WannaCry是一个 勒索软件 隐虫 网络攻击 定位到运行Microsoft Windows操作系统的计算机。它最初于2017年5月12日发布。勒索软件 加密的 数据,并要求以加密货币比特币支付300至600美元的赎金。 WannaCry也称为WannaCrypt,WCry,Wana Decrypt0r 2.0,WanaCrypt0r 2.0和Wanna Decryptor。
安装完成后,WannaCry在受感染的系统中安装了后门程序。
WannaCry利用了一个已知的 脆弱性 是在美国国家安全局(NSA)发现的称为EternalBlue的较旧Windows系统中。
EternalBlue被盗, 泄漏的 袭击发生前几个月,一个名为“影子经纪人”的组织发起了攻击。尽管EternalBlue很快得到了修补,但许多WannaCry'成功的原因是组织未打补丁或未使用较旧的Windows系统。
快速修补和终止开关域的发现阻止了受感染的计算机传播WannaCry。话虽如此,据欧洲刑警组织的估计,受感染的计算机在150个国家中超过200,000台,损失范围从数亿美元到数十亿美元不等。
美国,英国,加拿大,日本,新西兰和澳大利亚的安全专家正式断言朝鲜是这次袭击的幕后黑手。
2018年8月,WannaCry的一个新变种迫使一家芯片制造公司台湾半导体关闭了几家工厂,因为该病毒在其最先进的设施中传播到10,000台计算机。
WannaCry如何传播?
WannaCry的传播是由EternalBlue实现的, 零时差攻击 在使用过时版本的服务器消息块(SMB)协议的Windows计算机的旧版本中。
WannaCry是一个网络 虫 具有自动传播的传输机制。传输代码扫描易受EternalBlue攻击的系统 利用 然后安装DoublePulsar并执行其自身的副本。
这意味着WannaCry可以在没有受害者参与的情况下自动传播。与其他通过网络传播的勒索软件攻击形成鲜明对比 网络钓鱼 和 社会工程学 攻击。
WannaCry还可以利用现有的DoublePulsar感染而不是自行安装。 DoublePulsar是The Shadow Brokers于2017年4月14日发布的后门工具。到2017年4月21日,安全研究人员报告说,成千上万的计算机已安装DoublePulsar。估计到2017年4月25日,受感染计算机的数量已达到数十万。
WannaCry如何运作?
执行后,WannaCry会检查终止开关域是否可用。如果不可用,勒索软件会加密计算机数据,然后尝试利用EternalBlue传播到Internet和同一网络上的更多计算机。
被感染的计算机将在目标网络中搜索接受流量的设备。 TCP端口135-139或445 表示系统已配置为运行SMB。
然后,它将启动与设备的SMBv1连接,并使用缓冲区溢出来控制系统并安装攻击的勒索软件组件。
与其他勒索软件一样, 恶意软件 显示一条消息,通知用户其文件已加密,并要求在三天内支付300美元的比特币赎金,或在七天内支付600美元的赎金。
三个硬编码的比特币地址用于接收受害者的付款。与所有比特币钱包一样,交易和余额可以公开访问,但所有者仍然未知。
安全专家建议受影响的用户不要支付赎金,因为付款通常不会导致数据恢复。
WannaCry何时打补丁?
首次攻击发生的第二天,微软发布了Windows XP,Windows Server 2003和Windows 8的安全更新。这些补丁是在2017年1月对漏洞进行提示之后于2月创建的。
2017年3月14日,微软发布了MS17-010,该漏洞详细介绍了该漏洞并修复了针对Windows Vista,Windows 7,Windows 8.1,Windows 10,Windows Server 2008,Windows Server 2008 R2,Windows Server 2012和Windows Server 2016的EternalBlue漏洞。
除了修补程序外,MalwareTech的Marcus Hutchins还发现了用WannaCry硬编码的终止开关域。然后,他注册了域以阻止攻击扩散,因为蠕虫仅在无法连接到域时才会加密计算机文件。这无济于事,没有帮助受感染的系统,但严重减慢了蠕虫的传播速度,并为部署防御措施留出了时间。
2017年5月14日,出现了WannaCry的新变体,并带有新的第二杀开关,该开关在当天由Matt Suiche注册。第二天,Check Point威胁分析人员注册了具有第三个也是最后一个杀死开关的另一个变体。
在接下来的几天中,检测到另一个版本的WannaCry,该版本完全没有终止开关。
2017年5月19日,黑客试图使用僵尸网络对WannaCry进行分布式拒绝服务(DDoS)攻击's杀死切换域以使其脱机。 2017年5月22日,通过切换到站点的缓存版本来保护域,该站点能够处理比活动站点大得多的流量。
分别来自伦敦大学学院和波士顿大学的研究人员报告说,他们的PayBreak系统可以通过恢复用于加密用户数据的密钥来抵御WannaCry和其他勒索软件攻击,从而无需付费即可进行解密。
谁在进行WannaCry网络攻击?
