cyberattack angrep er raskt sprer seg over Europa, og har nå infiserte systemer i USA. Forskere ved Symantec og andre ledende vaktselskaper, bekrefter at ransomware som spres via EternalBlue, en utnytte lekket ut i April av ShadowBrokers hacking gruppen, som er sagt å ha blitt stjålet fra det AMERIKANSKE National Security Agency.
Posteo, en Berlin-basert e-post provider, har utstedt en uttalelse som sier de har blokkert e-postadressen angivelig blir brukt av angripere—noe som betyr at ofrene ikke lenger har en måte å kontakte angriperne og dekryptere sine datamaskiner selv etter å ha betalt løsepenger. “Vi tolererer ikke misbruk av vår plattform: intermitterende blokkering av misbrukte postkasser er en vanlig prosedyre av leverandører i slike tilfeller,” selskapet sa.
Da det ikke var andre kommunikasjonsmidler som tilbys av angriperne, er det ikke lenger noen vits i å betale løsepenger.
“Oh boy, som kommer til å bli interessant,” sier Jason Truppi, direktør ved endpoint security fast Tanium. “Dette skaper faktisk litt interessant samtale: Hva er en forpliktelse for en leverandør å holde det opp, ikke sant? Er det bedre å holde det opp og la folk få filene sine tilbake—eller er det bedre å holde den nede og stoppe fremtidige angripere fra å tenke at de kommer til å få penger. Jeg tror det er trolig bedre å holde det opp, for å være ærlig.”
Mens store bedrifter har å gjøre med disse truslene hver dag, Truppi sier, det er de små – og mellomstore bedrifter påvirket nå er venstre som er mest sårbare. “De er folk som er mest om fordi de kommer til å ønske å ta kontakt med disse menneskene som holder sine filer for løsepenger, og de kommer til å ønske å betale. Uansett filer de har mistet, det er selve livsnerven i selskapet sitt.”
Angrepene tirsdag var først rapportert i Ukraina, slående banker, det elektriske verktøyet Ukrenergo, og Kiev viktigste flyplass. Det har siden spredt seg inn i Vest-Europa og Usa. Hver infeksjon angivelig krever en $300 betaling for å dekryptere det berørte systemet er master boot record (MSB); imidlertid, den ransomware vises også i stand til å kryptere enkeltfiler samt ved omstart.
Forskning på spredning av denne malware og deling av informasjon om sin opprinnelse og vektor var kaotisk hele tirsdag morgen. Første rapporter foreslått dette var en variant av ransomware kjent som Petya, som oppsto i tidlig 2016 og infisert tusenvis av datamaskiner tidligere i år—vanligvis ved hjelp av phishing e-post som inneholder en ondsinnet DropBox link. Petya hevdet feilaktig å føre til full disk kryptering, i henhold til MalwareByte Labs.
Rykter har også sirkulert at tirsdag er stort angrep var å utnytte en Microsoft sårbarhet offentliggjort i April kjent som CVE-2017-0199, men flere forskere har fortalt Gizmodo at de har sett noe bevis på dette. AlienVault Labs tilskrives forvirringen til en samtidige angrep i Ukraina som involverer bot malware kjent som Loke. “Vi har ikke sett noe bevis på Petya ved hjelp av CVE-2017-0199 så langt. Men vi er på jakt etter det aktivt,” sa Emsisoft forsker Fabian Wosar.
Chief Security Expert Aleks Gostev også fortalt Gizmodo via Twitter at Kaspersky Lab hadde sett noe bevis for CVE-2017-0199 blir benyttet. Kaspersky lagt ut en uttalelse som sier at tirsdagens ransomware var faktisk ikke en variant av Petya i det hele tatt. For å få poenget, firma ved navn ransomware “NotPetya.”
“Selskapets telemetri data indikerer rundt 2000 angrepet brukere så langt,” Russland-basert cybersecurity firmaet sa. “Organisasjoner i Russland og Ukraina er de som er mest berørt, og vi har også registrert treff i Polen, Italia, STORBRITANNIA, Tyskland, Frankrike, USA og flere andre land.”
“Systemer på et globalt nivå er fortsatt svært sårbar og selektiv løser bare tjene til å videreføre et angrep basert på den neste sårbarhet på hva er nå en nesten eksponentielt voksende liste av utnyttbare sikkerhet bugs,” sier Mike Ahmadi, en global leder i Synopsys Programvare Integritet Gruppe. “Med mindre sårbarhet ledelse og sertifisering av systemer blir en juridisk krav, kan vi forvente å se angrep som er større og mer avanserte. Som det står i dag, vil det trolig ta flere tiår å grave oss ut av den nesten bunnløse avgrunn av sårbare koden for å gjøre opp vår infrastruktur.”
Ekstra rapportering av Kate havål titter.