Esse ataque de ransomware global foi interrompido aparentemente por acidente

Ataque ransomware mundial de ontem foi assustador por várias razões, mas a ação rápida por um pesquisador de segurança da MalwareTech pelo menos colocar um fim a sua propagação - embora o pesquisador não percebi isso na época.

Toda a história está aqui , mas a essência é esta. O ransomware, como você pode ter ouvido, estava se espalhando usando um exploit divulgado a partir de registros da NSA pelo Shadow Brokers no mês passado. Tinha o potencial de se espalhar rapidamente e de longe, como de fato o fez, e ao fazê-lo atrair a atenção de pessoas de TI que gostariam de contê-lo e estudá-lo.

O ransomware queria evitar ativando-se em um ambiente como este, assim que ele foi projetado para executar ping um determinado domínio sem registro - digamos, afn38sj729.com - e se ele retorna nada, mas um erro de DNS, as chances são de que o seu tráfego está sendo manipulada, de modo Ele é desligado para evitar mais análises.Como uma segurança contra isso, a carga contém algum código que consultou um determinado domínio conhecido pelos autores para ser cancelado. Isso ocorre porque alguns ambientes de rede, tais como VMs contidas no qual a estudar o código malicioso, irá capturar todos os dados de saída, como uma tentativa de se conectar a um domínio, e retornar o tráfego de sua própria escolha.

O pesquisador de segurança, ao ver que o ransomware chamou a este domínio não registrado, registrado imediatamente para que eles pudessem monitorar o tráfego (que poderiam - produzindo o mapa acima). Eles pensaram que iria apenas ajudar a controlar a sua propagação, mas na verdade, ao registrar esse domínio eles mataram efetivamente todo o ataque. Porque agora, quando o código ping o domínio, ele retornou que foi registrado, e, portanto, o ransomware nunca se ativaria! Eles tinham puxado o plugue e nem perceberam. (O pesquisador cotou-lhe mais tarde durante alguns testes deste tipo de comportamento.)

Pode ter sido acidental, mas registrar foi a coisa correta para o pesquisador fazer - que pode ter sido um servidor de comando e controle, ou talvez foi um interruptor de matar como este - e, de qualquer forma, você não pode discutir com o resultados. Infelizmente, não ajuda as pessoas que já foram atingidas pelo resgate, mas, pelo menos, impediu que ele fosse mais longe.