Leia o artigo em Português - Read this article in Portuguese

Ransomware WannaCry propaga-se pelo mundo e faz com que as organizações queiram chorar devido à vulnerabilidade da Microsoft

Na sexta-feira, 12 de maio de 2017, o mundo ficou alarmado ao descobrir que o crime cibernético tinha atingido um novo recorde. Em um ataque de ransomware amplamente propagado que atingiu organizações em mais de 100 países no período de 48 horas, acredita-se que os operadores do malware conhecido como WannaCry/WanaCrypt0r 2.0 tenham causado o maior ataque deste tipo já registrado. Talvez mais que qualquer outra coisa, esse ataque do ransomware seja um lembrete expressivo da importância das questões básicas de segurança, principalmente quando se trata de correções de produtos da Microsoft. Aqueles que aplicaram as correções críticas do Microsoft Windows liberadas em março ficaram protegidos contra esse ataque. Outra proteção básica é a posse de backups de dados off-line atuais. Para ataques de ransomware como esse, ter um backup viável permitirá o sucesso da resposta ao incidente, deixando os invasores desamparados e incapazes de coletar dinheiro para seus objetivos maliciosos.

[button link="https://www.slideshare.net/secret/2kS2Z6aQSnDgdz" color="orange1" icon="download" size="large"] FAçA DOWNLOAD DO GUIA DE RESPOSTA AO RANSOMWARE DO IBM INCIDENT RESPONSE SERVICES[/button]

O que é o WannaCry?

WannaCry, WanaCrypt ou a abreviatura Wcry é um ransomware que funciona como os outros malwares desse tipo, mas com algumas peculiaridades que destacam a sofisticação de seus operadores. Primeiro, o malware usa explorações que foram supostamente vazadas por um grupo que se denomina Shadow Brokers. O resultado do vazamento muito frequente de explorações causa o surgimento de agentes maliciosos que os usam com objetivos prejudiciais, que é o que aconteceu nesse caso. Segundo, o malware usa criptografia forte e assimétrica, empregando a criptografia de RSA de 2048 bits nos arquivos criptografados. Esse método é considerado relativamente lento quando comparado à criptografia simétrica, mas é muito forte e praticamente impossível de interromper. Terceiro, a arquitetura do malware é modular, um recurso conhecido por ser usado em software legítimo, mas também em projetos complexos de malware como os Cavalos de Troia do setor bancário. A maioria dos ransomwares não é modular, mas é simplista e realiza suas tarefas sem nenhuma modularidade. Isso significa que há maior probabilidade de que os autores por trás do Wcry sejam um grupo de pessoas, mais que um único desenvolvedor e, até mesmo, possivelmente uma das gangues do crime cibernético organizado que distribuem malwares como o Dridex e o Locky. Conclusão, não estamos lidando com amadores. Esse ataque amplamente propagado é de alta gravidade e, embora a vulnerabilidade deveria ter sido corrigida um tempo antes, muitas organizações foram atingidas e a contagem continua aumentando.

Detalhes técnicos básicos

O surto do Wcry começou a aparecer em 12 de maio de 2017, mas foi baseado em inúmeros elementos que já estavam ocorrendo há um tempo. Ele chegou a fazer uma aparição prévia, uma semana atrás, em ataques do Trojan.Win32.CryptoFF no Peru.

Worms por meio do SMB

O método de propagação do Wcry inclui a varredura de portas de possíveis hosts pela porta 445 do Protocolo de Controle de Transmissões (TCP), que é por onde o protocolo de comunicações de rede Bloco de Mensagens do Servidor (SMB) atua. Esse protocolo de camada de aplicativo está sendo usado pelo Wcry para ajudá-lo a propagar-se como um worm. O SMB é projetado para permitir acesso a diretórios, impressoras, portas seriais e arquivos compartilhados, entre outros recursos. Para trilhar seu caminho até novos endpoints e redes, o malware Wcry utiliza dois modos de exploração do SMB emprestados do vazamento de exploração dos Shadow Brokers. Ele começa tentando entrar usando um backdoor existente chamado DoublePulsar. Se esse backdoor não existe, ele ativa uma nova exploração no alvo usando o que é conhecido como EternalBlue.

