De flesta för första gången mötte ransomware efter ett utbrott stänga sjukhuset datorer och avledas ambulanser i år. Är den här för att stanna?

Marcus Hutchins, who stopped the WannaCry ransomware attack from spreading.

Malware

WannaCry, Petya, NotPetya: hur ransomware drabbat stora tid 2017

De flesta för första gången mötte ransomware efter ett utbrott stänga sjukhuset datorer och avledas ambulanser i år. Är den här för att stanna?

@alexhern

Lör 30 Dec ’17 08.00 GMT

Senast ändrad Lör 30 Dec ’17 08.01 GMT

För tusentals människor, första gången de hörde av “ransomware” var att när de har vänt sig bort från sjukhus i Maj 2017.

Den WannaCry utbrott hade stänga av datorer i mer än 80 NHS organisationer i England ensam, vilket resulterar i nästan 20 000 avbokade möten, 600 GP operationer med för att återgå till papper och penna, och fem sjukhus helt enkelt avleda ambulanser, oförmögna att klara något mer akuta fall.

Men utbrottet var inte födelsen av ransomware, en typ av dator brott som ser datorer eller data kapat och en avgift krävde att ge dem tillbaka till deras ägare.

Några av de tidigaste ransomware påstås vara en varning från FBI som kräver en “fin”, helt enkelt för att lura användare till att betala upp, eller att utpressa dem med anklagelser om människohandel för sexuella övergrepp mot barn bildspråk.

Deras taktik fungerade inte för länge. Banköverföringar var lätt spåras, kontant betalning var svåra att dra bort, och om någon variant fick framgångsrika, människor skulle handla tips på hur man kan besegra den i stället för att betala räkningen.

Den moderna ransomware attacken var född från två innovationer i början av detta årtionde: – kryptering och bitcoin.

The modern ransomware attack was born from encryption and bitcoin.

Ransomware som Cryptolocker, som först dök upp i det vilda, 2013, inte bara låsa upp skärmen – det krypteras alla data på datorn. Det enda sättet att få tillbaka den var att betala vägtullen i gengäld för upplåsningsknappen. Även om du lyckats avinstallera den ransomware själva uppgifterna var fortfarande låst upp.

Bitcoin plötsligt betydde ransomware upphovsmän kan ta betalt utan att involvera de yttre tecknen på den traditionella banksystemet såsom förbetalda kreditkort.

För nästan fem år, så kallade “cryptoransomware” bubblade under ytan, som kämpar för att sprida sig. I allmänhet var det centralt styrda, attackerande nya offer genom direktreklam kampanjer för att lura användare till att ladda ner det, eller via botnets av datorer infekteras med annan skadlig kod– går in genom dörren, så att säga, snarare än att använda svagheter i datorer för att sprida sig.

WannaCry ändrat på det.

Ransomworms

Kanske är ransomware utbrott var känd för ett antal skäl: för omfattningen av skadan; det ovanliga sätt som det kom till ett slut, med upptäckten av ett illa dolt “kill switch”, och den växande tron att dess arkitekter var inte cyberbrottslingar, men statsunderstödda aktörer, troligen arbetar för eller med den nordkoreanska regeringen.

Men den viktigaste aspekten är orsaken till att det lyckats gå från okänd till att ta ut en betydande del av NHS i några dagar. WannaCry var den första “ransomworm” världen någonsin hade sett.

En “mask”, i design och språkbruk är en bit av skadlig kod kan sprida sig att vara långt mer skadliga än din vanliga dator-virus. De själva reproducera, studsande från en värd till en annan, och att lyda alla epidemiologiska regler som riktiga sjukdomar att göra, växer exponentiellt och ta av när de infekterar väl anslutna noder.

Som datasäkerhet tekniker har förbättrats över hela världen mask utbrott har blivit sällsynta. Det är svårt att konstruera en bit av skadlig kod som kommer att automatiskt köra på en fjärransluten dator utan användarens inblandning. Innan WannaCry, den sista stora masken för att träffa vilda Conficker. En variant spridit sig till nästan 20 miljoner maskiner i en månad i januari 2009, som infekterar den franska Flottan, och STORBRITANNIEN Ministry of Defence and Greater Manchester Police. Men eftersom Conficker, stora maskar hade varit sällsynta i andra än Mirai mask och botnät infekterar dåligt utformad Internet of Things enheter såsom webbkameror.

WannaCry hade en hjälpande hand för att bryta igenom. I April 2017, en mystisk hacka grupp som kallas Shadow Mäklare släppt information om en svaghet i Microsoft Windows-operativsystem som kan användas för att automatiskt köra program på andra datorer i samma nätverk.

Den svaghet, som vi tror, hade stulits i sin tur från NSA, som hade upptäckt det en okänd tid innan, kod-namnge det EternalBlue. EternalBlue var en del av NSA: s verktygslåda för dataintrång tekniker, som används för att attackera maskiner av OSS fiender – innan en av dem vände tabellerna. Det sanna identitet i Shadow Mäklare är fortfarande okänd, trots att alla bevis pekar starkt till dem som är anslutna med den ryska staten.

