We wrześniu 2016 roku media poinformowały o wycieku poufnych narzędzi NSA (National Security Agency).
Jeden z pracowników pozostawił je na publicznie dostępnym hoście i padły one łupem organizacji o nazwie Shadow Brokers. Zestaw tych narzędzi zawierał m.in. exploity (jeśli nie wiesz co to jest czytaj tutaj) do urządzeń komunikacyjnych Cisco i Fortinet. Przypuszcza się, że narzędzia te mogły zostać użyte do hakowania organizacji politycznych w ostatnich wyborach prezydenckich w USA.
Narzędzia te zostały wystawione na aukcji w darknecie i najwyraźniej znalazły nabywców. Prawdopodobne jest też to, że zostały udostępnione grupie hakerów w kwietniu tego roku. Szczególnym zainteresowaniem cieszyły się narzędzia zgromadzone w paczce (framework) o nazwie Fuzzbuzz.
WannaCrypt, WanaCrypt, WannaCry, Wannacrypt0r
Kilka dni temu doszło do największego w historii ataku ransomware pod nazwą WannaCrypt, który zainfekował tysiące komputerów w tym komputery w brytyjskiej służbie zdrowia. Wirus szyfrując wszystkie pliki odciął lekarzy od kartotek pacjentów co spowodowało nawet wstrzymanie przyjęć nagłych przypadków do szpitali. Inne dotknięte znane organizacje to FedEx, Deutche Bahn i Telefonica. Na szczęście WannaCrypt ma wiele cech wskazujących na pracę amatorów. W celu aktywacji odwołuje się do nieistniejącej strony www. Wygląda to tak jakby ktoś korzystał z gotowego szablonu i nie potrafił tego zmienić. Odkrył to 22-letni informatyk z UK, który stworzył taką stronę i w ten sposób zablokował aktywację wirusa.
Należy jednak zachować ostrożność bo na Twitterze pojawiają się informacje, że jest przygotowywana udoskonalona wersja tego wirusa. Czy da się przed nim zabezpieczyć? Odpowiedź na końcu artykułu.
Ransomware กลางเมืองเลยจย้าาาาาาาาา pic.twitter.com/HvMGzkkwLM
— คลิตอเรีย เมียด (@ALiCE6TY9) May 13, 2017
W tej chwili możemy się jeszcze cieszyć z udanej obrony przed WannaCrypt ale to może być zaledwie wstęp do kolejnych ataków z wykorzystaniem narzędzi NSA. Jednym z exploitów cieszącym się duzym zainteresowaniem na forach w darknecie jest ETERNALBLUE. Umożliwia on zdalne wykonanie kodu na starszych komputerach. Pomimo, że Microsoft wypuścił poprawkę łatającą tę lukę ocenia się, że liczba komputerów podatnych na ten atak może być ogromna. ETERNALBLUE jest składową wirusa WannaCrypt ale może być wykorzystywany do kolejnych ataków.
Here is a video showing ETERNALBLUE being used to compromise a Windows 2008 R2 SP1 x64 host in under 120 seconds with FUZZBUNCH #0day 😉 pic.twitter.com/I9aUF530fU
— Hacker Fantastic (@hackerfantastic) April 14, 2017
To nie pierwszy raz gdy narzędzia stworzone przez amerykańskie służby wpadają w ręce hakerów. Przypomnieć należy wirus stuxnet, stworzony do ataku na irańskie systemy nuklearne, który pozwolił na stworzenie całej gamy pochodnych wirusów, które nękają nas do dzisiaj.
Jak się zabezpieczyć przed wirusami typu ransomware w tym i WannaCrypt:
- wykonywać kopie istotnych danych na zewnętrznych nośnikach, w przypadku dysków muszą być one cały czas odłączone od komputera bo wirus może szyfrować pliki również na zewnętrznych dyskach
- nie uruchamiać i nie otwierać załączników do emaili
- skonfigurować w systemie shadow copies
- aktualizowac system operacyjny
- używać systemów odpornych na ataki (Linux, Apple)
Przeciwko wirusowi WannaCrypt pojawiło się oprogramowanie blokujące jego działanie. Program WCRYSLAP można pobrać z GitHub
Program instaluje się w systemie. Uwaga, po zainstalowaniu programu próba jego ponownego zainstalowania spowoduje pokazanie się komunikatu, że system już jest zainfekowany. Niestety po restarcie systemu konieczne jest ponowne uruchomienie WCRYSLAP. Można też w systemie zapisać, że program ten ma się sam uruchamiać przy starcie. Więcej o tym we wpisie Automatyczne uruchamianie programów przy starcie systemu Windows
Jeśli potrzebujesz pomocy w usunięciu ransomware lub chcesz się zabezpieczyć to kliknij TUTAJ
One thought on “WannaCrypt a wyciek danych z NSA”