Σάββατο, 27 Φεβρουαρίου, 10:32
Αρχική inet Πως σταμάτησε η μεγαλύτερη επίθεση ransomware

Πως σταμάτησε η μεγαλύτερη επίθεση ransomware

Χθες αναφέραμε για την μεγαλύτερη επίθεση ransomware που χρησιμοποιώντας ένα από τα exploit της NSA που διέρρευσαν πρόσφατα από την ομάδα Shadow Brokers, οι επιτιθέμενοι μπόρεσαν να προσβάλλουν υπολογιστές σε παγκόσμιο επίπεδο με το WannaCry (ένα exploit των Windows το οποίο ασπάστηκε από το εργαλείο EternalBlue της NSA). Η Microsoft έχει κυκλοφορήσει ήδη μια ενημέρωση για αυτήν την ευπάθεια, αλλά πολλοί χρήστες και οργανισμοί δεν έκαναν τον κόπο να ενημερώσουν τα συστήματά τους.

Το κακόβουλο λογισμικό μολύνει υπολογιστές, εκμεταλλευόμενο μια ευπάθεια για την κοινή χρήση αρχείων SMB. Παλαιότερες εκδόσεις των Windows επηρεάζονται περισσότερο από αυτό, ειδικά επειδή η Microsoft δεν υποστηρίζει πλέον τα Windows XP ή τα Windows (server) 2003.
Εγκαθιστά το Doublepulsar, ένα backdoor που επιτρέπει την τηλεχειρισμό του μολυσμένου μηχανήματος. Αυτό είναι ένα άλλο κλεμμένο εργαλείο της NSA που διέρρευσε παράλληλα με Eternalblue. Το κακόβουλο λογισμικό ελέγχεται επίσης μέσω του ανώνυμου δικτύου Tor, για να λαμβάνει περαιτέρω εντολές από τους δημιουργούς του.
ransomware

Όπως φαίνεται όμως στον κώδικα του κακόβουλου λογισμικού υπήρχε και ένας διακόπτης απενεργοποίησης με την μορφή ενός kill switch domain.

Τι σημαίνει αυτό με απλά λόγια; Όταν το κακόβουλο λογισμικό εντοπίσει ότι υπάρχει ένα συγκεκριμένο domain, σταματάει τις λοιμώξεις. Αυτό το domain δημιουργήθηκε (καταχωρήθηκε) νωρίτερα σήμερα από έναν ερευνητή, ο οποίος παρατήρησε το dot-com στο reverse-engineered binary. Όταν η καταχώριση εντοπίστηκε από το κακόβουλο λογισμικό, σταμάτησε αμέσως τη διανομή ransomware, και την παγκόσμια εξάπλωσή του.

Οι συνδέσεις στο μαγικό domain: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com οδηγούνται σε ένα διακομιστή στην Καλιφόρνια και οι διαχειριστές των μολυσμένων συστημάτων που φτάνουν το domain θα ειδοποιηθούν, αναφέρει ο ερευνητής.

“Οι διευθύνσεις IP έχουν σταλεί στο FBI και το ShadowServer, έτσι οι οργανισμοί που επηρεάζονται θα πρέπει να λάβουν σύντομα μια ειδοποίηση”, δήλωσε ο ερευνητής, ο οποίος παραδέχτηκε ότι πρώτα καταχώρησε το domain, και μετά συνειδητοποίησε ότι ήταν ένα kill switch.

Ακολουθούν μερικοί γρήγοροι σύνδεσμοι σε πολύ περισσότερες τεχνικές λεπτομέρειες που έχουμε συγκεντρώσει:

Η ομάδα Talos της Cisco ανέλυσε το κακόβουλο λογισμικό, περιγράφοντας τα συστατικά του.
Ένα αποκρυπτογραφημένο δείγμα του κακόβουλου λογισμικού υπάρχει εδώ.
Ένα exploit για το MS17-010 γραμμένο σε Python με παράδειγμα shellcode. Βασίζεται στο εργαλείο Eternalblue που έχει κλαπεί από την NSA και αναπτύχθηκε από τον infosec RiskSense. Αποκαλύπτει ότι το σφάλμα διακομιστή SMB είναι το αποτέλεσμα μιας υερχείλισης buffer στον κώδικα της Microsoft.

