WannaCry ransomware è Arrivata la Versione 2.0

wanna-cry-version-2-0-arrived.jpg

 

the hacker News

Se si segue la notizia, ormai si potrebbe essere consapevoli del fatto che un ricercatore di sicurezza ha attivato un “Kill Switch” che a quanto pare ha fermato il ransomware WannaCry ulteriore diffusione.

Ma non è vero, né la minaccia è ancora finita. Tuttavia, il kill switch ha appena rallentato il tasso di infezione.

Aggiornato:  ricercatori di sicurezza multipli hanno sostenuto che non ci sono più campioni di WannaCry là fuori, con diverse ‘kill-switch’ domini e senza alcuna funzione kill-switch, continua a infettare i computer senza patch in tutto il mondo.

 wanna-cry-versione-2-0-codice.jpg

Codice WannaCry

 

Finora, oltre 237.000 computer in tutto 99 paesi in tutto il mondo sono stati infettati, e l’infezione è ancora in aumento, anche ore dopo che il kill switch è stata innescata dal 22-anno-vecchio ricercatore di sicurezza britannico dietro la maniglia Twitter ‘MalwareTech .’

Per chi non lo sapesse, è un WannaCry di malware follemente rapida diffusione ransomware che sfrutta uno SMB di Windows exploit per colpire a distanza un computer in esecuzione su versioni senza patch o non supportate di Windows.

wanna-cry-computer-infettati.jpg

Computer infettato in tutto il mondo

Una volta infettato, WannaCry analizza anche per altri computer collegati alla stessa rete, così analizza host casuali su Internet più ampio, a diffondersi rapidamente.

La SMB exploit, attualmente utilizzato da WannaCry, è stato identificato come EternalBlue, una raccolta di strumenti di hacking presumibilmente creati dalla NSA e successivamente scaricati da un gruppo hacker che si fa chiamare “ The Shadow Broker ” più di un mese fa.

Se la NSA aveva rivelato privatamente la falla utilizzata per attaccare gli ospedali quando hanno trovato * *, non quando hanno perso esso, questo non può essere accaduto.

Edward Snowden

wanna-cry-ransomware.jpg

300 dollari per i dati

MalwareTech fermato accidentalmente la diffusione globale della WannaCry registrando un nome di dominio nascosto nel malware.

hxxp: [.] // www iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea com [.]

Il suddetto dominio è responsabile della tenuta WannaCry moltiplicazione e diffondendo come un verme, come precedentemente spiegato che se il collegamento a questo dominio non riesce, il verme SMB procede per infettare il sistema.

Fortunatamente, MalwareTech registrato questo dominio in questione e ha creato una voragine – ricercatori tattica utilizzare per reindirizzare il traffico dai computer infetti ad un sistema di auto-controllo.
Aggiornato:  Matthieu Suiche, un ricercatore di sicurezza, ha confermato di aver trovato una nuova variante WannaCry con un dominio diverso per la funzione kill-switch, che ha registrato per destinarli ad un inghiottitoio nel tentativo di rallenta le infezioni.

hxxp: // ifferfsodp9ifjaposdfjhgosurijfaewrwergwea com / [.]

La variante WannaCry appena scoperto funziona esattamente come la variante precedente, che ha raso al suolo tutto il mondo Venerdì sera.

Ma, se state pensando che attivando il kill switch ha smesso completamente l’infezione, allora vi sbagliate.

Dal momento che la funzione kill-interruttore era in verme SMB, non nel modulo di ransomware in sé., “WannaCrypt ransomware è stata sparsa normalmente molto prima di questo e sarà molto tempo dopo, che cosa ci siamo fermati era la variante SMB verme,” MalwareTech detto a The Hacker News .

Si deve sapere che il kill-switch non impedirebbe il vostro PC senza patch venga contagiato, nei seguenti scenari:

wanna-cry-infezione-rete-locale.jpg

Local Area Network Infezione

  • Se si riceve WannaCry tramite una e-mail, un torrente dannoso, o di altri vettori (al posto del protocollo SMB).
  • Se per caso proprio ISP o antivirus o firewall blocca l’accesso al dominio dolina.
  • Se il sistema mirato richiede un proxy per accedere a Internet, che è una pratica comune nella maggior parte delle reti aziendali.
  • Se qualcuno fa il dominio sinkhole inaccessibile per tutti, come ad esempio utilizzando un attacco DDoS su larga scala.

Raiu di Kaspersky ha condiviso alcuni campioni, il suo team ha scoperto, con Suiche, che li analizzati e appena confermato che non v’è una variante WannaCrypt senza kill switch, e dotate di SMB exploit che avrebbe aiutato a diffuse rapidamente senza interruzioni.

Ciò che è peggio è che la nuova variante WannaCry senza un kill-switch che si ritiene essere creato da qualcun altro, e non gli hacker dietro il ransomware WannaCry iniziale.

“La versione patchata opaca descritta fa tentativo di diffondere. Si tratta di un set completo che è stato modificato da qualcuno con un editor esadecimale per disabilitare il kill switch “, ha detto Raiu.

“Dato l’alto profilo dell’attacco originale, che sta per essere una sorpresa a tutti di vedere attacchi copycat da altri, e forse altri tentativi di infettare ancor più computer dalla banda WannaCry originale. Il messaggio è semplice:. Patch i computer, indurire le difese, eseguire un decente anti-virus, e – per carità – assicurarsi di avere backup sicuri”esperto di sicurezza informatica  Graham Cluley  ha detto.

Aspettatevi una nuova ondata di attacchi ransomware, dagli attaccanti iniziali e quelli nuovi, che sarebbe difficile da fermare, e fino a meno di tutti i sistemi vulnerabili ottenere patch.

 

Prepararsi: Upgrade, Patch OS & SMBv1 Disabilita

MalwareTech anche  avvertito  della minaccia futura, dicendo  “E ‘molto importante [per] tutti [a] capire che tutto ciò che [gli attaccanti] hanno bisogno di fare è di cambiare un codice e ricominciare. Patch vostri sistemi ora!”

“Informed NCSC, FBI, ecc ho fatto tanto quanto io possa fare al momento, a ognuno il  patch”, ha aggiunto.

Come abbiamo avvertito oggi, Microsoft ha compiuto un passo insolito per proteggere i propri clienti con una versione non supportata di Windows – incluso Windows XP, Vista, Windows 8, Server 2003 e il 2008 – dal  rilascio di patch di sicurezza che fissano SMB difetto attualmente sfruttata dal ransomware WannaCry .

 

Annunci

Informazioni su vaturu

I am a sardinian patriot
Questa voce è stata pubblicata in Uncategorized. Contrassegna il permalink.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...