De fleste først har oppstått ransomware etter et utbrudd stenge sykehuset datamaskiner og viderekoblet ambulanser dette året. Er den kommet for å bli?

Marcus Hutchins, who stopped the WannaCry ransomware attack from spreading.

Malware

WannaCry, Petya, NotPetya: hvordan ransomware har rammet store tid i 2017

De fleste først har oppstått ransomware etter et utbrudd stenge sykehuset datamaskiner og viderekoblet ambulanser dette året. Er den kommet for å bli?

@alexhern

Lør 30 Des ’17 08.00 GMT

Sist endret på 30 Lør Des ’17 08.01 GMT

For tusenvis av mennesker, første gang de hørte av “ransomware” ble som de ble slått bort fra sykehus i Mai 2017.

Den WannaCry utbrudd hadde stengt datamaskiner i mer enn 80 NHS organisasjoner i England alene, noe som resulterer i nesten 20.000 avlyst avtaler, 600 GP operasjoner for å måtte gå tilbake til penn og papir, og fem sykehus rett og slett avlede ambulanser, ute av stand til å håndtere flere nødsituasjoner.

Men utbruddet var ikke den fødselen av ransomware, en form for datakriminalitet som ser datamaskiner eller data kapret og en avgift kreves for å gi dem tilbake til sine eiere.

Noen av de tidligste ransomware som hevdes å være en advarsel fra FBI krevende en “fin”, bare for å lure brukere til å betale opp, eller utpressing dem med beskyldninger om menneskehandel i misbruk av barn på bilder.

Deres taktikk fungerte ikke for lenge. Bankoverføringer var enkelt spores, utbetalinger var vanskelig å trekke av, og hvis noen variant fikk vellykket, ville folk trade tips om hvordan å bekjempe det heller enn å betale regningen.

Den moderne ransomware angrep ble født fra to innovasjoner i første del av dette tiåret: kryptering og bitcoin.

The modern ransomware attack was born from encryption and bitcoin.

Ransomware som Cryptolocker, som først dukket opp i felten i 2013, ikke bare låse opp skjermen – det krypterte alle dataene på datamaskinen. Den eneste måten å få det tilbake på, var å betale bompenger i retur for å låse den opp-tasten. Selv om du klarte å avinstallere den ransomware selv, data var fortsatt låst opp.

Bitcoin plutselig betydde ransomware forfattere kunne ta betaling uten å involvere pynt av det vanlige banksystemet som pre-betalt med kredittkort.

For nesten fem år, såkalte “cryptoransomware” boblet under overflaten, sliter med å spre seg. Generelt var sentralt styrt, angripe nye ofre gjennom direkte e-post-kampanjer, og dermed lure brukerne til å laste den ned, eller gjennom botnett av datamaskiner infisert med annen skadelig programvare– kommer inn gjennom døra, så å si, heller enn å bruke svakheter i datasystemer for å spre seg.

WannaCry endret det.

Ransomworms

Mai ransomware utbruddet ble kjent for en rekke grunner til: omfanget av skaden; uvanlig måte som det kom til en slutt, med oppdagelsen av en dårlig skjult “kill switch”, og den økende tro på at dens arkitekter var ikke kriminelle, men statsstøttede aktører, mest sannsynlig som arbeider for eller med den Nord-koreanske regjeringen.

Men det viktigste aspektet er grunnen til at det klarte å gå fra ukjent til å ta ut en betydelig del av NHS i løpet av noen dager. WannaCry var den første “ransomworm” verden noen gang hadde sett.

En “orm”, i databehandling språkbruk, er et stykke malware stand til å spre seg selv til å være langt mer skadelig enn din typiske datavirus. De selv-replikere, hoppende fra vert til vert, og adlyde alle epidemiologiske regler som ekte sykdommer å gjøre, vokser eksponentielt og tar av når de infisere tilkoblede noder.

Som datamaskinen sikkerhet teknikker har blitt bedre, over hele verden ormen utbrudd har blitt sjeldne. Det er vanskelig å konstruere et stykke malware som vil automatisk kjøre på en ekstern maskin uten noen brukermedvirkning. Før WannaCry, den siste store ormen å treffe wild var Conficker. En variant spredt seg til nesten 20m maskiner i løpet av en måned i januar 2009, infisere den franske Marinen, UK Ministry of Defence og Greater Manchester Police. Men siden Conficker, store ormer hadde vært sjeldne annet enn Mirai-ormen og botnet infisere dårlig designet for Internet of Things enheter, for eksempel webkameraer.

WannaCry hadde en hjelpende hånd til å bryte gjennom. I April 2017, en mystisk hacking gruppen kalt Shadow Meglere sluppet detaljer om en svakhet i Microsoft ‘ s Windows operativsystemer som kan brukes til å automatisk kjøre programmer på andre datamaskiner i det samme nettverket.

Som svakhet, er det antatt, hadde blitt stjålet i sving fra NSA, som hadde oppdaget det en ukjent tid før, kode-navngi den EternalBlue. EternalBlue var en del av NSA ‘ s toolbox for hacking teknikker som brukes til å angripe maskiner av OSS fiender – før en av dem slått tabellene. Den sanne identiteten til Skyggen Meglere er fortsatt ukjent, selv om alle bevis peker sterkt til at de blir tilknyttet den russiske stat.

