211service.com
WannaCry Ransomware-attacken kunde ha varit mycket värre

NSA:s högkvarter, där sårbarheter i mjukvara går för att hamstras i hemlighet ... och sedan stjäls, läcker och släpps lös på en intet ont anande allmänhet.
Du kanske har hört: en världsomspännande ransomware-attack känd som WannaCry (och WannaCrypt och WannaDecryptor) startade i fredags och omfattade slutligen omkring 200 000 datorer i 150 länder.
Men det kunde ha varit mycket värre – och vi har cybersäkerhetsforskare att tacka för att de såg till att det inte var det.
Trots att ryktet fortfarande spreds på fredagen om att datorer på dussintals sjukhus i Storbritannien låstes av uppsåt, och ett meddelande med krav på lösen publicerades på deras skärmar, var en anonym forskare känd som MalwareTech i färd med att stänga av ytterligare spridning av programmet .
Som hon rapporterat i ett fascinerande blogginlägg , hade MalwareTech hittat en oregistrerad URL-adress i WannaCrys kod. Misstänkte att adressen hade något att göra med hur viruset kommunicerade – ett vanligt inslag i botnät och andra typer av skadlig programvara – registrerade MalwareTech domänen och såg när trafik från tusentals infekterade datorer strömmade in och nästan överbelastade servern som var värd för domänen. Vanligtvis är denna typ av slukhålsrörelse ett försök att störa ett botnät, till exempel från att utfärda kommandon till infekterade system.
I det här fallet visade sig domänen vara en kill-switch - på alla system som kom i kontakt med URL:en stängde viruset av sig självt. WannaCry var på väg ut.
Som MalwareTech noterade kunde dock skadliga programmerare enkelt ändra WannaCrys kod för att pinga en ny adress istället. Och det gjorde de. På söndagen infekterade en ny variant tusentals system i Ryssland. Även det blev inskränkt tack vare en cybersäkerhetsforskares snabba arbete .
Under tiden tog Microsoft det ovanliga steget att kämpa för att distribuera en patch för ett fel i den version av Windows som inte stöds som WannaCry utnyttjade. USA:s nationella säkerhetsbyrå hade varit hamstra sårbarheten , men det läckte ut efter stölden av byråns hemligheter av en hackergrupp känd som Shadow Brokers.
Tyvärr, som vi har sagt tidigare, har ransomware blivit en populär form av cyberbrott av en enkel anledning: det lönar sig . Det är också svårt – men inte omöjligt – att sluta. Bortsett från helgens attacker har brottslingar låst en del av San Franciscos kollektivtrafiksystem och ett sjukhus i Los Angeles – i det senare fallet, vilket tvingar sjukhuset att ponnya upp $17 000 för att återfå tillgång till sina filer.
Arkitekterna av WannaCry letade på samma sätt efter en snabb lönedag. Men de gjorde det ganska enkelt att följa pengarna: WannaCrys kod innehöll adresserna till tre Bitcoin-plånböcker. Från och med mitten av eftermiddagen på måndagen sa en Twitter-bot som spårade betalningar till plånböckerna att kontona hade totalt lite över $55 000 i dem.
De tre bitcoin-plånböckerna knutna till #Vill gråta ransomware har fått 209 betalningar på totalt 33,03734055 BTC ($55,426,46 USD).
— faktisk lösensumma (@actual_ransom) 15 maj 2017
Tack vare en sådan granskning har vissa experter spekulerat i att den som ligger bakom WannaCry vågar inte göra ett uttag från plånböckerna, fruktade att det kommer att blåsa deras skydd. Summan i sig kan också ge dem paus. Visst, det är mycket pengar - men det kunde ha varit mycket mer.
(Läs mer: Malware Tech , Los Angeles Times , BBC , Kvarts , Att hålla data som gisslan: The Perfect Internet Crime? , Två sätt att stoppa Ransomware i dess spår)