Image may be NSFW.
Clik here to view.
Poniedziałek zacznie się w niektórych firmach i instytucjach od totalnego chaosu. Wszystko przez nowy rodzaj ransomware, który od piątku sieje spustoszenie na całym Świecie.
Brytyjskie Ministerstwo Zdrowia, banki, operatorzy komórkowi, fabryki samochodów, gazownie, elektrownie i dziesiątki innych firm i instytucji publicznych padły ofiarą WannaCry.
Eksperci jednak wskazują, że twórcy WannaCry prawdopodobnie korzystali z exploitów opracowanych na potrzeby NSA – Amerykańskiej Agencji Bezpieczeństwa Narodowego. Efekty tego są imponujące: ponad 200 tys. komputerów zainfekowanych w 150 krajach.
WannaCry: Ransomware, jak każdy inny
Image may be NSFW.
Clik here to view.
Jeśli chodzi o sposób działania, to jest on mało sensacyjny. WannaCry lub Wanna Decryptor to złośliwy robak internetowy, który wykorzystuję lukach w zabezpieczeniach systemu Windows i po zainfekowaniu dziurawej maszyny szyfruje na niej dane.
Następnie, ransomware żąda okupu w wysokości 600 dol., płatnego w Bitcoinach. Na terenie samej Wlk. Brytanii, za odszyfrowanie danych zapłacono już 22 tys. funtów.
Microsoft był nad wyraz przygotowany na taki obrót zdarzeń. W momencie publikacji WannaCry, firma z Redmond udostępniła aktualizację systemów Windows, która usuwała lukę w protokole SMB, wykorzystywaną przez tego robaka.
Jak widać, nie wszyscy aktualizują swoje systemy operacyjne.
Niektórzy nawet nie mogli tego zrobić. Aktualizacja, o której mowa, była niedostępna dla systemu Windows XP, dla którego wsparcie zakończyło się już jakiś czas temu. Okazuje się, że z tego 15-letniego systemu operacyjnego nadal korzysta całkiem sporo firm i instytucji publicznych - na przykład Brytyjskie Ministerstwo Zdrowia.
Microsoft jednak widząc, co się dzieje, znów zareagował błyskawicznie i wydał specjalną aktualizację dla Windows XP, którą pobierzecie stąd. Serio, jeśli chcecie korzystać z 15-letniego systemu, wasza sprawa, jednak go zaktualizujcie.
Kto stworzył WannaCry?
Sam malware został udostępniony w sieci 14 kwietnia przez grupę Shadow Brokers. To ci sami, którzy rok temu chwalili się, że ukradli złośliwe oprogramowanie, nad którym pracowała Amerykańska Agencja Bezpieczeństwa Narodowego (NSA).
Nie wiadomo, co (lub kto) spowodowało, że WannaCry zaczął rozprzestrzeniać się akurat w piątek, 12 maja. Aktualnie głowią się nad tym eksperci zajmujący się cyberbezpieczeństwem.
Jednemu z nich udało się nawet powstrzymać WannaCry, ale sam przyznaje, że to chwilowe.
Okazuje się bowiem, że WannaCry miał wbudowany wyłącznik awaryjny. Robak łączył się z niezarejestrowaną domeną iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Jeśli nie udawało mu się nawiązać połączenia, rozprzestrzeniał się dalej. Mechanizm ten odkrył Darien Huss:
#WannaCry propagation payload contains previously unregistered domain, execution fails now that domain has been sinkholed pic.twitter.com/z2ClEnZAD2
— Darien Huss (@darienhuss) May 12, 2017
I poinformował o nim właściciela twitterowego konta @MalwareTechBlog, który pragnie pozostać anonimowy.
I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.
— MalwareTech (@MalwareTechBlog) May 13, 2017
@MalwareTechBlog zarejestrował domenę, z którą WannaCry próbował się połączyć i ataki ustały. Przynajmniej na razie. Eksperci ostrzegają, że autorzy robaka prawdopodobnie już wypuścili do sieci jego nową wersję.
Tim Cook miał rację
O tym, że te agencje wywiadowcze, które mogą sobie na to pozwolić, tworzą złośliwe oprogramowanie, wiemy od dawna. Do tego, że wielu cyberprzestępców marzy o narzędziach tworzonych na potrzeby takiego CIA, też nie muszę was przekonywać. Stąd co jakiś czas następuje wyciek takiego oprogramowania do sieci. Shadow Brokers twierdzą, że udało im się włamać na serwery NSA. WikiLeaks z kolei w marcu br. otrzymała przepiękną paczkę exploitów opracowanych na potrzeby CIA.
Pamiętacie sprawę słynnego zamachu w San Bernardino? FBI szukało wtedy sposobu na odblokowanie iPhone’a należącego do jednego z zamachowców. Kiedy Apple odmówiło współpracy, FBI zapłaciło za stworzenie odpowiedniego oprogramowania izraelskiej firmie Cellebrite. W lutym 2017 r. ktoś włamał się na serwery Cellebrite i ukradł stamtąd to narzędzie.
Przed takim scenariuszem ostrzegał Tim Cook, CEO Apple. Nazwał on oprogramowanie tego typu „software’owym odpowiednikiem raka” i był absolutnie przekonany, że prędzej, czy później, takie narzędzie dostanie się w niepowołane ręce. Miał rację.
WannaCry sieje spustoszenie