Batendo no backdoor DoublePulsar

DoublePulsar é um backdoor persistente já conhecido que pode infectar endpoints para fornecer um acesso não autorizado a seus operadores. Essa carga útil de modo de kernel não faz muita coisa, mas é base de outras explorações. Ela permite que um invasor remoto envie malware ao endpoint alvo e execute-o sem o conhecimento ou a permissão do proprietário. A capacidade que o DoublePulsar tem de abrir o backdoor e injetar bibliotecas de vínculo dinâmico (DLLs) arbitrárias nas zonas de processo de modo de usuário baseia-se na exploração do protocolo SMB. Supostamente, uma ferramenta de NSA foi vazada pelos Shadow Brokers em abril de 2017 e, após duas semanas, o DoublePulsar já foi encontrado em mais de 36 mil endpoints infectados no mundo todo.

Códigos maliciosos obscuros: EternalBlue e WannaCry

O EternalBlue é uma outra parte da mesma estrutura de exploração que inclui o DoublePulsar. No contexto do ataque do Wcry, ele é uma exploração desenvolvida para varrer servidores buscando a presença do DoublePulsar. Se nada é encontrado, ele é usado como a exploração inicial para comprometer o sistema e instalar o ransomware Wcry. O malware varre a rede de área local e, em seguida, começa a propagar IPs externos aparentemente aleatórios com o código de exploração.

Responsável pela chamada desconhecido

Quando já está dentro, o ransomware Wcry libera e ativa um cliente Tor na máquina infectada para tornar anonônimas suas comunicações com os servidores dos invasores. Variantes do ransomware como o CTB-Locker, também conhecido como Critroni, popularizaram essa tendência entre os operadores de ransomware a partir de 2014. Em geral, o uso do Tor ajuda os criminosos a ocultarem a infraestrutura do ataque e evita a interceptação das chaves de criptografia ou confirmações de pagamento de bitcoin que o endpoint da vítima enviaria.

Iniciar criptografia

O malware busca e libera inúmeros arquivos executáveis diferentes no endpoint infectado. Cada um deles realiza uma função diferente. A parte principal é a criptografia dos dados da vítima, que é realizada por um arquivo chamado tasksche.exe. A criptografia engloba 160 extensões de arquivo diferentes para assegurar que todos os dados sejam roubados. O WCry criptografa os arquivos com a extensão .wcry/.wncry. Para assegurar-se de que o usuário não possa acessar cópias anteriores, o malware exclui todas as cópias de sombra do endpoint usando WMIC.exe, vssadmin.exe e cmd.exe. Essa ação é considerada comum para códigos de ransomware.

Exibir nota do ransom

Diferente da maioria dos ransomwares que usam uma imagem para exibir a nota do resgate aos usuários infectados, o Wcry usa um arquivo executável. Esse arquivo não é o malware, ele é um programa simples que exibe a nota à vítima. A imagem exibida a cada vítima depende do mapeamento de endereço IP para o país em que ela está localizada. Os autores do malware adaptaram inúmeros formatos de idiomas diferentes para o Wcry, que geralmente são relatados como traduzidos por máquina e confusos em termos de sintaxe. Para garantir que a vítima veja a nota do resgate imediatamente, ela é colocada na primeira janela da área de trabalho usando SetForegroundWindow(). Em alguns casos, os pesquisadores do X-Force notaram que o malware incluiu uma ferramenta que muda o papel de parede da área de trabalho da vítima com instruções de como encontrar a ferramenta de decriptografia liberada pelo malware.

