WannaCry saldırıları sadece bir başlangıç, uzmanlar uyarıyor

Binlerce Cuma başlattı WannaCry fidye saldırı hazırlıksız yakalandı. Bu hızla yayılan tehdit geliştikçe, siber suçluların bu ve benzeri güvenlik açıklarından faydalanmaya çalışması muhtemeldir.

Bir ransomware programı olarak, WannaCry'nin kendisi bu kadar özel ya da sofistike değildir. Aslında, programın daha önceki bir versiyonu Mart ve Nisan aylarında dağıtıldı ve onun uygulanması ile yargılamak, yaratıcıları çok yetenekli değil.

Daha önceki WannaCry saldırıları ve sonuncusu arasındaki fark solucan benzeri bir Sunucu İleti Bloğu 1.0 (SMBv1) protokolünün Windows uygulamasında kritik bir uzaktan kod yürütme güvenlik açığı kullanarak diğer bilgisayarlara bulaşıyor.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Microsoft, bir yama yayımladı Mart'taki bu güvenlik açığı ve Cuma günkü saldırının zirvesinde, Windows XP, Windows Server 2013 ve Windows 8 gibi artık desteklenmeyen daha eski Windows sürümleri için düzeltmelerin bırakılması olağandışı bir adım attı.

WannaCry saldırganları, SMB temelli enfeksiyon bileşenini inşa etmek için pek çok işe yaramadılar; çünkü, basit bir şekilde, Shadow Brokers adındaki bir grup tarafından Nisan ayında sızdırılmış bir istismar uyarladılar. EternalBlue kod adlı istismarın, ABD Ulusal Güvenlik Ajansı'na bağlı bir ekip olduğuna inanılan bir siberpresyon grubu olan Denklem'in cephaneliğinin bir parçası olduğu iddia ediliyor.

EternalBlue'dan Cuma günü yayınlanan WannaCry versiyonu Bir tuhaflık: Kayıtsız bir alan ile temas kurmaya çalıştı ve infazını durdurarak ulaşabileceği zaman infazını durdurdu. Çevrimiçi takma MalwareTech'i kullanan bir araştırmacı, bunun bir kill anahtarı olarak kullanılabildiğini ve fidye yazılımın yayılmasını yavaşlatmak için alanın kendisini kaydettirdiğini fark etti.

O zamandan beri araştırmacılar birkaç versiyon daha keşfettiler: Araştırmacıların da kayıt yapmayı başardıkları farklı bir alan adıyla iletişim kurun ve görünür bir öldürme anahtarı bulunmuyor. Ancak, ikinci versiyonu işlevsel olmayan ve elle ziyade orijinal kaynak kodundan yeniden derledikten yerine, kesme düğmesini kaldırmak için ikili yamalı biri tarafından bir test olmuş gibi görünmektedir. Bu, araştırmacıların orijinal yazarların çalışmalarının büyük olasılıkla olmadığı sonucuna vardı.

Ayrıca, BleepingComputer.com bilgisayar destek uzmanları şimdiye kadar dört imitasyon gördü. Bu diğer programlar çeşitli geliştirme aşamalarındadır ve WannaCry olarak maskelenmeye çalışmaktadırlar, hatta bazıları bu noktada dosyaları şifrelemeye bile yatkın değildir.

Bu, hem WannaCry yazarlarından hem de diğer siber suçlulardan gelen saldırıların, büyük olasılıkla devam edecek ve yamalar mevcut olsa da, bir çok sistemin bir süre için savunmasız kalması muhtemeldir.

Sonuçta, güvenlik üreticileri hala Conficker bilgisayarına izin veren Windows güvenlik açığı MS08-067 için başarılı bir şekilde sömürü girişimleri görüyorlar. 9 yıl önce yayınlanacak solucan.

Bitdefender'ın baş güvenlik stratejisti Catalin Cosoi, "Daha iyi hale gelmeden önce daha da kötüye gidecektir, çünkü önümüzdeki 12 ay boyunca en ciddi tehditlerden biri olacak." EternalBlue savunmasızlığı ve devam etmekte olan saldırılarla ilgili bir blog yazısı.

