Gamle nordlige legender taler om en massiv slange, der hedder Jörmungandr, så stor at den omslutter verden og holder sin egen hale inden for tænderne.

Fantastiske legender som disse tales ofte kun om i myter, men i fredags oplevede vi fødslen af ​​en virkeligt digital "verdensorm", en orm, der spredte sig så langt, at den har dækket verden, inficerer tjenester som Det Forenede Kongeriges National Health Service og store virksomheder i andre dele af verden som Telefónica i Spanien.

Selvom eksperter stadig forsøger at finde ud af, hvordan denne orm fortsætter med at sprede sig og hvordan man kan modvirke truslen, har vi en god ide om, hvad der skete, og hvordan du kan gøre noget for at forhindre skade på dit system.

Hvad skete der?

Den 12. maj 2017 fandt et massivt cyberangreb sted ved et ukendt stykke ransomware (læs mere om ransomware her). Efterhånden navngivet WannaCry lykkedes det at inficere et hidtil uset 230.000 systemer fordelt på 150 lande ved hjælp af en kombination af phishing og udnyttelse af upakket systemer via lokale servermeddelelsesblokke (SMB).

Ransomware ville låse dig ud af dine filer og vise dig en skærm (vist nedenfor), der krævede $ 300 i Bitcoin inden for tre dage for at genvinde adgangen til dem, ellers ville prisen fordobles.

Selv om dette er, hvordan ransomware typisk fungerer, var der en lille hitch, der gjorde det spredt endnu hurtigere. WannaCry benyttede sig af en fejl i SMB (som er ansvarlig for fil- og printerdeling), der gjorde det muligt at sprede sig på andre computere inden for samme undernet. Det tog kun infektionen af ​​en enkelt computer at pakke hele netværket. Dette er dybest set, hvad gjorde infektionen et mareridt for NHS og andre store institutioner.

Måske en mere bemærkelsesværdig ting at nævne her er den kendsgerning, at SMB-udnyttelsen blev taget fra NSA hacking toolkit lækage over en måned siden. Vi har rapporteret om en lignende lækage af CIAs Vault 7-filer, som også indeholdt en række funktionsdygtige udbytter, der på et hvilket som helst tidspunkt kunne bruges af hackere til at skrive lignende malware.

Kill Switch

Nogen ukendt sikkerhedsforsker, der går under kaldenavnet "MalwareTech", registrerede et domæne, der blev fundet i WannaCrys kode, som stoppede spredningen af ​​softwaren. Du ser, hver gang malware ville køre på en computer, ville det kontrollere for at se om domænet eksisterer (det er iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, forresten). Skulle det være registreret, ville malware være i stand til at oprette forbindelse til det, og ved at gøre det ville straks ophøre med at sprede sig. Det ser ud til, at hackeren, der skrev det, ønskede at teste farvandet og have en beredskabsplan, hvis tingene går helt haywire. Dette serendipitøse øjeblik standset ransomware fra at gøre mere kaos ... i det mindste for nu.

Her er den onde sandhed: Der er ingen lykkelig slutning her. Decompil koden, og du kan nemt finde de stykker, hvor applikationen kalder WinAPI-funktionerne "InternetOpenURLA ()" eller "InternetOpenA ()." Til sidst kan du redigere udsnittet, hvor det forsøger at oprette forbindelse til killingen switch domæne. Det kræver ikke en ekstraordinær faglært programmør at gøre dette, og hvis nogle hacker får den lyse ide at lave en ny version af WannaCry med kill-knappen, redigeres før alle patches deres systemer, fortsætter spredningen. Flere underholdende hackere vil endda redigere Bitcoin-kontoen, at betalinger skal gå til og gøre et voldsomt overskud.

Versioner af WannaCry med forskellige kill-switch-domæner er allerede blevet set i det vilde, og vi har endnu ikke bekræftet, om en version uden en kill-switch har vist sig.

Hvad kan du gøre?

I lyset af hvad der skete, har Microsoft reageret hurtigt med patches, endda dækker ikke understøttede operativsystemversioner som Windows XP. Så længe du holder systemet opdateret, bør du ikke opleve SMB-niveau infektion. Du kan dog stadig lide infektion, hvis du åbner en phishing-email. Husk aldrig at åbne eksekverbare filer, der sendes som e-mail-vedhæftede filer. Så længe du udøver en smule forsigtighed, bør du være i stand til at overleve angrebet.

Hvad angår de offentlige institutioner, der blev hacket, ville det ikke ske, hvis de blot ville klare deres missionskritiske systemer.

Skal vi forvente mere dristige angreb efter hackere implementere udnyttelser fundet i de seneste amerikanske sikkerhedslækager? Fortæl os hvad du synes i en kommentar!