[button link="https://www.slideshare.net/secret/2kS2Z6aQSnDgdz" color="orange1" icon="download" size="large"] FAçA DOWNLOAD DO GUIA DE RESPOSTA AO RANSOMWARE DO IBM INCIDENT RESPONSE SERVICES[/button]

Estado atual dos casos

Até agora, o Wcry é conhecido por atingir hospitais, sistemas ferroviários, telecomunicações e correios, mas muitas outras organizações e indivíduos também foram atingidos. Do lado da vítima, a invasão já atingiu infraestruturas críticas em alguns países como Alemanha e Rússia. No Reino Unido, o setor de saúde foi vítima de um grande ataque que foi além de apenas desativar hospitais. Os hospitais do país precisaram recusar pacientes, redirecionar ambulâncias, paralisar serviços de emergência e reagendar cirurgias e compromissos, causando danos nas operações por um período considerável. Com o número de sistemas afetados, o processo de resposta e a correção de incidentes levará um tempo para ser concluído. Segundo relatórios, a propagação geográfica do Wcry está mais presente na Rússia neste momento. Outros participantes da lista das dez geografias mais focadas incluem Ucrânia e Índia, países onde seria mais comum encontrar versões do Windows mais antigas e sem correção em uso. O Europol indicou que os ataques têm uma dimensão sem precedentes. No momento da escrita deste artigo, mais de 130 mil sistemas em mais de 100 países já estavam comprometidos. Se mais de 130 mil endpoints foram infectados e, supondo que as vítimas escolhem pagar até 300 dólares para desbloquear cada dispositivo, o resgate já estaria totalizando mais de 39 milhões de dólares. Saiba que esse é o caso conservador. As demandas do ransom Wcry podem começar a 300 dólares, mas podem aumentar para 400 após duas horas, em seguida, para 500 e, finalmente, para 600 dólares por endpoint. A nota do ransom Wcry contém uma mensagem compassiva para aqueles que não podem arcar com esse pagamento. Os operadores do malware informam que podem desbloquear os arquivos gratuitamente, mas somente após o período de seis meses. No momento da escrita deste artigo, os bitcoins estão voando para as carteiras dos invasores, mostrando cerca de 19 BTC ou cerca de 34 mil dólares sendo acumulados, mas permanecendo intocados. Os órgãos de aplicação da lei provavelmente estão observando de perto as carteiras e suas trilhas para encontrar um possível vínculo com seus proprietários criminosos.

Não ajude a custear o crime

O IBM X-Force Research observou que novos pagamentos continuam a cair nas carteiras eletrônicas de bitcoin associados aos exemplos do Wcry. É importante observar que pagar os criminosos financia esses tipos de ataques e o FBI recomenda expressamente que as vítimas não paguem. Neste momento, muitos servidores e estações de trabalho Windows possivelmente ainda estão vulneráveis, o que significa que o Wcry ainda pode ter áreas a cobrir na próxima semana. Para minimizar a ameaça, as organizações devem assegurar que todas as correções relevantes sejam implementadas urgentemente em toda a infraestrutura em que o S.O. Windows é usado. A Microsoft emitiu uma correção de emergência que pode ser visualizada aqui. Além disso, os profissionais de segurança devem bloquear as portas do Bloco de Mensagens do Servidor (SMB), principalmente as portas 139 e 445 de hosts externos, e também as portas 137 e 138 do User Datagram Protocol (UDP), da rede de área local para a rede de longa distância (WANO). Verifique se as conexões de saída com as portas TCP 139 e 445 estão proibidas de executar os seguintes comandos de qualquer servidor com o Netcat instalado:
  • nc smbcheck.rsec.us 139 e
  • nc smbcheck.rsec.us 445.
Para um controle maior, considere desativar o SMBv1 e o SMBv2 e somente permitir conexões do SMBv3 por política nos clientes.