Skyggen Meglere først gjort seg kjent i offentligheten i August 2016, auksjonering en jobb-mye av cyber våpen som det er sagt ble stjålet fra “Ligningen Gruppe” – kode-navnet for nsas hacking drift. Fire flere lekkasjer som følges inkludert EternalBlue i April.

Microsoft fast EternalBlue svakhet i Mars, før det ble sluppet ut av Skyggen Meglere, og resten av NSA at det var sannsynlig å bli gjort offentlig. Men to måneder senere, mange organisasjoner hadde ennå å installere oppdateringen.

Utbrudd

A message demanding money on a computer hacked by a virus known as Petya in June 2017.

Til slutt, WannaCry var så vellykket for sin egen gode, sprer seg så fort at sikkerheten forskere var å rive det fra hverandre i løpet av timer av det som dukker opp i naturen. En av dem, en ung Brite kalt Marcus Hutchins, oppdaget at berørte datamaskiner prøvde å få tilgang til en bestemt web-adressen (etter infeksjon. Merkelig, adresse var ikke registrert på noen, så han kjøpte domene – og akkurat som at, malware stoppet sprer seg.

Det er fortsatt uklart hvorfor WannaCry inkludert denne kill switch. Noen forskere tror det var fordi forfatterne hadde sett progresjon av Conficker, som tiltrakk seg unødig oppmerksomhet. Andre spekulerer i den versjonen av WannaCry “uhell” rømt nettverket det var å bli testet på.

Selv med kill switch aktiv, utbrudd forårsaket enorme skader. En rapport utgitt i oktober med fokus kun på effekter på NHS konkluderte med at “den WannaCry cyber-angrep hadde potensielt alvorlige konsekvenser for NHS og dens evne til å gi omsorg til pasienter”.

Det sies at WannaCry “var en relativt usofistikert angrep, og kunne ha vært forhindret ved NHS følgende grunnleggende IT-sikkerhet beste praksis” som å installere hurtigreparasjoner som hadde blitt lansert i Mars.

“Det er mer sofistikerte cyber-trusler der ute enn WannaCry så Avdeling og NHS trenger å få handle sammen for å sikre NHS er bedre beskyttet mot fremtidige angrep.”

En måned senere, på en av disse angrepene kom kalt NotPetya, på grunn av en innledende, feilaktig, troen på at det var en tidligere variant av ransomware kalt Petyna. Den malware ble klart bygget på erfaringene fra WannaCry, med samme EternalBlue svakhet å spre seg i bedriftens nettverk, men uten å være i stand til å hoppe fra ett nettverk til et annet.

I stedet, NotPetya var seedet til å ofre gjennom en hacket versjon av et større regnskap programmet er mye brukt i Ukraina. Det er fortsatt tok ut selskaper langt og bredt, fra shipping firma Maersk til legemiddelfirmaet Merck – multinasjonale selskaper som interne nettverk var store nok til at infeksjonen kunne reise ganske langt fra Ukraina.

NotPetya hadde en annen særhet: det faktisk ikke synes opprettet for å tjene penger. “Ransomware” ble kodet på en slik måte at, selv om brukere gjorde betale opp, sine data aldri kunne gjenopprettes. “Jeg er villig til å si med minst moderat tillit til at dette var en bevisst, skadelig, ødeleggende angrep eller kanskje en test forkledd som ransomware,” UC Berkley akademiske Nicholas Weaver fortalte infosec blogg Krebs på Sikkerhet.

Som realisasjon ment fokus på Ukraina tok på seg et nytt lys. Landet har lenge vært i forkant av cyberwarfare, stadig trading digital slag med sin nabo Russland selv mens de to landene handel faktiske blåser over Krim. Hvis en nasjonalstat var å skrive malware med sikte på å ødeleggende økonomien på sitt mål, kan det se mye som NotPetya.

Mer kommer

Med Eternalblue langsomt blir oppdatert, alder ransomworm kan være over til en ny, like skadelig sårbarhet er funnet. I stedet, det ser ut som old-school ransomware vil begynne å ta tilbake i rampelyset – med en vri.

“Folk har blitt desensitised til felles ransomware, hvor det bare krypterer filene dine,” sier Marcin Kleczynski, daglig leder av information security fast Malwarebytes.

Utbredt sikkerhetskopiering av data betyr færre er villige til å betale opp. Så i stedet for å bare låse data unna angriperne truet motsatte: publisere det for all verden å se. Slike angrep, kjent som “doxware”, har allerede blitt sett i naturen, men for øyeblikket bare på en liten skala eller utført manuelt, for eksempel når en litauisk plastisk kirurgi klinikk fikk sin filer utgitt for løsepenger på opptil €2,000 (£1762).

For å være trygg i 2018, men rådene er fortsatt mye det samme som det alltid har vært. Ikke klikk på ukjente vedlegg, må du alltid bruke sterke og unike passord, og holde en up-to-date backup. Selv om ransomware er ikke lenger kult, det er fortsatt rundt, og det ser ut som det er kommet for å bli.