Μπορείτε να παρακολουθείτε τις λοιμώξεις σε πραγματικό χρόνο, από εδώ. Υπάρχουν τουλάχιστον 104.000 αναγνωρισμένοι μολυσμένοι ξενιστές παγκοσμίως.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

LIVE NEWS

Λος Άντζελες: Ιπτάμενα αυτοκίνητα στον ουρανό της πόλης μέχρι το 2024

Ένα βήμα πιο κοντά στο να γίνουν πραγματικότητα, βρίσκονται τώρα τα ιπτάμενα αυτοκίνητα, καθώς ένας από τους μεγαλύτερους παίκτες στον τομέα δεσμεύθηκε...

Πως να αποκρύψετε το Tab bar στο Safari για iPad (ή να το επαναφέρετε)

Από προεπιλογή, το Safari για iPad εμφανίζει μια γραμμή εργαλείων γεμάτη browser tabs όταν έχετε περισσότερες από μία καρτέλες ανοιχτές. Εάν προτιμάτε...

Ο Bill Gates λέει ότι προτιμά τα Android smartphone αντί των iPhone

Ο συνιδρυτής της Microsoft, Bill Gates, αυτή την εβδομάδα συμμετείχε στην πρώτη του συνάντηση με την εταιρεία Clubhouse, η οποία διαθέτει την...

Κυβερνοεγκληματίες προσφέρουν hacking υπηρεσίες σε κυβερνήσεις

Hacking ομάδες που εμπλέκονται σε διάφορα εγκλήματα στον κυβερνοχώρο, είναι πλέον τόσο εξειδικευμένες, που οι κυβερνήσεις κρατών τις χρησιμοποιούν για δικές τους...

Η Intel διόρθωσε σφάλματα στους drivers Wi-Fi και Wireless Bluetooth

Η Intel έχει αντιμετωπίσει ζητήματα στους drivers Wi-Fi και Wireless Bluetooth που προκαλούν σφάλματα BSOD στα Windows 10 και στις συσκευές Bluetooth...
00:03:10

Hyundai: Η ανάκληση 82.000 ηλεκτρικών οχημάτων θα είναι μια από τις πιο ακριβές στην ιστορία

https://www.youtube.com/watch?v=TJxiFe0HESw Η Hyundai θα ανακαλέσει 82.000 ηλεκτρικά αυτοκίνητα για να αντικαταστήσει τις μπαταρίες τους, καθώς έγιναν 15...
00:02:35

Το Star Wars: Republic Commando έρχεται σε PS4 και Nintendo Switch

https://www.youtube.com/watch?v=b1whMXAa8p8 Ήταν το 1977 όταν ο George Lucas μας έβαλε στον φανταστικό κόσμο του Star Wars, μέσω...

Npower: Απενεργοποιεί mobile app μετά από credential stuffing επιθέσεις

Μία από τις μεγαλύτερες εταιρείες ενέργειας του Ηνωμένου Βασιλείου, η Npower, αναγκάστηκε να απενεργοποιήσει το mobile app της, όταν έμαθε για μια...
00:10:11

Εικονική πραγματικότητα (VR): Τί είναι και πώς αλλάζει τη ζωή μας;

Συχνά ακούμε τον όρο Εικονική Πραγματικότητα (VR) σε καινοτομίες που αφορούν τον χώρο του gaming. Ωστόσο, αυτή η τεχνολογία δεν περιορίζεται μόνο...

Η γιγαντιαία εταιρεία Sequoia Capital αποκαλύπτει παραβίαση δεδομένων

Η αμερικανική εταιρεία VC, Sequoia Capital, αποκαλύπτει ότι δέχτηκε μια hacking επίθεση. Από την ίδρυση της το 1972, η εταιρεία επιχειρηματικών κεφαλαίων...