A “chave de encerramento” do Wcry foi removida

O Wcry está se propagando a uma taxa alarmante e, embora tenha sido desacelerado temporariamente pela descoberta acidental de uma chave de encerramento, essa parte do código já foi removida. A chave de encerramento era baseada no ransomware contatando um domínio codificado permanentemente antes da instalação no endpoint. Esse domínio não era registrado pelo criminoso e, portanto, foi capturado por um pesquisador de segurança que o encontrou, transformando-o efetivamente em um sinkhole. Considere ativar o acesso ao domínio de sinkhole em seus endpoints corporativos. É possível que os funcionários infectados durante o fim de semana tragam esses exemplos mais antigos na segunda-feira de manhã e, se o domínio estiver atingível, o malware não será ativado nesses endpoints. O nome do domínio é: www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com Lembre-se de que os criminosos por trás desses ataques já removeram a chave de encerramento e nem todos os exemplos a continham inicialmente. Assegure-se de que seu ambiente esteja totalmente corrigido e espere o Wcry esta semana. Outro ponto sobre a chave de encerramento: A chamada de domínio somente funciona em sistemas que estejam conectados diretamente à Internet. Assim, se o endpoint aplicar proxy ao seu tráfego, a chave de encerramento não funcionará e o ransomware será executado. Isso poderia significar que a ideia do invasor era atingir redes corporativas nas quais o tráfego de endpoint geralmente tem proxy aplicado e interromper aqueles que provavelmente seriam dispositivos de consumidor. É necessário buscar uma consultoria mais ampla com seu fornecedor de segurança. Os clientes IBM Security podem recorrer aos seus pontos de contato para obter instruções de minimização e os requisitos de resposta a incidente.

O Ransomware é um problema de ameaça global

A ameaça do ransomware não é nova nem original. Ele é um tipo de software malicioso que se infiltra no endpoint com o objetivo de criptografar todos os arquivos que ele contém e, em seguida, exigir o pagamento de um resgate para liberá-los novamente ao proprietário correto. A ameaça remonta a 1989, quando surgiu pela primeira vez em disquetes enviados a proprietários de computadores desprotegidos. Em 2014, ela ganhou uma notoriedade momentânea desproporcional, juntamente com o surgimento das ocorrências de criptografia usadas em todo o mundo, permitindo que criminosos cibernéticos exigissem pagamento a qualquer pessoa anonimamente. O ransomware foi a ameaça on-line que mais predominou em 2016, com mais de 40 mil ataques por dia, em alguns períodos, e atingindo muito mais de 65 por cento de todas as mensagens de spam que realizam cargas maliciosas. Os pesquisadores da IBM X-Force que rastreiam as tendências de spam observaram que o aumento nos spams de ransomware em 2016 atingiu exorbitantes 6.000{30bfbf8d9f2833f0337133e196b4dc87825dfb7d33a3602d05ee876ecd6f1178}, saindo de 0,6{30bfbf8d9f2833f0337133e196b4dc87825dfb7d33a3602d05ee876ecd6f1178} de e-mails de spam em 2015 e chegando a uma média de 40{30bfbf8d9f2833f0337133e196b4dc87825dfb7d33a3602d05ee876ecd6f1178} dos spams de e-mail em 2016. A situação tende a apenas piorar em 2017. O FBI e a aplicação da lei internacional emitiram alertas sobre essa ameaça. O FBI estimou que o ransomware está em vias de se tornar uma fonte de renda de um bilhão de dólares para criminosos cibernéticos até o final de 2016, um número que deve continuar a aumentar em 2017.

Protegendo sua organização com a IBM

Para obter informações de como usar os produtos IBM para defender sua infraestrutura da ameaça Wcry, navegue para nossa coleção de minimização especial do X-Force Exchange. Também o convidamos para assistir o webinar sob demanda, “Ataque do ransomware WannaCry: o que fazer agora.”

[button link="https://www.slideshare.net/secret/2kS2Z6aQSnDgdz" color="orange1" icon="download" size="large"] FAçA DOWNLOAD DO GUIA DE RESPOSTA AO RANSOMWARE DO IBM INCIDENT RESPONSE SERVICES[/button]

Close Translation

On Friday, May 12, 2017, the world was alarmed to discover that cybercrime had achieved a new record. In a widespread ransomware attack that hit organizations in more than 100 countries within the span of 48 hours, the operators of malware known as WannaCry/WanaCrypt0r 2.0 are believed to have caused the biggest attack of its kind ever recorded.

Perhaps more than anything else, this ransomware onslaught is a resounding reminder of the importance of security basics, especially when it comes to Microsoft product patching. Those who applied critical Microsoft Windows patches released in March were protected against this attack. Another basic protection is the possession of current, offline backups of data. For ransomware attacks like this one, having a viable backup will enable a successful incident response, leaving attackers high and dry and unable to collect money for their evil doings.