Skuggan Mäklare som först gjorde sig känd i det offentliga i augusti 2016 att auktionera ut ett jobb-mycket av cyber vapen som sagt var stulen från den “Ekvationen Grupp” – kod-namn för NSA: s dataintrång drift. Fyra fler läckor följt inklusive EternalBlue i April.

Microsoft fast EternalBlue svaghet i Mars, innan den släpptes av Skugga Mäklare, tipsas av NSA att det var sannolikt att offentliggöras. Men två månader senare, har många organisationer hade ändå vill installera korrigeringsfilen.

Utbrott

A message demanding money on a computer hacked by a virus known as Petya in June 2017.

I slutändan, WannaCry var för bra för sitt eget bästa, sprider sig så snabbt som säkerhet forskare var att riva isär inom några timmar av det som förekommer i det vilda. En av dem, en ung Engelsman som heter Marcus Hutchins, upptäckte att påverkas datorer försökt att få tillgång till en viss webbadress efter infektion. Märkligt nog, den adress som inte var registrerade på någon, så han köpt domän – och precis som att det skadliga programmet slutade sprider sig.

Det är fortfarande oklart varför WannaCry ingår detta kill switch. Vissa forskare tror att det var på grund av att författarna hade tittat på utvecklingen av Conficker, som drog till sig onödig uppmärksamhet. Andra spekulerar den version av WannaCry “misstag” flydde nätverket var det testas på.

Även med de döda switch aktiv, utbrott orsakade enorma skador. En rapport som släpptes i oktober med fokus bara på effekter på NHS slutsatsen att “den WannaCry cyber-attack hade potentiellt allvarliga konsekvenser för NHS och dess förmåga att ge vård till patienter”.

Det sägs att WannaCry “var en relativt osofistikerade attacken och skulle ha kunnat förhindras genom NHS följande grundläggande IT-säkerhet för bästa praxis” som du installerar korrigeringar som hade släppts i Mars.

“Det finns mer sofistikerade it-hot ute än WannaCry så Avdelning och NHS behöver för att få sina agera tillsammans för att säkerställa att NHS är ett bättre skydd mot framtida attacker.”

En månad senare, en av dessa attacker kom dubbade NotPetya, på grund av att en första, felaktiga, uppfattningen att det var en tidigare variant av ransomware som kallas Petyna. Det skadliga programmet var tydligt bygger på lärdomar av WannaCry, med samma EternalBlue svaghet att sprida sig inom företagets nätverk, men utan att kunna hoppa från ett nätverk till ett annat.

Istället NotPetya var seedad till offer genom en hackad version av ett större bokföringsprogram allmänt används i Ukraina. Det tog fortfarande ut företag långt och brett, från sjöfarten företaget Maersk att läkemedelsföretaget Merck – multinationella företag vars interna nätverk var tillräckligt stora för att infektionen skulle kunna resa ganska långt från Ukraina.

NotPetya hade en annan underlighet: det egentligen inte verkar som skapats för att tjäna pengar. “Ransomware” har kodats på ett sådant sätt att, även om användarna fick betala upp, deras uppgifter kan aldrig återvinnas. “Jag är villig att säga med minst måttlig förtroende för att detta var en medveten, illvillig, destruktiva angrepp eller kanske ett test förklädd ransomware, UC Berkley akademiska Nicholas Weaver berättade infosec blogg Krebs på Säkerhet.

Att förverkliga innebar fokus på Ukraina tog ett nytt ljus. Landet har länge varit i framkant av cyberwarfare ständigt handel digitala blåser med sin granne Ryssland medan de två länder handel faktiska blåser över Krim. Om ett land skulle skriva malware med syfte att lamslå ekonomin för dess mål, det kanske ser mycket ut NotPetya.

Mer kommer

Med Eternalblue långsamt håller på att lagas, ålder ransomworm kan vara över tills en ny, lika skadliga sårbarhet finns. Istället ser det ut som den gamla skolan ransomware kommer att börja ta tillbaka i rampljuset – med en twist.

“Folk har blivit avtrubbade att gemensamma ransomware, där det bara krypterar dina filer, säger Marcin Kleczynski, verkställande av information bevakningsföretag Malwarebytes.

Utbredd säkerhetskopiering av data innebär färre är villiga att betala. Så istället för att bara låsa data bort, attacker hotar den exakta motsatsen: offentliggöra den för hela världen att se. Sådana attacker, känd som “doxware”, har man redan sett i det vilda, men för närvarande bara i liten skala eller utföras manuellt, som när en litauisk plastikkirurgi kliniken såg sina filer som publiceras för lösensummor på upp till 2 000 euro (£1762).

För att vara säker på 2018, men de råd som i mångt och mycket samma som det alltid har varit. Klicka inte på okända bifogade filer, använd alltid starka och unika lösenord och hålla en aktuell backup. Även om ransomware inte längre är cool, det är fortfarande runt, och det ser ut som det är här för att stanna.