Foto: Getty
En anden større cyberattack angreb er hurtigt breder sig over hele Europa og har nu inficerede systemer i USA så godt. Forskere hos Symantec og andre førende vagtselskaber er der bekræfter, at ransomware er ved at blive spredt via EternalBlue, en udnyttelse, der er lækket i April ShadowBrokers hacking gruppe, som siges at være blevet stjålet fra det AMERIKANSKE National Security Agency.
Posteo, en Berlin-baseret e-mail udbyder har udsendt en erklæring, der siger, at de har blokeret e-mail adresse efter sigende bliver brugt af hackere—betyder, at ofrene ikke længere har en måde at kontakte angribere og dekryptere deres computere, selv efter at have betalt løsepenge. “Vi tolererer ikke misbrug af vores platform: intermitterende blokering af misbrugte postkasser er en normal procedure for udbydere i sådanne tilfælde,” siger virksomheden.
Da der ikke var andre kommunikationsmidler, der tilbydes af de angribere, der ikke længere ser nogen pointe i at betale løsepenge.
“Oh boy, der kommer til at være interessant,” sagde Jason Truppi, direktør ved endpoint security firma Tanium. “Dette skaber faktisk nogle interessante samtale: Hvad er den forpligtelse, som en udbyder til at holde det op, højre? Er det bedre at holde det op og lade folk få deres filer tilbage—eller er det bedre at holde det ned og stoppe fremtidige angribere fra at tænke, at de kommer til at få penge. Jeg tror, det er nok bedre at holde det op, for at være ærlig.”
Mens de store virksomheder, der beskæftiger sig med disse trusler dagligt, Truppi siger, det er de små og mellemstore virksomheder, der er påvirket nu er tilbage, er de mest sårbare. “Disse er de mennesker, der er mest foruroligende, fordi de kommer til at ønsker at kontakte disse mennesker, der er i besiddelse af deres filer for løsepenge, og de kommer til at ønsker at betale. Uanset filer, de har mistet, der er livsnerven i deres selskab.”
De angreb, der tirsdag blev først rapporteret i Ukraine, slående banker, strømforsyningen Ukrenergo, og Kiev største lufthavn. Det har siden spredt sig til vesteuropa og Usa. Hver infektion efter sigende kræver en $300 betaling for at dekryptere det berørte system ‘ s master boot record (MSB); dog, den ransomware vises også i stand til at kryptere individuelle filer, som godt ved genstart.
Forskning i spredning af denne særlige malware og udveksling af oplysninger om dens oprindelse og vektor var kaotisk hele tirsdag formiddag. Indledende rapporter antydede, at dette var en variant af ransomware kendt som Petya, der opstod i begyndelsen af 2016 og inficerede tusindvis af computere, der tidligere på året—typisk i form af phishing-e-mails, der indeholder en ondsindet DropBox link. Petya hævdede fejlagtigt at medføre fuld disk kryptering, ifølge MalwareByte Labs.
Også rygter om, cirkulerede, at tirsdagens store angreb var at udnytte et Microsoft sårbarhed oplyses i April, er kendt som CVE-2017-0199; men flere forskere har fortalt Gizmodo, at de har set nogen beviser for dette. AlienVault Labs tilskrives den forvirring, at en, samtidige angreb i Ukraine, der involverer bot malware kendt som Loke. “Vi har ikke set nogen beviser for Petya hjælp CVE-2017-0199 så langt. Men vi søger det aktivt,” sagde Emsisoft forsker Fabian Wosar.
Chief Security Expert Aleks Gostev også fortalte Gizmodo via Twitter, at Kaspersky Lab havde set nogen beviser på, CVE-2017-0199 at blive udnyttet. Kaspersky ud med en erklæring, der siger, at tirsdagens ransomware ikke var i virkeligheden en variant af Petya. For at få det budskab igennem, firmaet hedder ransomware “NotPetya.”
“Selskabets telemetri data angiver, at omkring 2.000 angrebet brugere så langt,” Rusland-baseret cybersecurity firma sagde. “Organisationer i Rusland og Ukraine, der er mest berørt, og vi har også registreret hits i Polen, Italien, STORBRITANNIEN, Tyskland, Frankrig, USA og flere andre lande.”
“Systemer på globalt niveau stadig er meget sårbare og selektiv rettelser, der kun tjener til at fastholde et angreb baseret på de næste sårbarhed på, hvad der er nu en næsten eksponentielt voksende liste af udnyttelige sikkerhed fejl,” siger Mike Ahmadi, en global direktør i Synopsys Software Integritet Gruppe. “Medmindre sårbarhed forvaltning og certificering af systemer bliver et lovkrav, vi kan forvente at se angreb, der er større og mere sofistikerede. Som det står i dag, det vil sandsynligvis tage årtier at grave os ud af næsten bundløst hul af koden at gøre op vores infrastruktur.”
Yderligere rapportering af Kate Conger.