对赎金票据的语言分析表明,作者精通中文,并且精通英语,因为这些语言的票据版本似乎是人为书写的,而其他语言似乎是机器翻译的。
联邦调查局'网络行为分析中心(Cyber Behavioral Analysis Center)表示,创建勒索软件语言文件的计算机已安装了Hangul语言字体。"\fcharset129"富文本格式标签。语言文件中的元数据还表明计算机已设置为韩国使用的UTC + 09:00。
谷歌,微软,卡巴斯基实验室和赛门铁克的研究人员均表示,该代码与朝鲜拉撒路集团使用的恶意软件相似,后者与2014年对Sony Pictures的网络攻击和2016年对孟加拉国的银行抢劫有关。
NSA泄漏的备忘录和英国'国家网络安全中心也得出了相同的结论。
2017年12月18日,美国政府正式宣布其相信朝鲜是WannaCry袭击的幕后黑手。加拿大,新西兰,澳大利亚,英国和日本都落后于美国' assertion.
但是,朝鲜否认对网络攻击负责。
谁受到了WannaCry的影响?
据卡巴斯基实验室称,WannaCry规模空前,据估计有150万个国家感染了200,000台计算机,其中俄罗斯,乌克兰,印度和台湾受到的影响最大。
受影响最大的机构之一是英国国家医疗服务系统(National Health Service),这是由英国政府资助的国家医疗体系,也是英国每个组成国家的四个国家医疗服务之一。它是世界上最大的单付款人医疗系统。
包括计算机,MRI扫描仪,储血冰箱和剧院设备在内的多达70,000台设备可能已受到影响。这导致一些NHS服务拒绝了非紧急事件,而救护车也被转移了。
除NHS之外,Telefónica是世界上最大的电话运营商和移动网络提供商之一,也是最早报告由WannaCry引起的问题的主要组织之一。联邦快递,日产,俄罗斯内政部,印度安得拉邦的警察,中国的大学,日立,中国警察和雷诺也受到了影响。
什么 was the reaction to WannaCry?
WannaCry引起了许多媒体的关注,这是由于国家安全局(NSA)已发现该漏洞,并利用该漏洞为自己的攻击性工作创建了漏洞,而不是向Microsoft报告。爱德华·斯诺登(Edward Snowden)表示,如果国家安全局(NSA)"秘密披露了用于攻击医院的漏洞,当他们发现它时(而不是丢失时),可能是攻击没有发生。"
2017年5月17日,针对对缺乏披露的批评,美国立法者提出了PATCH法案,旨在"平衡需要披露的漏洞与其他国家安全利益之间的关系,同时在此过程中增加对主要公众信任的透明度和问责制".
WannaCry勒索软件攻击是最近记忆中最严重的网络攻击之一。尽管规模很大,但攻击仍依赖于许多成功攻击的相同机制:在Internet上找到暴露的端口并利用已知的漏洞。
当您这样考虑时,WannaCry便失去了很多神秘色彩。
如何预防像WannaCry这样的网络攻击
预防像WannaCry这样的攻击的最佳方法是基本的IT安全性和安全性配置,例如修补所有系统。 EternalBlue连接到裸露的 SMB端口 ,无论如何都不应向Internet开放。
这是运行Microsoft数据中心的任何人的安全101。端口135-139和445不安全公开显示,而且已经有十年了。
它显示了全球的网络弹性如何差,可预防的错误配置和已知的漏洞会破坏全球性的灾难,并导致数亿至数十亿美元的生产力损失。最终的原因不是软件,代码或防火墙的缺陷(尽管有帮助),而是流程和优先级。
安全性的两个基本公理是使您的系统保持补丁并使用不't报废。如果在全球范围内遵循这两个想法,'WannaCry的影响可能会小得多。
什么'真正令人担忧的是,我们必须多么脆弱才能真正实现先进 网络威胁 and hacking tools.
我们必须考虑的其他事情是 信息安全 and 信息风险管理。绝不应该存在重要数据, 敏感数据 or 个人身份信息(PII) isn't存储在其他位置。关键业务功能也没有适当的流程来将系统恢复到工作状态。
防止WannaCry之类的攻击并在发生时将其影响最小化的方法如下:
- 没有单点故障: 无论'勒索软件,硬件故障,数据库错误或其他原因。如果您的数据很重要,则应至少在另一个安全位置对其进行备份。
- 自动配置流程: 如果资产被勒索软件或其他任何手段破坏,您应该能够尽快使其恢复工作状态。
- 修补所有内容: 保持系统最新,以避免已知漏洞。
这些策略减少了 网络安全风险 勒索软件,从灾难变成了小麻烦。这是 为什么网络安全很重要,'仅安装防病毒软件并希望获得最好的效果还不够。你需要 您的实时网络安全监控 and 您的第三方供应商 to reduce 第三方风险 and 第四方风险。您需要制定一个 网络安全风险评估流程, 第三方风险管理框架 and 供应商风险管理计划.
UpGuard 如何帮助保护您的组织免受WannaCry等勒索软件攻击
UpGuard helps companies like 洲际交流, 泰勒·弗莱 , 纽约证券交易所,IAG,First State Super,Akamai,Morningstar和NASA保护其数据并防止数据泄露。
我们的平台显示您和您的供应商容易受到EternalBlue等漏洞的攻击。 UpGuard BreachSight can help combat 抢注 , 避免 数据泄露 and 数据泄漏 ,避免监管罚款并保护您的客户'通过网络安全等级和持续暴露检测获得信任。
我们也可以为您提供帮助 持续监控,评估安全问卷并将其发送给您的供应商 to control 第三方风险 and 第四方风险 and improve your 安全态势 , 以及 自动创建清单,执行策略并检测对IT基础架构的意外更改。帮助您扩大规模 供应商风险管理, 第三方风险管理 and 网络安全风险评估 processes.
网络安全变得越来越重要 than ever before.