Χθες μέσα από μια σειρά δημοσιεύσεων, γνωστοποιήσαμε ότι γνωρίζουμε για την μεγαλύτερη επίθεση ransomware που ξεκίνησε την Παρασκευή που μας πέρασε. Χρησιμοποιώντας ένα από τα exploit της NSA που διέρρευσαν πρόσφατα από την ομάδα Shadow Brokers, οι επιτιθέμενοι μπόρεσαν να προσβάλλουν υπολογιστές σε παγκόσμιο επίπεδο με το WannaCry (ένα exploit των Windows το οποίο ασπάστηκε από το εργαλείο EternalBlue της NSA).
Η Microsoft έχει κυκλοφορήσει ήδη αρκετές ενημερώσεις για αυτήν την ευπάθεια, αλλά πολλοί χρήστες και οργανισμοί δεν έκαναν τον κόπο να ενημερώσουν τα συστήματά τους.
Η εταιρεία μπροστά από τα καταστροφικά αποτελέσματα του worm που συνεχίζει να εξαπλώνεται, έκανε την υπέρβαση και κυκλοφόρησε ενημερωμένες εκδόσεις ακόμα και για συστύματα που δεν υποστηρίζει πια: Windows XP, Windows (server) 2003 και Windows 8.
Χθες αναφέραμε επίσης ότι στον κώδικα του κακόβουλου λογισμικού υπήρχε και ένας διακόπτης απενεργοποίησης με την μορφή ενός kill switch domain.
Τι σημαίνει αυτό με απλά λόγια; Όταν το κακόβουλο λογισμικό εντοπίσει ότι υπάρχει ένα συγκεκριμένο domain, σταματάει τις λοιμώξεις. Αυτό το domain δημιουργήθηκε (καταχωρήθηκε) νωρίτερα σήμερα από έναν ερευνητή, ο οποίος παρατήρησε το dot-com στο reverse-engineered binary. Όταν η καταχώριση εντοπίστηκε από το κακόβουλο λογισμικό, σταμάτησε αμέσως η διανομή ransomware, και την παγκόσμια εξάπλωσή του.
Ας διευκρινίσουμε όμως καλύτερα τι κάνει το kill switch:
Το kill switch δεν μπορεί να βοηθήσει τις συσκευές που έχουν ήδη μολυνθεί και έχουν κλειδωθεί με WannaCry.
Με την καταχώρηση του domain και στη συνέχεια την κατεύθυνση της κυκλοφορίας σε ένα περιβάλλον διακομιστή που προορίζεται για να καταγράφει και να κρατάει την κακόβουλη κίνηση (sinkhole) ο MalwareTech ουσιαστικά αγόρασε χρόνο για συστήματα που δεν έχουν μολυνθεί ήδη.
“Ευτυχώς, ο MalwareTech διέθετε την υποδομή δημιουργίας ενός “sinkhole”, αναφέρει ο Darien Huss, senior security research engineer στην εταιρεία ασφαλείας Proofpoint.
“Αν κάποιος είχε αγοράσει το doamin και δεν είχε προετοιμαστεί τότε θα βλέπαμε πάρα πολλές λοιμώξεις αυτή τη στιγμή.”
Εάν η εγκατάσταση δεν είχε αρκετό χώρο και ο server δεν είχε αρκετό εύρος ζώνης, το κακόβουλο λογισμικό δεν θα παγιδευτεί και δεν θα αυτοκαταστρεφόταν.
Να προσθέσουμε ότι η ανακάλυψη του MalwareTech δεν είναι κάποια μόνιμη λύση. Το μόνο που χρειάζεται για να ξεκινήσει και πάλι, είναι ένα νέο στέλεχος του WannaCry του οποίου ο κώδικας θα αποκλείει το kill switch ή θα χρησιμοποιεί μια πιο εξελιγμένη γεννήτρια URL αντί μια στατική διεύθυνση IP.
Παρόλα αυτά, η ανακάλυψη του MalwareTech έχει βοηθήσει στην επιβράδυνση της διαδικασίας.
Ευελπιστούμε ότι με τόσους πολλούς αναλυτές ασφαλείας που παρατηρούν, και αναλύουν την συμπεριφορά του κακόβουλου λογισμικού WannaCry με αντίστροφη μηχανική, κάποιος άλλος θα βρει τελικά μια μονιμότερη λύση απενεργοποίησης του. Κάθε λεπτό μετράει….