Pågående ransomware-kampanj (WannaCry/Wcry/WannaCrypt0r)

Säkerhet

13/05 2017

UPPDATERING: Det finns än så länge inga bevis för att WannaCry sprids via attachments i mail. Det verkar ha förvillats med ett annan ransomeware-kampanj ”Jaff” som varit aktivt samtidigt.

 

Således verkar WannaCry sprida sig som en nätmask endast

Jaff sprider som ett klassiskt ransomware-mail, bilden ovan är troligen således Jaff

Normal 0 21 false false false EN-GB X-NONE X-NONE MicrosoftInternetExplorer4

/* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman",serif;}

http://thehackernews.com/2017/05/wannacry-ransomware-unlock.html

http://thehackernews.com/2017/05/decrypt-jaff-ransomware-files.html

----------------------------------------------------------------------------------------------------------------------------

https://www.cert.se/2017/05/pagaende-ransomware-kampanj-wannacry-wcry-wannacrypt0r

Just nu pågår en omfattande ransomware-kampanj. Ett flertal länder är drabbade och däribland även Sverige.

Vad har hänt?

I detta fall är det en ny variant av WannaCry (benämns även Wcry eller WanaCrypt0r) som infekterar Windows-system och krypterar filer lokalt och möjligen även på fillagringsytor delade över nätverket. Efter en infektion så uppmanas den drabbade att betala en lösensumma för att få tillgång till de krypterade filerna[1].

Vi har inte kunna verifiera den initiala infektionsvektorn ännu.

Den här versionen av WannaCry har enligt uppgift från flera källor[1][2][7] maskliknande funktionalitet för att sprida sig och infektera andra nätverksanslutna system via en sårbarhet i SMB-protokollet version 1. Sårbarheten i fråga rättades av Microsoft den 14 mars 2017[3] och det har för en tid sedan dykt upp exempelkod som utnyttjar sårbarheten i ännu icke uppdaterade system.

Det här medför att WannaCry potentiellt kan sprida sig vidare väldigt snabbt på ett nätverk med sårbara nätverksanslutna datorer. Det är viktigt att rättningar för MS17-010[3] samt att även övriga säkerhetsuppdateringar från Microsoft installeras så snart som möjligt. Detta är det enskilt bästa sättet att skydda sig mot infektion.

Om det inte går att installera rättningar av någon anledning så är det viktigt att slå av stöd för SMBv1 på samtliga datorer som kör Windows. Det är även viktigt att inte tillåta åtkomst med SMB-protokollet (445/tcp) över internet.

Microsoft har publicerat information om hur deras kunder kan skydda sig mot WannaCry[6]. Microsoft har även släppt rättningar för ett antal operativsystem som inte får säkerhetsuppdateringar längre så att även dessa kan installera en rättning för MS17-010[5].

Vi har tidigare skrivit generellt om ransomware och hur det går att minimera effekterna samt hur en organisation kan förbereda sig[4].

CERT-SE avråder från att betala lösensumman då det bidrar till att finansiera vidareutveckling av skadlig kod, samt att det inte finns garantier för informationen blir upplåst.

Preventiva skyddsåtgärder för WannaCry

  • Installera säkerhetsuppdateringar för Windows och speciellt viktigt är uppdateringen MS17-010.
  • Säkerställ att processen för säkerhetsuppdateringar fungerar både för operativsystem och övrig mjukvara.
  • Tillåt inte åtkomst via SMB-protkollet direkt från internet, dvs stäng i brandväggar för inkommande 445/tcp.
  • Även 139/tcp kan vara värt att stänga då det finns indikationer på att även denna utnyttjas.
  • Använd istället VPN-anslutning för åtkomst till sådana tjänster.
  • Säkerställ att ni har fungerade säkerhetskopierings- och återställningsrutiner genom att öva dessa.
  • Segmentera nätet. Genom att inte tillåta kienter att kommunicera med andra klienter så minimeras skadeverkningarna.

Indikatorer

Microsoft anger en lista på de filer som skapas vid infektionstillfället som man även kan använda för att identifiera ett smittat system[6].

Ytterligare läsning

[1] http://blog.talosintelligence.com/2017/05/wannacry.html
[2] https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/
[3] https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
[4] https://www.cert.se/2015/11/cert-se-informerar-med-anledning-av-mangden-aokade-ransomware-attacker
[5] https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
[6] https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/
[7] https://blog.malwarebytes.com/threat-analysis/2017/05/the-worm-that-spreads-wanacrypt0r/

http://thehackernews.com/2017/05/wannacry-ransomware-unlock.html
What's interesting about this ransomware is that WannaCry attackers are leveraging a Windows exploit harvested from the NSA called EternalBlue, which was dumped by the Shadow Brokers hacking group over a month ago.
Microsoft released a patch for the vulnerability in March (MS17-010), but many users and organizations who did not patch their systems are open to attacks.

 

https://qz.com/982682/doctors-locked-out-of-patient-records-after-16-u-k-health-facilities-hit-by-ransomware-attack/
The National Health Service (NHS) says 16 of its organizations were attacked with ransomware today (May 12), locking doctors out of patient records and reportedly forcing emergency rooms to send patients to other hospitals.

 


http://blog.trendmicro.com/trendlabs-security-intelligence/massive-wannacrywcry-ransomware-attack-hits-various-countries/
Infection Vector
The vulnerability used in this attack (code named EternalBlue) was among those leaked by the Shadow Brokers group that was allegedly stolen from the National Security Agency (NSA). The vulnerability was exploited to drop a file on the vulnerable system which would then be executed as a service. This would then drop the actual ransomware file onto the affected system, encrypting files with the .WNCRY extension. (A separate component file for displaying the ransom note would also be dropped.) Files with a total of 166 extensions, including those commonly used by Microsoft Office, databases, file archives, multimedia files, and various programming languages.

Det har kommit in hel del sådana här mail i vår HoneyPot och de misstänks se ut enligt bifgot: Ett mail med en bifogad PDF som utger sig för att vara en scan. Avsändarens mail är alltid namn+siffror@domän.co.uk (vilket skulle förklara varför så många i England drabbats). Vi anmälde dessa till F-secure och ESET i torsdags varpå de gick ut med uppdateringar (DETTA VAR TROLIGEN JAFF OCH INTE WannaCry)

 


-----

Normal 0 21 false false false EN-GB X-NONE X-NONE MicrosoftInternetExplorer4

/* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman",serif;}

http://thehackernews.com/2017/05/wannacry-ransomware-unlock.html

http://thehackernews.com/2017/05/decrypt-jaff-ransomware-files.html

If you are following the news, by now you might be aware that a security researcher has activated a "Kill Switch" which apparently stopped the WannaCry ransomware from spreading further.

But it's not true, neither the threat is over yet.

However, the kill switch has just slowed down the infection rate.

Updated: Multiple security researchers have claimed that there are more samples of WannaCry out there, with different 'kill-switch' domains and without any kill-switch function, continuing to infect unpatched computers worldwide

Updated: Matthieu Suiche, a security researcher, has confirmed that he has found a new WannaCry variant with a different domain for kill-switch function, which he registered to redirect it to a sinkhole in an effort to slows down the infections.

Updated: However, Suiche also confirmed that the modified variant with no kill switch is corrupted, but this doesn't mean that other hackers and criminals would not come up with a working one.