2年后WannaCry勒索软件继续肆虐
安全研究人员一直在追踪WannaCry勒索软件的动向,他们发现在过去两年中,该勒索软件已经传播到近500万易受攻击设备。
最初的WannaCry攻击发生在2017年5月,当时造成巨大破坏,直到安全研究员Marcus“MalwareTech” Hutchins通过注册恶意软件代码中发现的虚拟URL无意中发现该勒索软件的紧急开关(kill switch)。然而,虽然该紧急开关可阻止勒索软件加密系统数据,但Malwarebytes研究人员观察到WannaCry仍然在继续传播到易受攻击的系统。
根据Malwarebytes研究显示,WannaCry感染率一直在下降,但在过去两年中仍有超过480万个WannaCry感染。
尽管WannaCry继续传播, Malwarebytes实验室主任Adam Kujawa表示,感染几乎没有危险,因为“在受害者系统上加载新的勒索软件会更容易”,而不是试图激活休眠的WannaCry。
Kujawa通过电子邮件写道:“为了执行预先存在的感染的加密例程,攻击者必须修改运行内存中的值以强制程序跳转到其加密例程,或者通过添加紧急开关URL并指向到无意义的IP地址来修改系统的主机文件,然后强制系统重启。攻击者也可以破坏DNS服务器,并将紧急开关URL指向任何东西。然后,任何被感染并连接到该服务器的系统都可能激活加密。但这确实不太可能发生。”
根据Malwarebytes研究人员的说法,仍然有成千上万的系统容易受到EternalBlue和EternalRomance漏洞利用的攻击,Wannacry勒索软件正是利用这些漏洞利用来自动传播,而这些未修补的系统也正在为新的恶意软件敞开大门。
EternalBlue和EternalRomance主要瞄准Windows中Server Message Blockv1协议中的目标漏洞。该问题可通过过滤SMB流量或安装2017年5月发布的Microsoft补丁来缓解。
Kujawa称:“还有很多WannaCry检测,因为仍有样本在互联网上游荡。然而,最让人担心的是,像Emotet和TrickBot这样的新一代特洛伊木马,它们正在利用WannaCry相同的机制,试图制造巨大破坏。目前有数百万系统易受恶意软件攻击。企业和消费者都应该定期更新他们的系统,并将其作为首要任务。”
Alphabet公司的网络安全子公司Chronicle的应用情报负责人Brandon Levene表示,来自Malwarebytes的WannaCry感染数字似乎是合理的,因为“VirusTotal已经看到了超过500,000个不同的WannaCry副本,平均每天有211个新样本。”
Levene 指出:“WannaCry仍然是可行的勒索软件,即使是最基本的威胁攻击者也可以轻易修改它。虽然系统可能会针对传播机制EternalBlue进行修补,但安装该恶意软件的主机仍然可以被加密。命令和控制[C2]服务器保持活动状态,但在研究人员的控制下,加密不会发生。WannaCry会检查C2是否响应;如果是,则不会对目标进行加密。如果出于某些原因,C2宕机-或者网络管理员要阻止他们使用其网络 – 勒索软件将会启动。”
虽然Kujawa建议企业修复系统,但他承认,系统仍然容易受到攻击,“很多这些系统可能只是在企业网络的角落里处于休眠状态。”
Kujawa说:“自2017年以来,我们观察到WannaCry感染检测的稳定下降,看起来,至少,时间会使这些系统老化,它们将被更换或升级,它们的漏洞会被修补,并且,感染会被清除。”
在一篇关于WannaCry周年纪念的博客文章中,位于波士顿的Rapid7的首席数据科学家Bob Rudis写道,使用EternalBlue的恶意软件仍有很多潜在的目标。
Rudis称:“当你试图在互联网上查找暴露的Microsoft Windows Server消息块(SMB)节点时,根据你扫描的方式、扫描的位置以及你的计算方式,你将获得500,000到100万之间的任意数字。基于EternalBlue的SMB探测和攻击绝对是互联网背景噪音‘新常态’的一部分,攻击者(机会主义者或其他方式)使用他们最新、最好的代码和技术,具有几乎完美的免疫性,所以他们一旦在你的企业中获得立足点,便能获得更大的成功。”邹铮译