De fleste første gang stødte på en ransomware efter et udbrud lukke hospital computere og omstilles ambulancer dette år. Er det kommet for at blive?

Marcus Hutchins, who stopped the WannaCry ransomware attack from spreading.

Malware

WannaCry, Petya, NotPetya: hvordan ransomware ramme den store tid i 2017

De fleste første gang stødte på en ransomware efter et udbrud lukke hospital computere og omstilles ambulancer dette år. Er det kommet for at blive?

@alexhern

Lør 30 Dec ’17 08.00 GMT

Sidst opdateret Lør 30 Dec ’17 08.01 GMT

For tusindvis af mennesker, den første gang de hørte om “ransomware” var, som de var slået væk fra hospitaler i Maj 2017.

Den WannaCry udbrud havde lukket ned computere i mere end 80 NHS organisationer i England alene, hvilket resulterede i næsten 20.000 aflyst aftaler, 600 GP operationer, der har til at vende tilbage til pen og papir, og fem hospitaler blot at aflede ambulancer, ude af stand til at håndtere mere akutte tilfælde.

Men udbruddet var ikke den fødsel af ransomware, en form for it-kriminalitet, der betragter computere eller data kapret og et gebyr forlangte at give dem tilbage til deres ejere.

Nogle af de tidligste ransomware, der hævdes at være en advarsel fra FBI, der krævede en “fin”, blot at narre brugere til at betale op, eller afpresser dem med beskyldninger om menneskehandel i seksuelt misbrug af billeder.

Deres taktik ikke arbejde for længe. Bank overførsler var let spores, kontante betalinger, og det var vanskeligt at trække ud, og hvis der er nogen variant, der fik succes, mennesker kunne bytte tips om, hvordan at besejre det, snarere end at betale regningen.

Den moderne ransomware angreb blev født af to nyskabelser i den tidlige del af dette årti: kryptering og bitcoin.

The modern ransomware attack was born from encryption and bitcoin.

Ransomware som Cryptolocker, som først dukkede op i de vilde i 2013, ikke bare låse op skærmen – det krypterede alle data på computeren. Den eneste måde at få det tilbage, der var til at betale vejafgift til gengæld for at låse tasten. Selv hvis det lykkedes dig at afinstallere ransomware sig, de data, der stadig var låst op.

Bitcoin pludselig betød ransomware forfattere kunne tage betaling uden at inddrage de staffage af den konventionelle banksystemet som forudbetalte kreditkort.

For næsten fem år, såkaldte “cryptoransomware” boblede under overfladen, der kæmper for at sprede sig. Generelt var det centralt styret, angriber nye ofre via direct mail-kampagner, er at narre brugere til at downloade det, eller via botnets af computere inficeret med andre malware– kommer ind gennem den forreste dør, så at sige, i stedet for at bruge svagheder i edb-systemer til at sprede sig.

WannaCry ændret.

Ransomworms

Maj ransomware udbrud blev kendt for en række årsager: omfanget af de skader, den usædvanlige måde, som det kom til en ende, med opdagelsen af en dårligt skjult “kill switch”; og den voksende tro på, at dets arkitekter var ikke it-kriminelle, men statssponsorerede aktører, mest sandsynligt, at arbejde for eller med den nordkoreanske regering.

Men det vigtigste aspekt er, hvorfor det lykkedes at gå fra ukendt til at tage ud en væsentlig del af NHS i løbet af få dage. WannaCry var den første “ransomworm” verden nogensinde havde set.

En “orm”, i design og sprogbrug, er et stykke af malware i stand til at sprede sig selv til at være langt mere skadelige end din typiske computer virus. De selv kopiere, hoppende fra vært til vært, og adlyde alle de epidemiologiske regler, som reelle sygdomme, der gør, vokser eksponentielt og tager fra, når de inficerer godt forbundet noder.

Som edb-sikkerhed teknikker er blevet forbedret, på verdensplan ormeangreb er blevet sjældne. Det er svært at designe et stykke af malware, der vil den automatisk køre på en anden maskine uden brugerens medvirken. Før WannaCry, den sidste store orm til at ramme wild var Conficker. En variant spredt sig til næsten 20m maskiner i en måned i januar 2009, inficere den franske Flåde, det BRITISKE forsvarsministerium, og Greater Manchester Police. Men da Conficker, store orme havde været sjældne i andre end de Mirai orm og botnet inficere dårligt designet Internet af Ting enheder, såsom webcams.

WannaCry havde en hjælpende hånd til at bryde igennem. I April 2017, en mystisk hacking gruppe kaldet Skyggen Mæglere frigivet detaljer om en svaghed i Microsoft ‘ s Windows-operativsystemer, der kunne bruges til automatisk at køre programmer på andre computere på det samme netværk.

Denne svaghed, det menes, var blevet stjålet igen fra NSA, der havde opdaget det en ukendt periode af tid, før kode for at navngive det EternalBlue. EternalBlue var en del af NSA ‘ s værktøjskasse af hacker teknikker, der bruges til at angribe maskiner af OS fjender, før en af dem vendte tabeller. Den sande identitet af Skyggen Mæglere er stadig ukendt, selv om alle beviser peger stærkt til dem, der er tilknyttet den russiske stat.

