211service.com
De WannaCry Ransomware-aanval had veel erger kunnen zijn

NSA-hoofdkwartier, waar softwarekwetsbaarheden in het geheim worden opgepot ... en vervolgens worden gestolen, gelekt en losgelaten op een nietsvermoedend publiek.
Je hebt misschien gehoord: een wereldwijde ransomware-aanval die bekend staat als WannaCry (en WannaCrypt en WannaDecryptor) begon op vrijdag en omvatte uiteindelijk zo'n 200.000 computers in 150 landen.
Maar het had veel erger kunnen zijn - en we hebben cyberbeveiligingsonderzoekers te danken dat ze ervoor hebben gezorgd dat dit niet het geval was.
Zelfs toen het nieuws vrijdag nog steeds de ronde deed dat computers in tientallen ziekenhuizen in het VK kwaadwillig werden vergrendeld en een bericht waarin losgeld werd geëist op hun schermen werd geplaatst, was een anonieme onderzoeker, bekend als MalwareTech, bezig de verdere verspreiding van het programma stop te zetten. .
Zoals zij gerapporteerd in een fascinerende blogpost , MalwareTech had een niet-geregistreerd URL-adres gevonden in de code van WannaCry. In de veronderstelling dat het adres iets te maken had met de manier waarop het virus communiceerde - een veelvoorkomend kenmerk in botnets en andere soorten malware - registreerde MalwareTech het domein en keek toe hoe het verkeer van duizenden geïnfecteerde computers binnenstroomde, waardoor de server die het domein host bijna overbelast raakte. Meestal is dit soort sinkhole-beweging een poging om een botnet te verstoren, bijvoorbeeld door het geven van opdrachten aan geïnfecteerde systemen.
In dit geval bleek het domein een kill-switch te zijn: op elk systeem dat contact maakte met de URL, sloot het virus zichzelf af. WannaCry was op weg naar buiten.
Zoals MalwareTech opmerkte, konden kwaadwillende programmeurs de code van WannaCry echter gemakkelijk wijzigen om in plaats daarvan een nieuw adres te pingen. En dat deden ze. Zondag besmette een nieuwe variant duizenden systemen in Rusland. Ook dat werd ingeperkt dankzij het snelle werk van een cybersecurity-onderzoeker .
Ondertussen nam Microsoft de ongebruikelijke stap om een patch te verspreiden voor een fout in de niet-ondersteunde versie van Windows die WannaCry misbruikte. De Amerikaanse National Security Agency was het hamsteren van de kwetsbaarheid , maar het was gelekt na de diefstal van de geheimen van het bureau door een hackgroep die bekend staat als de Shadow Brokers.
Helaas, zoals we eerder hebben aangegeven, is ransomware om één simpele reden een populaire vorm van cybercriminaliteit geworden: het loont . Het is ook moeilijk - hoewel niet onmogelijk - om te stoppen. Afgezien van de aanvallen van dit weekend, hebben criminelen een deel van het openbaar vervoersysteem van San Francisco en een ziekenhuis in Los Angeles afgesloten - in het laatste geval, waardoor het ziekenhuis $ 17.000 moest betalen om weer toegang te krijgen tot zijn bestanden.
De architecten van WannaCry waren op dezelfde manier op zoek naar een snelle beloning. Maar ze maakten het vrij gemakkelijk om het geld te volgen: de code van WannaCry bevatte de adressen van drie Bitcoin-portefeuilles. Maandagmiddag halverwege de middag zei een Twitter-bot die betalingen aan de portefeuilles bijhield, dat de accounts in totaal iets meer dan $ 55.000 in zich hadden.
De drie bitcoin-portefeuilles die zijn gekoppeld aan #Wil huilen ransomware heeft 209 betalingen ontvangen van in totaal 33.03734055 BTC ($ 55.426,46 USD).
— daadwerkelijk losgeld (@actual_ransom) 15 mei 2017
Dankzij een dergelijk onderzoek hebben sommige experts gespeculeerd dat degene die achter WannaCry zal niet durven proberen om geld op te nemen uit de portefeuilles, uit angst dat het hun dekmantel zal blazen. De som zelf kan hen ook een pauze geven. Natuurlijk, het is veel geld, maar het had veel meer kunnen zijn.
(Lees verder: Malware-technologie , Los Angeles Times , BBC , Kwarts , Gegevens gegijzeld: de perfecte internetcriminaliteit? , Twee manieren om Ransomware op zijn sporen te stoppen)