Gamle norske legender snakker om en massiv slange som heter Jörmungandr, så stor at den omkranser verden og holder sin egen hale i tennene.

Fantastiske legender som disse blir ofte bare omtalt i myter, men i fredags opplevde vi fødselen av en ekte digital "verdenslangemasse", en orm som spredte seg så langt at den har omgjort kloden, infiserte tjenester som Storbritannias nasjonale Helse og store selskaper i andre deler av verden som Telefónica i Spania.

Selv om eksperter fremdeles prøver å finne ut hvordan denne ormen fortsetter å spre seg og hvordan å motvirke trusselen, har vi en god ide om hva som skjedde og hvordan du kan gjøre noe for å forhindre skade på systemet ditt.

Hva skjedde?

Den 12. mai 2017 fant et enormt cyberangrep sted av et ukjent stykke ransomware (les mer om ransomware her). Etter hvert som WannaCry fikk navnet, klarte det å infisere et uovertruffen 230 000 systemer spredt over 150 land, ved hjelp av en kombinasjon av phishing og utnyttelse av ikke-oppdaterte systemer gjennom lokale servermeldingsblokker (SMB).

Ransomware ville låse deg ut av filene dine og vise deg en skjerm (vist nedenfor) som krevde $ 300 i Bitcoin innen tre dager for å få tilgang til dem, ellers ville prisen dobles.

Selv om dette er hvordan ransomware vanligvis opererer, var det et lite hitch som gjorde at det spredte seg enda raskere. WannaCry benyttet seg av en feil i SMB (som er ansvarlig for fil- og skriverdeling) som tillot det å spre seg til andre datamaskiner innenfor samme delnett. Det tok bare infeksjonen av en enkelt datamaskin å pakke hele nettverket. Dette er i utgangspunktet det som gjorde infeksjonen et mareritt for NHS og andre store institusjoner.

Kanskje en mer bemerkelsesverdig ting å nevne her er det faktum at SMB-utnyttelsen ble tatt fra NSA-hacking toolkit lekkasje over en måned siden. Vi har rapportert om en lignende lekkasje av CIAs Vault 7-filer, som også inneholdt en rekke fungerende utnytninger som i hvert øyeblikk kunne brukes av hackere til å skrive lignende malware.

The Kill Switch

Noen ukjente sikkerhetsforskere som går ved kallenavnet "MalwareTech" registrerte et domene som ble funnet i WannaCrys kode som stoppet spredningen av programvaren. Du ser, hver gang malware skulle kjøre på en datamaskin, ville det sjekke for å se om domenet eksisterer (det er iuqerfsodp9ifjaposdfjhgururfafawrwergwea.com, forresten). Skulle det bli registrert, ville malware være i stand til å koble seg til det, og ved å gjøre det, ville det umiddelbart stoppe spredning. Det ser ut til at hackeren som skrev den ønsket å teste vannet og ha en beredskapsplan i tilfelle ting går helt haywire. Dette serendipitøse øyeblikket stoppet ransomware fra å gjøre mer ødeleggelse ... i hvert fall for nå.

Her er den dystre sannheten: Det er ingen lykkelig slutt her. Dekompil koden, og du kan enkelt finne brikkene der programmet kaller WinAPI-funksjonene "InternetOpenURLA ()" eller "InternetOpenA ()." Til slutt vil du kunne redigere utklippet der den prøver å koble til drepingen bytt domene. Det krever ikke en ekstraordinær dyktig programmør å gjøre dette, og hvis noen hacker får den lyse ideen om å lage en ny versjon av WannaCry med kill-bryteren redigeres før alle lapper sine systemer, vil spredningen fortsette. Mer oppsiktsvekkende hackere vil til og med redigere Bitcoin-kontoen at betalinger må gå til og gi et heftig overskudd.

Versjoner av WannaCry med forskjellige drepebryter domener er allerede blitt oppdaget i naturen, og vi har ennå ikke bekreftet om en versjon uten drepbryter har dukket opp.

Hva kan du gjøre?

I lys av hva som skjedde, har Microsoft reagert raskt med oppdateringer, selv dekker ikke-støttede operativsystemversjoner som Windows XP. Så lenge du holder systemet oppdatert, bør du ikke oppleve SMB-nivåinfeksjonen. Du kan imidlertid fortsatt få infeksjon hvis du åpner en phishing-e-post. Husk aldri å åpne kjørbare filer sendt som e-postvedlegg. Så lenge du trener litt, bør du kunne overleve angrepet.

Når det gjelder statlige institusjoner som ble hacket, ville dette ikke skje hvis de bare ville lufte sine misjonskritiske systemer.

Skal vi forvente mer dristige angrep etter hackere implementere utnyttelser funnet i de siste amerikanske sikkerhetslekkasjer? Fortell oss hva du synes i en kommentar!