Skyggen Mæglere først gjort sig kendt i offentligheden i August 2016, auktionering et job-masser af cyber-våben, som sagde det, var stjålet fra “Ligning Gruppe” – kode-navn til NSA ‘ s hacking drift. Fire lækager, der blev fulgt på, herunder EternalBlue i April.

Microsoft fast EternalBlue svaghed i Marts, før det blev udgivet af Skyggen Mæglere, varskoet af NSA, at det var tilbøjelige til at blive offentliggjort. Men to måneder senere, er mange organisationer, der endnu ikke havde at installere programrettelsen.

Udbrud

A message demanding money on a computer hacked by a virus known as Petya in June 2017.

I sidste ende, WannaCry blev også en succes for sin egen skyld, sprede sig så hurtigt, at sikkerheden forskere var at rive det fra hinanden inden for få timer for det, der optræder i naturen. En af dem, en ung Brite kaldet Marcus Hutchins, opdagede, at de berørte computere, der forsøgte at få adgang til en bestemt web-adresse efter infektion. Mærkeligt nok, den adresse, der var ikke registreret nogen, så han købte domænet – og ligesom det, malware stoppet spredning.

Det er stadig uklart, hvorfor WannaCry medtaget denne kill switch. Nogle forskere tror, det var fordi forfatterne havde set progression af Conficker, der tiltrak sig unødig opmærksomhed. Andre spekulere den version af WannaCry “ved et uheld” undslap det netværk, du blev testet på.

Selv med kill switch aktiv, udbruddet forårsagede enorme skader. En rapport udgivet i oktober fokusere netop på effekter på NHS konkluderede, at “WannaCry cyber-angreb havde potentielt alvorlige konsekvenser for det offentlige SUNDHEDSVÆSEN og dets evne til at yde pleje til patienter”.

Det siges, at WannaCry “var en forholdsvis usofistikeret angreb og kunne have været forhindret af NHS følgende grundlæggende IT-sikkerhed best practice”, såsom installation af de rettelser, der havde været frigivet i Marts.

“Der er mere avanceret cyber-trusler derude end WannaCry så Afdelingen og NHS har brug for at få deres handle i fællesskab for at sikre, at det offentlige SUNDHEDSVÆSEN er bedre beskyttet mod fremtidige angreb.”

En måned senere, en af disse angreb kom døbt NotPetya, på grund af en indledende, fejlagtige tro, at det var en tidligere variant af ransomware kaldet Petyna. Den malware var tydeligvis bygget på erfaringerne fra WannaCry, ved hjælp af den samme EternalBlue svaghed at sprede sig inden for virksomhedens netværk, men uden at være i stand til at hoppe fra det ene netværk til det andet.

I stedet, NotPetya var seedet til at ofre gennem en hacket version af et større regnskab program er udbredt i Ukraine. Det tog stadig ud selskaber vidt og bredt, fra shipping firma Mærsk farmaceutiske virksomhed Merck – multinationale selskaber, hvis interne netværk, der var stort nok til, at infektionen kunne rejse ganske langt fra Ukraine.

NotPetya havde en anden mærkværdighed: det gjorde faktisk ikke synes skabt til at tjene penge. Den “ransomware” var kodet på en sådan måde, at selv hvis brugerne har betalt op, at deres data aldrig vil kunne inddrives. “Jeg er villig til at sige med mindst moderat tillid til, at dette var en bevidst, ondskabsfuld, ødelæggende angreb eller måske en test forklædt som ransomware,” UC Berkley akademiske Nicholas Weaver fortalte infosec blog Krebs på Sikkerhed.

Denne erkendelse betød, at fokus på Ukraine tog på et nyt lys. Landet har længe været på forkant af cyberwarfare, konstant handel med digitale slag med sin nabo Rusland selv, mens de to lande, handel faktiske blæser over Krim. Hvis en nationalstat var at skrive malware med henblik på at lammende økonomien af sit mål, kunne det se en masse som NotPetya.

Mere til at komme

Med Eternalblue langsomt ved at blive lappet, i en alder af ransomworm kan være forbi, indtil en ny, lige så ødelæggende sårbarhed er fundet. I stedet, ser det ud som old-school ransomware vil begynde at tage tilbage i rampelyset – med et twist.

“Folk er blevet desensitised til fælles ransomware, hvor det bare krypterer dine filer,” siger Marcin Kleczynski, den administrerende direktør for informationssikkerhed firma Malwarebytes.

Udbredt sikkerhedskopiering af data betyder, at færre er villige til at betale op. Så i stedet for bare at låse data derfra, hackere truer det stik modsatte: at udgive det for hele verden at se. Sådanne angreb, der er kendt som “doxware”, har allerede været set i naturen, men i øjeblikket kun på en lille skala eller udføres manuelt, som når en litauisk plastikkirurgiske klinik så sine filer, der er udgivet for løsepenge på op til €2.000 (£1762).

At blive sikker i 2018, selvom de råd, er stadig stort set det samme, som det altid har været. Klik ikke på ukendte vedhæftede filer, skal du altid bruge stærke og unikke passwords, og holde en up-to-date backup. Selv hvis ransomware er ikke længere cool, det er stadig rundt, og det ser ud som om det er kommet for at blive.