Egyéves lett a brutális vírus
A tavaly roppant nagy károkat okozó WannaCry zsaroló program a napokban ünnepli egyéves születésnapját. Ennek apropóján érdemes felidézni a károkozó legfontosabb sajátosságait, mert azok sok tanulsággal szolgálnak.Az ESET biztonsági cég szakemberei egy összefoglalót készítettek a WannaCry (más néven WannaCryptor) zsaroló program történetéről. Egy ilyen visszatekintő a számítógépes vírusok gyorsan változó világában akár feleslegesnek is tűnhet, de mégsem az. A szerzemény ugyanis számos olyan technikával rukkolt elő, amelyek napjainkban is jól rávilágítanak a vírusvédelem, valamint a patch management fontosságára.
Egy javított sebezhetőség segítette a károkozót
A WannaCry aktiválásához nem szükséges linkre vagy csatolmányra kattintani, mert a kártevő az EternalBlue névű, szoftveres sebezhetőség kihasználásával támad. Ezért különösen azon rendszerek esetében jelent kockázatot, amelyekben a fájl- és nyomtatómegosztásra használt Microsoft Server Message Block (SMB) összetevők elavultak, nem megfelelően frissítettek.
Az interneten a 445-ös (általában SMB-vel társított) nyitott portok után kutatva a támadók kihasználhatják az SMB hibáját, és telepíthetik a DoublePulsar nevű támadó eszközt. Ez egy hátsó kaput létesít, ami megnyitja az utat a hírhedt zsarol program előtt, amely települ, majd titkosítja a fájlokat.
Azt is fontos megjegyezni, hogy a Microsoft már a kártevő globális elterjedése előtt 59 nappal kiadott egy kritikus biztonsági frissítést, illetve jóval a támadások előtt figyelmeztette a felhasználókat, hogy az SMB első verziójának (SMBv1) használata sebezhetővé teheti a rendszereket, emiatt annak használata a továbbiakban nem javasolt.
Nem a pénzszerzés mitoválta a támadókat?
Az ESET egyik szakembere nemrégen mutatott rá arra, hogy a kártevő üzemeltetői nem tartották be a titkosított fájlok feloldására tett ígéreteket, pedig sok áldozat kifizette a váltságdíjat. A támadók nem is rendelkeztek olyan megoldással, amelynek révén megállapíthatták volna, hogy ki fizetett.
Elmondható, hogy az akció bizonyos szempontból pénzügyi kudarc volt a támadók számára, tekintettel a kampány terjedelmére és az okozott kár mértékére. A támadás mintegy 300.000 gépet veszélyeztetett, amelyek tulajdonosainak gépenként 300 dollárt (három nap után 600 dollárt) kellett volna fizetniük a titkosítást feloldó kulcsért. A WannaCryhoz társított három Bitcoin fiók tulajdonosai - eddig ismeretlen módon - július végén és augusztus elején kiürítették a számlájukat, amelyen körülbelül 52 bitcoin (140.000 dollár) volt. Az ESET szerint más zsarolóvírussal elkövetett támadások sokkal kevesebb áldozat megfertőzésével is dollármilliókat hoztak a kiberbűnözők konyhájára.
A fentiek ismeretében a biztonsági szakemberek úgy vélik, hogy a támadást nem a pénzszerzés motiválta, hanem az adatok megsemmisítése. De az is lehet, hogy egy kisebb akció irányítása csúszott ki a bűnözők kezéből.
A 10 dolláros megoldás
A WannaCry rombolását Marcus Hutchins, egy 22 éves angol kártevőelemző felfedezése állította meg. A kutató a kódmintákat vizsgálva észrevett egy sajátosságot: a kártevő megpróbált összekapcsolódni egy fura elnevezésű, regisztrálatlan domain címmel.
A szakember elkezdte vizsgálni a domaint, majd 10 dollárért regisztrálta is azt, amely a zsarolóvírus végét jelentette. Amikor a WannaCry csatlakozott a már élő, működő domainhez, akkor ahelyett, hogy megkezdte volna a terjedést és a lemezek titkosítását, egyszerűen leállt.
Azonban az ügy még egy fordulatot tartogatott: Hutchinst letartóztatták, és megvádolták a Kronos nevű banki trójai program fejlesztésével, terjesztésével. Később számos gyanús online személlyel való együttműködéssel is megvádolták. Jelenleg is őrizetben várja a tárgyalást. Ha a vád bebizonyosodik, akkor akár 40 évnyi börtönbüntetéssel is sújthatják.
-
A GLPI fejlesztői két veszélyes biztonsági résről számoltak be.
-
Öt biztonsági rést foltoztak be a GitLab fejlesztői.
-
A FreeRDP-hez öt patch vált elérhetővé.
-
A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.
-
A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.
-
Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.
-
A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.
-
A Firefox legújabb kiadása számos sebezhetőséget orvosolt.
-
A CrushFTP fejlesztői egy biztonsági rést foltoztak be.
-
A GNU C Library kapcsán egy veszélyes biztonsági résre derült fény.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.