Devlet destekli siberespionaj gruplarının da, SMB kusurundan gizlice artalanları geri çekebileceğine inanıyor. bilgisayar savunucuları çok daha görünür ransomware saldırısı ile uğraşırken.

Internet çapında taramalarda uzmanlaşan Güvenlik firması BinaryEdge, SMB servisinin internete maruz kaldığı 1 milyondan fazla Windows sistemi tespit etti. Bu sayı, WannaCry'den etkilenen 200.000 makineden çok daha yüksek, bu yüzden daha fazla saldırı ve mağdur potansiyeli var.

WannaCry'nin başarısı, çok sayıda kuruluşun yamalar üzerinde geride kaldığını ve pek çoğunun eski Windows sürümlerini çalıştıran eski sistemlere sahip olduğunu gösterdi. Bir ölçüde, bu anlaşılabilir bir durumdur, çünkü çok sayıda sisteme sahip ortamlarda yamalar yerleştirmek kolay bir iş değildir. İşletmelerin, mevcut uygulamalarla uyumluluk sorunları olmadığından ve mevcut iş akışlarını kırmadıklarından emin olmak için yüklemeden önce yamaları test etmeleri gerekir.

Diğer durumlarda, kuruluşlar, mali kaynaklara sahip olmaksızın desteklenmeyen Windows sürümlerini çalıştıran belirli sistemlerde kalmış olabilir. yükseltmek veya değiştirmek için. Bu, ATM'lerde, tıbbi cihazlarda, bilet makinelerinde, havalimanlarında olduğu gibi elektronik self servis kiosklarında ve hatta kolayca yeniden yapılamayan eski uygulamaları çalıştıran sunucularda da geçerlidir.

Bununla birlikte, Bu sistemleri korumak için, erişimin sıkı bir şekilde kontrol edildiği ya da gereksiz protokol ve hizmetlerin devre dışı bırakıldığı ağ bölümlerinde izole etmek gibi. Microsoft şirketleri bir süredir SMBv1'i kullanmayı bırakmaya ikna etmeye çalışmaktadır, çünkü bu kusurdan başka problemler de vardır.

"Belli organizasyonlar veya sektörler - örneğin tıbbi - yamaların basit bir mesele olmadığı", Güvenlik açığı istihbarat firması Risk Based Security'deki baş araştırma görevlisi Eiram, e-posta yoluyla yaptığı açıklamada bulundu. "Bu durumlarda, riskleri doğru bir şekilde anlamak ve tehdidi sınırlamak için geçici çözümlere bakmak zorunludur."

WannaCry'nin başarısı, en azından hızlı dağıtım söz konusu olduğunda, siber suçlulara kanıtlanmıştır. Eski istismarlar yoluyla hedeflenebilen kurumsal ağlar. Gölge Komisyoncuları tarafından sızdırılan diğer Denklem / NSA istismarlarını kullanmaya çalışacaklar ya da LAN'larda benzer kütle-ölçekli saldırılara olanak tanıyan gelecekteki kusurlar için sömürüleri benimsemeyi daha çabuk isteyeceklerdir.

"EbediBlue istismar daha büyük bir parçanın parçası. Bitdefender'daki kıdemli e-tehdit analisti Bogdan Botezatu e-posta ile yaptığı açıklamada, 'Kayıp Çeviri' adlı basit sızıntılardan son derece ciddi olanlara kadar çok çeşitli güvenlik açıklarını içeren sızıntı olduğunu söyledi. “Hükümet düzeyindeki bu istismarların çoğunun bunu kamuya açık hale getirmesini ve geçmişte olduğu gibi ticari dereceli kötü amaçlı yazılımlarla birleştirilmesini bekliyoruz.”

Bu arada, Eiram çok fazla insanın olacağına inanıyor. Gelecekte benzer ransomware saldırılarına izin veren güvenlik açıkları.

"Bundan bir saniyeliğine şüphe etmiyorum" dedi. "Her yıl bu tür güvenlik açıklarını görüyoruz."