Download the Ransomware Response Guide from IBM INCIDENT RESPONSE SERVICES

What Is WannaCry?

WannaCry, WanaCrypt or Wcry for short, is ransomware that works like other malware of its type, with a few intricacies that highlight the sophistication of its operators.

First, the malware uses exploits that were supposedly leaked by a group that calls itself Shadow Brokers. The result of leaking exploits very often gives rise to malicious actors who use them for their nefarious purposes, which is what happened in this case.

Second, the malware uses strong, asymmetric encryption, employing the RSA 2048-bit cipher to encrypt files. This method is considered relatively slow when compared to symmetric encryption, but it is very strong and virtually impossible to break.

Third, the malware’s architecture is modular, a feature known to be used in legitimate software, but also in complex malware projects such as banking Trojans. Most ransomware is not modular, but rather simplistic, and carries out its tasks without any modularity. This means that the authors behind Wcry are more likely to be a group of people, more than just one developer, and even possibly one of the organized cybercrime gangs that distribute malware such as Dridex and Locky.

Bottom line, we are not dealing with amateurs. This widespread attack is of high severity, and although the vulnerability should have been patched a while back, many organizations have been hit and the count keeps rising.

Basic Technical Details

The Wcry outbreak started showing up on May 12, 2017, but it relies on a number of elements that have been around for a while. It even offered a sneak preview a week ago when it showed up in Trojan.Win32.CryptoFF attacks in Peru.

Worming Through SMB

Wcry’s propagation method includes port scanning of potential hosts over Transmission Control Protocol (TCP) port 445, which is where the Server Message Block (SMB) network communications protocol take place. This application-layer protocol is being targeted by Wcry to help it spread like a worm. SMB is designed to enable access to shared directories, files, printers and serial ports, among other resources.

To find its way into new endpoints and networks, the Wcry malware leverages two SMB-exploitation modes borrowed from the Shadow Brokers exploit leak. It starts by trying to get through using an existing backdoor called DoublePulsar. If that backdoor does not exist, it launches a new exploit on the target using what’s known as EternalBlue.

Knocking on the DoublePulsar Backdoor

DoublePulsar is a previously known, persistent backdoor that can infect endpoints to provide unauthorized access to its operators. This kernel-mode payload does not do much, but it is the basis of other exploits. It enables a remote attacker to send malware into the target endpoint and execute it without the owner’s knowledge or permission.

DoublePulsar’s ability to open the backdoor and inject arbitrary dynamic link libraries Dynamic Link Libraries (DLLs) into the user-mode process zones relies on exploitation of the SMB protocol. It was allegedly an NSA tool that was leaked by Shadow Brokers in April 2017, and by the time it was out for about two weeks, DoublePulsar was already found on over 36,000 infected endpoints across the globe.

Gloomy Malcode: EternalBlue and WannaCry

EternalBlue is yet another part of the same exploitation framework that includes DoublePulsar. Within the Wcry attack context, it is an exploit designed to scan servers for the presence of DoublePulsar. If none is found, it is used as the initial exploit to compromise the system and install the Wcry ransomware.

The malware scans the local area network, then starts spraying seemingly random external IP’s with the exploit code.

Unknown Caller

Once it is in, the Wcry ransomware drops and launches a Tor client on the infected machine to anonymize its communications with the attacker’s servers. Ransomware variants such as the CTB-Locker, also known as Critroni, made this trend popular among ransomware operators starting in 2014. Overall, using Tor helps the criminals hide their attack infrastructure and prevent the interception of encryption keys or bitcoin payment confirmations that the victim’s endpoint would send.

Initiate Encryption

The malware fetches and drops a number of different executable files on the infected endpoint. Each of those carries out a different function. The essential part is the encryption of the victim’s data, which is carried out by a file called tasksche.exe.

The encryption encompasses 160 different file extensions to make sure that all the data is hijacked. WCry will encrypt files with the .wcry/.wncry extension.

