Adakah WannaCry Versi 2 ?
Jika
Anda mengikuti berita tersebut, sekarang Anda mungkin sadar bahwa
periset keamanan telah mengaktifkan "Kill Switch" yang tampaknya
menghentikan uang tebusan WannaCry agar tidak menyebar lebih jauh.
Tapi itu tidak benar, ancamannya belumlah berakhir.
Namun, sakelar pembunuh baru saja memperlambat laju infeksi.
Beberapa periset keamanan telah mengklaim bahwa ada lebih banyak sampel WannaCry di luar sana, dengan domain 'kill-switch' yang berbeda dan tanpa fungsi kill-switch, terus menginfeksi komputer yang tidak dipatenkan di seluruh dunia (temukan lebih banyak rincian di bawah ini).
Beberapa periset keamanan telah mengklaim bahwa ada lebih banyak sampel WannaCry di luar sana, dengan domain 'kill-switch' yang berbeda dan tanpa fungsi kill-switch, terus menginfeksi komputer yang tidak dipatenkan di seluruh dunia (temukan lebih banyak rincian di bawah ini).
Sejauh ini, lebih dari 237.000 komputer di 99 negara di seluruh dunia telah terinfeksi, dan infeksi tersebut masih meningkat bahkan berjam-jam setelah tombol pembunuh dipicu oleh peneliti keamanan Inggris berusia 22 tahun di balik gagang twitter ' MalwareTech '.
Bagi mereka yang tidak sadar, WannaCry adalah malware ransomware yang sangat cepat menyebar yang memanfaatkan Windows SMB untuk mengeksekusi komputer yang menjalankan Windows versi yang tidak dipasangkan atau tidak didukung.
Sejauh
ini, Penjahat di belakang WannaCry Ransomware telah menerima hampir 100
pembayaran dari korban, total 15 Bitcoin, setara dengan USD $ 26.090.
Setelah terinfeksi, WannaCry juga memindai komputer rentan lainnya yang terhubung ke jaringan yang sama, sekaligus memindai host acak di Internet yang lebih luas, untuk menyebar dengan cepat.
Eksploitasi SMB, yang saat ini digunakan oleh WannaCry, telah diidentifikasi sebagai EternalBlue, kumpulan alat hacking yang diduga dibuat oleh NSA dan kemudian dibuang oleh kelompok hacking yang menamakan dirinya " The Shadow Brokers " lebih dari sebulan yang lalu.
Jika NSA secara pribadi mengungkapkan kelemahan yang digunakan untuk
menyerang rumah sakit ketika mereka menemukannya, bukan saat mereka
kehilangannya, ini mungkin tidak terjadi," kata pelapor whiterblower
NSA, Edward Snowden.
Dalam dua artikel
sebelumnya, kami telah mengumpulkan lebih banyak informasi tentang
kampanye uang tebusan besar ini, menjelaskan bagaimana MalwareTech
secara tidak sengaja menghentikan penyebaran WannaCry secara global
dengan mendaftarkan nama domain yang disembunyikan di perangkat lunak
jahat.
Domain yang disebutkan di atas bertanggung jawab untuk menjaga agar
WannaCry menyebar dan menyebar seperti worm, seperti yang telah saya
jelaskan sebelumnya bahwa jika koneksi ke domain ini gagal, worm SMB
akan menginfeksi sistem.
Untungnya, MalwareTech mendaftarkan domain ini yang dipermasalahkan dan membuat periset sinkhole - tic digunakan untuk mengarahkan lalu lintas dari mesin yang terinfeksi ke sistem yang dikontrol sendiri
Kill-Switch untuk WannaCry? Tidak, ini belum berakhir!
Hxxp: // www [.] Iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] Com
Untungnya, MalwareTech mendaftarkan domain ini yang dipermasalahkan dan membuat periset sinkhole - tic digunakan untuk mengarahkan lalu lintas dari mesin yang terinfeksi ke sistem yang dikontrol sendiri
Matthieu Suiche, seorang peneliti keamanan, telah mengkonfirmasi bahwa ia telah menemukan varian WannaCry baru dengan domain yang berbeda untuk fungsi kill-switch, yang ia daftarkan untuk mengalihkannya ke lubang pembuangan dalam upaya memperlambat infeksi.
Hxxp: // ifferfsodp9ifjaposdfjhgosurijfaewrwergwea [.] Com /
Tapi, jika Anda berpikir bahwa mengaktifkan saklar membunuh telah benar-benar menghentikan infeksi, maka Anda salah.
Karena fitur kill-switch ada di worm SMB, bukan di ransomware module itu sendiri. "WannaCrypt ransomware tersebar normal jauh sebelum ini dan akan lama, apa yang kita berhenti adalah varian worm SMB," MalwareTech mengatakan kepada The Hacker News .
Anda harus tahu bahwa kill-switch tidak akan mencegah PC yang belum terpakai terinfeksi, dalam skenario berikut:
- Jika Anda menerima WannaCry melalui email, torrent berbahaya, atau vektor lainnya (bukan protokol SMB).
- Jika kebetulan ISP atau antivirus atau firewall Anda memblokir akses ke domain lubang pembuangan.
- Jika sistem yang ditargetkan membutuhkan proxy untuk mengakses Internet, yang merupakan praktik umum di sebagian besar jaringan perusahaan.
- Jika seseorang membuat domain lubang pembuangan tidak dapat diakses untuk semua orang, seperti dengan menggunakan serangan DDoS skala besar.
WannaCry 2.0, Ransomware Dengan * NO * Kill-Switch Ada di Hunt!
