Archiwa tagu: atak

Ogromny atak ransomware WannaCry

Komputery na całym świecie padły ofiarą nowego Ransomware, zwanego Wannacry/Wanna/WCry. Badacze z laboratoriów firm analitycznych uważają, że zaraziło ono co najmniej 57 tys. komputerów. Pierwsze informacje o infekcjach pojawiły się w okolicach piątkowego południa, a już po kilku godzinach Kaspersky mówi o odkryciu 45 000 infekcji w 74 krajach a Avast wspominał o 57 000 infekcji w zasięgu swojego systemu. Wg Avasta ransomware komunikuje się z zainfekowanymi osobami w 28 różnych językach. Ransomware poliglota. Ostatecznie mówi się o ponad 200 000 ofiar w 150 krajach.

Ofiary WannaCry

Około 70 krajów sygnalizuje , że doświadczyło ataku. Na liście ofiar WannaCry znajdują się Stany Zjednoczone, Turcja oraz najbardziej poszkodowana – Rosja, której dotyczy około 70% infekcji WCry. Ucierpiały również bliższe nam europejskie kraje – Francja, Hiszpania czy Wielka Brytania. Choć Polska również widnieje na mapie infekcji, do tej pory nie został zgłoszony/ nagłośniony żaden przypadek zarażenia.

Niebezpiecznik podaje, że wśród poszkodowanych znajdują się brytyjskie szpitale (48 z 248 związków NHS), rosyjskie i chińskie ministerstwa, firmy telekomunikacyjne (rosyjski Megafon, hiszpańska Telefonica, Portugal Telecom), uczelnie, producenci samochodów (Renault, Nissan) oraz przewoźnicy i kurierzy (Frankfurt Sbahn, Deutsche Ban, Fedex). Hiszpańska Telefonica, podobnie jak kiedyś Sony Entertainment, kazała w piątek pracownikom iść do domu — po infekcji większości komputerów nie byli w stanie wykonywać swoich służbowych obowiązków.

 

Luka

Ransomware atakuje urządzenia z systemem operacyjnym Windows i używa luki odkrytej przez Microsoft. Ta została załatana w marcu bieżącego roku, ale jak widać, wciąż wiele komputerów nie zostało zaktualizowanych, co pozwala na atak złośliwym oprogramowaniem. Po zainfekowaniu systemu atakujący instalują szkodliwy moduł (rootkit), który pozwala na pobieranie oprogramowania ransomware szyfrującego dane ofiary. „Zaszyfrowana” ofiara ma zapłacić 300 dolarów (w bitcoinach), a jeśli tego nie zrobi w przeciągu 3 dni, kwota okupu ma wzrosnąć do 600 dolarów. Przestępcy są dość zmienni, grożą jednocześnie, że po niezapłaceniu okupu ofiara straci możliwość odzyskania danych oraz zastrzegają, że jeśli ktoś jest tak biedny, że nie będzie w stanie zapłacić, to po 6 miesiącach przewidują uruchomienie możliwości darmowego odzyskania danych.

Ze względu na to, że podane zostały tylko 3 adresy portfeli bitcoin, odradza się wpłacanie okupu. Przestępcy zwyczajnie nie są w stanie zweryfikować, która z ofiar wpłaciła okup! Co ważne, do tej pory nie spotkano się z żadnym potwierdzeniem “odzyskania” danych po zapłacie okupu. Trzeba przyznać, że zyski cyberprzestępców nie przedstawiają się spektakularnie, na chwilę obecną przestępcy zgromadzili na tych adresach 129 wpłat na kwotę ok. 18 BTC (125 000 PLN). Biorąc pod uwagę zasięg ataku, to bardzo mało.

Zatrzymanie ataku za 10 dolarów

Zatrzymanie ataku zawdzięczamy niezależnemu ekspertowi od zabezpieczeń z Wielkiej Brytanii. 22-latek zauważył, że jedna z domen używana do rozprzestrzeniania WannaCry nie została zarejestrowana. Postanowił więc przejąć nad nią kontrolę – zarejestrował ją za równe 10,69 dolara, a następnie uruchomił. Choć o tym nie wiedział, 22-latek przy okazji wyłączył całe WannaCry. Okazało się, że ta właśnie domena służyła jako swego rodzaju wyłącznik awaryjny, który miał służyć atakującym do natychmiastowego wstrzymania ataku. By to zrobić, wystarczyło zarejestrować domenę, a następnie ją uruchomić.  Był to po prostu łut szczęścia.

Porady

  • Jeśli jeszcze nie zostałeś zainfekowany — zaktualizuj oprogramowanie, a jeśli z jakiegoś powodu nie możesz tego zrobić, wyłącz obsługę protokołu SMB. Na szczęście Microsoft zlitował się nad posiadaczami przestarzałego systemu i wydał dla niego poprawkę. Jeśli więc gdzieś macie jeszcze XP, szybko ją zaaplikujcie. Należy ją zainstalować w celu usunięcia podatności wykorzystywanej w ramach ataku.
  • Systematycznie wykonuj backup czyli kopie zapasową, dzięki której przywrócisz dane w przypadku ataku.
  • Korzystaj z rozwiązania bezpieczeństwa wyposażonego w technologie wykrywania zagrożeń na podstawie ich zachowania w systemie. Daje to możliwość identyfikowania nawet nieznanych szkodliwych programów.
  • Upewnij się, że wszystkie aplikacje oraz systemy są uaktualnione.
  • Przeszkól pracowników by zwiększyć ich świadomość odnośnie nowoczesnych metod wykorzystywanych przez cyberprzestępców oraz podstawowych zasad ochrony.