To make sure that the user can’t access previous copies, the malware deletes all shadow copies from the endpoint by using WMIC.exe, vssadmin.exe and cmd.exe. This action is considered common for ransomware codes.

Display Ransom Note

Unlike most ransomware that uses an image to display the ransom note to the infected users, Wcry uses an executable file. That file is not the malware; it is a simple program that displays the note to the victim.

The image displayed to each victim depends on the IP address mapping to the country he or she is located in. The malware’s authors have adapted numerous different language formats to Wcry; those are often reported as machine translated and rather clunky in terms of syntax.

To make sure the victim sees the ransom note immediately, it places it as the foremost window on the desktop by using SetForegroundWindow().

In some of the instances, X-Force researchers noticed that the malware included a tool that changes the victim’s desktop wallpaper with instructions on how to find the decrypting tool dropped by the malware.

Download the Ransomware Response Guide from IBM INCIDENT RESPONSE SERVICES

Current State of Affairs

So far, Wcry is known to have hit hospitals, rail systems, telecommunications and courier services, but many other organizations and individuals have been hit as well.

On the victims’ side, the outbreak has hit critical infrastructure in some countries such as Germany and Russia. In the U.K., the health care sector received a hard hit that goes way beyond disabling hospitals. Hospitals in the country had to turn away patients, reroute ambulances, paralyze emergency services, and reschedule surgeries and appointments, which will all take a toll on operations for some time. With the number of affected systems, incident response and remediation are unlikely to be complete for a while.

According to reports, the geographical spread of Wcry is most prevalent in Russia at this time. Other constituents on the list of the top 10 most targeted geographies include Ukraine and India, countries where it could be more common to find older, unpatched versions of Windows in use. The Europol indicated that the attacks are of unprecedented scope.

At the time of this writing, more than 130,000 systems in over than 100 countries were already compromised. If over 130,000 endpoints have been infected, and assuming that victims chose to pay up to $300 to unlock each device, the total ransom would amount to over $39 million. Keep in mind that this is the conservative case; Wcry ransom demands may start at $300, but they increase to $400 after two hours, then $500, and, finally $600, per endpoint.

The Wcry ransom note contains a compassionate message towards those who can’t afford to pay up. The malware’s operators claim they would unlock the files for free — but only after a six-month period.

At the time of this writing, bitcoins are trickling in to the attackers’ wallets, showing about 19 BTC, or about $34,000 dollars accumulating, but remaining untouched. Law enforcement agencies are likely closely watching the wallets and their trails to find a potential link to their criminal owners.

Don’t Help Crime Pay

IBM X-Force Research observed new payments keeping trickling into the bitcoin wallet payments associated with Wcry samples. It is important to note that paying the criminals funds these types of attacks, and the FBI highly discouraged victims from paying up.

At this time, many Windows servers and workstations are still potentially vulnerable, which means that Wcry may still have ground to cover in the coming week.

To mitigate the threat, organizations should ensure that the relevant patches are urgently deployed across their entire infrastructure where the Windows OS is used. Microsoft has issued an emergency patch that can be viewed here.

In addition, security professionals should block Server Message Block (SMB) ports, particularly ports 139 and 445 from external hosts, along with User Datagram Protocol (UDP) ports 137 and 138, from the local network to the wide area network (WANO).

Verify that outbound connections to TCP ports 139 and 445 are prohibited by running the following commands from any server with Netcat installed:

  • nc smbcheck.rsec.us 139; and
  • nc smbcheck.rsec.us 445.

For further control, consider disabling SMBv1 and SMBv2 and only permitting SMBv3 connections by policy on clients.

Wcry’s ‘Kill Switch’ Was Removed

Wcry is spreading at an alarming rate, and while it was temporarily slowed down by the accidental discovery of a kill switch, that part of its code has already been removed.

The kill switch was based on the ransomware contacting a hardcoded domain before installing on the endpoint. That domain was not registered by the criminal, and was therefore snatched by a security researcher who found it, effectively turning it into a sinkhole.