Awalnya, bagian cerita ini didasarkan pada penelitian seorang peneliti keamanan, yang sebelumnya mengklaim memiliki sampel ransomware WannaCry baru yang tidak dilengkapi dengan fungsi mematikan. Tapi untuk beberapa alasan, dia mundur. Jadi, kami telah menghapus referensi dari cerita ini untuk saat ini.Namun, tak lama setelah itu, kami dikonfirmasi oleh Costin Raiu , direktur tim riset dan analisis global di Kaspersky Labs, bahwa timnya telah melihat lebih banyak sampel WannaCry pada hari Jumat yang tidak memiliki saklar pembunuhan.
"Saya bisa memastikan bahwa kami memiliki versi tanpa koneksi mematikan beralih sejak kemarin," kata The Hacker News.
WannaCry 2.0 adalah Karya Orang Lain
Raiu dari Kaspersky berbagi beberapa sampel, timnya menemukan, dengan Suiche, yang menganalisisnya dan baru mengkonfirmasi bahwa ada varian WannaCrypt tanpa kill switch, dan dilengkapi dengan exploit SMB yang akan membantu penyebarannya dengan cepat tanpa gangguan.Yang lebih parah lagi adalah varian WannaCry baru tanpa kill-switch yang diyakini diciptakan oleh orang lain, dan bukan para hacker di balik ransomware WannaCry awal.
"Versi tambat matt yang dijelaskan berusaha menyebar. Ini adalah rangkaian lengkap yang dimodifikasi oleh seseorang dengan editor hex untuk menonaktifkan tombol bunuh," kata Raiu kepada saya
Namun, Suiche juga menegaskan bahwa varian yang dimodifikasi tanpa
saklar pembunuhan rusak, tapi ini tidak berarti bahwa peretas dan
penjahat lainnya tidak akan menghasilkan yang bekerja.
"Mengingat tingginya profil serangan asli, tidak mengherankan jika melihat serangan peniru dari orang lain, dan mungkin upaya lain untuk menginfeksi lebih banyak komputer dari gerombolan WannaCry yang asli. Pesannya sederhana: Patch komputer Anda, kencangkan. Pertahanan Anda, jalankan anti virus yang layak, dan - demi kebaikan - pastikan Anda memiliki backup yang aman. " Pakar keamanan Cyber Graham Cluley mengatakan kepada The Hacker News.
"Mengingat tingginya profil serangan asli, tidak mengherankan jika melihat serangan peniru dari orang lain, dan mungkin upaya lain untuk menginfeksi lebih banyak komputer dari gerombolan WannaCry yang asli. Pesannya sederhana: Patch komputer Anda, kencangkan. Pertahanan Anda, jalankan anti virus yang layak, dan - demi kebaikan - pastikan Anda memiliki backup yang aman. " Pakar keamanan Cyber Graham Cluley mengatakan kepada The Hacker News.
Harapkan gelombang baru serangan ransomware, oleh penyerang awal dan
yang baru, yang akan sulit dihentikan, sampai dan kecuali semua sistem
yang rentan ditambal.
"Serangan berikutnya tidak bisa dihindari, Anda cukup menambal sampel yang ada dengan editor hex dan akan terus menyebar," Matthew Hickey , pakar keamanan dan rekan pendiri Hacker House.
"Kami akan melihat sejumlah varian serangan ini selama beberapa minggu dan bulan mendatang sehingga sangat penting untuk menambal host. Worm ini dapat dimodifikasi untuk menyebarkan muatan lain bukan hanya WCry dan kami mungkin melihat kampanye malware lainnya yang membabi buta dari keberhasilan sampel ini."
Bahkan setelah serangan WannaCry menjadi berita utama di seluruh Internet dan Media, masih ada ratusan ribu sistem yang tidak dipasangkan di luar sana yang terbuka untuk Internet dan rentan terhadap hacking.
"Fungsi worm berfungsi untuk menginfeksi mesin Windows yang tidak terpakai di jaringan lokal Pada saat bersamaan, ia juga melakukan pemindaian besar-besaran pada alamat IP Internet untuk menemukan dan menginfeksi komputer rentan lainnya. Kegiatan ini menghasilkan lalu lintas SMB yang besar dari host yang terinfeksi, Kata Microsoft
"Serangan berikutnya tidak bisa dihindari, Anda cukup menambal sampel yang ada dengan editor hex dan akan terus menyebar," Matthew Hickey , pakar keamanan dan rekan pendiri Hacker House.
"Kami akan melihat sejumlah varian serangan ini selama beberapa minggu dan bulan mendatang sehingga sangat penting untuk menambal host. Worm ini dapat dimodifikasi untuk menyebarkan muatan lain bukan hanya WCry dan kami mungkin melihat kampanye malware lainnya yang membabi buta dari keberhasilan sampel ini."
Bahkan setelah serangan WannaCry menjadi berita utama di seluruh Internet dan Media, masih ada ratusan ribu sistem yang tidak dipasangkan di luar sana yang terbuka untuk Internet dan rentan terhadap hacking.
"Fungsi worm berfungsi untuk menginfeksi mesin Windows yang tidak terpakai di jaringan lokal Pada saat bersamaan, ia juga melakukan pemindaian besar-besaran pada alamat IP Internet untuk menemukan dan menginfeksi komputer rentan lainnya. Kegiatan ini menghasilkan lalu lintas SMB yang besar dari host yang terinfeksi, Kata Microsoft
Percayalah, strain baru malware WannaCry 2.0 tidak akan memakan banyak
waktu untuk mengambil alih seratus ribu sistem rentan lainnya.
Sumber: thehackernews.com
Komentar
Posting Komentar