Ponad 300 tysięcy zainfekowanych komputerów w 150 krajach – atak cybernetyczny z wykorzystaniem ransomware WannaCry. W ostatnich dniach ponad 150 krajów stało się areną ataków ransomware z wykorzystaniem wirusa WannaCry. Zainfekowanych zostało ponad 300 tysięcy komputerów, ucierpiało wiele organizacji z różnych sektorów rynkowych oraz szereg instytucji publicznych, w tym placówki służby zdrowia.
Co się stało?
Antybohaterem jest względnie nowy, złośliwy program o nazwie WanaCrypt0r. Wariant WanaCrypt0ra, nazywany WeCry, początkowo odkryto w lutym tego roku. WanaCrypt0r jest tak skuteczny, ponieważ stanowi część pakietu o nazwie ETERNALBLUE, wykorzystującego znaną lukę w zabezpieczeniach systemu Windows, którą załatano w marcu w ramach usługi Windows Update. Była to luka w zabezpieczeniach protokołu SMB (MS17-010), która umożliwiała złośliwemu kodowi przenoszenie się z systemu do systemu. Starsze, niewspierane już wersje Windows nie otrzymały łaty, a wielu wspieranych systemów po prostu nie zaktualizowano. Opóźnienia spowodowane testami kompatybilności i ograniczonymi zasobami często sprawiają, że systemy pozostają niezałatane i podatne na zagrożenia. Exploit jest dostarczany jako załącznik do wiadomości e-mail. Po uruchomieniu robak rozprzestrzenia ransomware za pośrednictwem sesji RDP i wspomnianej wyżej luki w zabezpieczeniach SMB. Robak próbuje dostarczyć złośliwe oprogramowanie jak najszybciej do jak największej liczby systemów. Ransomware szyfruje pliki i wyświetla żądanie okupu. Szczegółową analizę kodu i wykonywalnego pliku wirusa można znaleźć w tym wątku w witrynie MalwareBytes.
Napastnicy żądają nawet 600 dolarów w bitcoinach za odszyfrowanie plików
Exploit ETERNALBLUE został upubliczniony wskutek wycieku danych z systemów Shadow Brokers w kwietniu 2017 r. Wyciekły wówczas narzędzia i exploity, które grupa Shadow Brokers rzekomo wykradła z NSA.
Co dalej?
Jonathan Tanner, inżynier oprogramowania w firmie Barracuda Networks, który prowadzi blog poświęcony bezpieczeństwu, radzi, jak zabezpieczyć się przed atakami. Co warto zatem zrobić, aby ustrzec się przed WannaCry?
- Regularnie aktualizować oprogramowanie, zwłaszcza te technologie, które mają długą historię luk w zabezpieczeniach. Utrzymywać aktywne subskrypcje rozwiązań antywirusowych.
- Systemy, które nie są już wspierane, należy jak najszybciej wymienić na nowe. Systemy bez przedłużonego wsparcia powinny zostać natychmiast usunięte z sieci, nawet jeśli nie można od razu ich zastąpić.
- Nie sposób przecenić znaczenia czujności, jeśli chodzi o pocztę elektroniczną i załączniki do wiadomości e-mail. E-mail to podstawowa metoda infekcji w niemal każdym ataku. W tym przypadku jedna osoba, która otworzyła złośliwy załącznik, mogła doprowadzić do zainfekowania wszystkich innych podatnych urządzeń w sieci.
- Wyłączyć nieużywane i niepotrzebne usługi w swoich systemach. Każda taka usługa stanowi potencjalne zagrożenie.
- Korzystać z zaawansowanej bramy pocztowej, która będzie chronić przed takimi atakami.
- Regularnie tworzyć kopie zapasowe wszystkich swoich danych.
Wielowarstwowe rozwiązanie zabezpieczające i strategia ochrony danych to kluczowe elementy bezpieczeństwa cyfrowego, ale dla personelu firm i instytucji równie ważne jest uświadamianie innych osobom w swoich organizacjach ryzyka związanego z cyberatakami. Zrozumienie zagrożeń, wsparte szkoleniami i inicjatywami uświadamiającymi, pomoże użytkownikom chronić się samodzielnie.