Consider enabling access to the sinkhole domain from your corporate endpoints. It is possible that employees who got infected over the weekend will carry in those older samples on Monday morning, and if the domain is reachable, the malware will not activate on those endpoints. The domain name is:

www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

Remember that the criminals behind these attacks have already removed the kill switch, and not all samples contained it from the get-go. Make sure your environment is fully patched and expect Wcry this week. Another point about the kill switch: The domain call only works in systems that are directly connected to the internet. Hence, if the endpoint proxies its traffic, the kill switch won’t work and the ransomware will run. This could mean that the attacker’s idea was to hit corporate networks where endpoint traffic is usually proxied, and halt on those that are most likely consumer devices.

You should seek more ample advice from your security vendor. IBM Security customers can turn to their contacts for mitigation instructions and incident response requirements.

Ransomware Is an Ominous, Global Problem

The ransomware threat is neither new nor novel. It is a type of malicious software that infiltrates an endpoint with the purpose of encrypting all the files on it, and then demanding a ransom payment to release them back to the rightful owner. The threat traces back to 1989, when it first emerged on floppy disks sent to unsuspecting computer owners. It has gained disproportionate momentum since 2014, along with the rise of cryptocurrencies used across the globe, which enable cybercriminals to anonymously demand payment from anyone.

Ransomware was the most prevalent online threat in 2016, with over 40,000 attacks per day at times, and reaching well over 65 percent of all spam messages that carry malicious payloads. IBM X-Force researchers tracking spam trends noted that the rise in ransomware spam in 2016 reached an exorbitant 6,000 percent, going from 0.6 percent of spam emails in 2015 to an average of 40 percent of email spam in 2016. The situation is only worsening in 2017.

The FBI and international law enforcement have issued alerts about this threat. The FBI estimated that ransomware is on pace to become a $1 billion source of income for cybercriminals by the end of 2016, a number that is expected to continue to rise in 2017.

Protecting Your Organization with IBM

For information on using your IBM products to defend your infrastructure from the Wcry threat, please browse to our special mitigation collection on X-Force Exchange. We also invite you to watch the on-demand webinar series, “Orchestrate Your Security Defenses to Avoid Ransomware Attacks.”

Download the Ransomware Response Guide from IBM INCIDENT RESPONSE SERVICES

More from Malware

Ongoing ITG05 operations leverage evolving malware arsenal in global campaigns

13 min read - Summary As of March 2024, X-Force is tracking multiple ongoing ITG05 phishing campaigns featuring lure documents crafted to imitate authentic documents of government and non-governmental organizations (NGOs) in Europe, the South Caucasus, Central Asia, and North and South America. The uncovered lures include a mixture of internal and publicly available documents, as well as possible actor-generated documents associated with finance, critical infrastructure, executive engagements, cyber security, maritime security, healthcare, business, and defense industrial production. Beginning in November 2023, X-Force observed…

X-Force Threat Intelligence Index 2024 reveals stolen credentials as top risk, with AI attacks on the horizon

4 min read - Every year, IBM X-Force analysts assess the data collected across all our security disciplines to create the IBM X-Force Threat Intelligence Index, our annual report that plots changes in the cyber threat landscape to reveal trends and help clients proactively put security measures in place. Among the many noteworthy findings in the 2024 edition of the X-Force report, three major trends stand out that we’re advising security professionals and CISOs to observe: A sharp increase in abuse of valid accounts…

Hive0051’s large scale malicious operations enabled by synchronized multi-channel DNS fluxing

12 min read - For the last year and a half, IBM X-Force has actively monitored the evolution of Hive0051’s malware capabilities. This Russian threat actor has accelerated its development efforts to support expanding operations since the onset of the Ukraine conflict. Recent analysis identified three key changes to capabilities: an improved multi-channel approach to DNS fluxing, obfuscated multi-stage scripts, and the use of fileless PowerShell variants of the Gamma malware. As of October 2023, IBM X-Force has also observed a significant increase in…

Topic updates

Get email updates and stay ahead of the latest threats to the security landscape, thought leadership and research.
Subscribe today