WannaCry ? globalny paraliż spowodowany przez ransomware

Atak z użyciem ransomware (oprogramowania wymuszajÄ…cego okupy) o nazwie WannaCry zapoczÄ…tkowany 12 maja sprawiÅ‚, że dziesiÄ…tki tysiÄ™cy urzÄ…dzeÅ„ na caÅ‚ym Å›wiecie zostaÅ‚y zablokowane. OfiarÄ… padÅ‚y miÄ™dzy innymi: brytyjska sÅ‚użba zdrowia, rosyjskie MSW, firmy transportowe, telekomunikacyjne, oÅ›rodki szkolnictwa i wiele innych organizacji. Koszt odblokowania każdego urzÄ…dzenia dotkniÄ™tego atakiem to $300 pÅ‚atne w walucie Bitcoin. Komunikat wysÅ‚any przez hakerów mówi również, że „jeżeli jesteÅ› zbyt biedny, aby zapÅ‚acić”, dane zostanÄ… odblokowane, ale… po 6 miesiÄ…cach.

Atak jest szeroko komentowany, ponieważ ucierpiaÅ‚y liczne elementy infrastruktury publicznej – przykÅ‚adem sÄ… szpitale w Wielkiej Brytanii, które musiaÅ‚y zostać zamkniÄ™te, a operacje pacjentów przeÅ‚ożone na inne terminy. WedÅ‚ug najnowszych danych Europolu liczba zaatakowanych komputerów w ponad 150 krajach Å›wiata przekroczyÅ‚a liczbÄ™ 200 000.

– To najwiÄ™kszy atak ransomware w historii – mówi Mikko Hypponen, gÅ‚ówny dyrektor ds. badaÅ„ w firmie F-Secure.

Zaatakowani zostali również niemiecki przewoźnik Deutsche Bahn i hiszpaÅ„ski dostawca usÅ‚ug telekomunikacyjnych Telefónica. Zatrzymanie linii produkcyjnej z uwagi na blokadÄ™ ogÅ‚osiÅ‚a firma Renault. WedÅ‚ug danych z F-Secure Labs najbardziej dotkniÄ™te atakiem kraje to Rosja, Chiny, Francja, Tajwan, Stany Zjednoczone, Ukraina oraz Korea PoÅ‚udniowa.

– Atak ransomware WannaCry to powtórka z przeszÅ‚oÅ›ci. Niestety, organizacje przez dÅ‚ugi czas ignorowaÅ‚y podstawowe zasady bezpieczeÅ„stwa, takie jak konieczność użycia firewalla i dlatego WannaCry szybko wymknÄ…Å‚ siÄ™ spod kontroli – mówi Sean Sullivan, doradca ds. cyberbezpieczeÅ„stwa w firmie F-Secure.

WannaCry wykorzystuje lukÄ™ usÅ‚ugi Server Message Block (SMB) w Microsoft Windows. W dodatku atak odbywa siÄ™ za pomocÄ… exploita (program wykorzystujÄ…cy bÅ‚Ä™dy w konkretnym oprogramowaniu), który zostaÅ‚ wykradziony amerykaÅ„skiej Agencji BezpieczeÅ„stwa Narodowego (NSA) w kwietniu.

Firma Microsoft wypuÅ›ciÅ‚a już stosowne Å‚atki (MS17-010) w marcu, ale wiele Å›rodowisk IT nie przeprowadza regularnych aktualizacji, a niektóre z nich korzystajÄ… jeszcze z systemu Windows XP, który już od dÅ‚uższego czasu nie jest wspierany przez producenta. Zdarza siÄ™, że użytkownicy korzystajÄ… z pirackiego oprogramowania (szczególnie w Rosji i w Chinach), a w tym przypadku urzÄ…dzenie nie jest w stanie przeprowadzić aktualizacji. W zwiÄ…zku z zaistniaÅ‚ym atakiem firma Microsoft wypuÅ›ciÅ‚a aktualizacjÄ™ dla systemów Windows XP oraz Server 2003.

Organizacje powinny niezwÅ‚ocznie sprawdzić, czy firewall, z którego korzystajÄ…, jest odpowiednio skonfigurowany i czy Windows zostaÅ‚ zaktualizowany do najnowszej wersji (w szczególnoÅ›ci chodzi o aktualizacjÄ™ MS17-010). Na tÄ™ chwilÄ™ nie jest możliwe odszyfrowanie komputerów, które już zostaÅ‚y zablokowane – na odzyskanie danych bez koniecznoÅ›ci uiszczenia okupu mogÄ… liczyć organizacje, które przeprowadzaÅ‚y backup swoich plików.

Jednemu z badaczy, który zauważyÅ‚, że zÅ‚oÅ›liwe oprogramowanie nawiÄ…zuje poÅ‚Ä…czenie z niezarejestrowanÄ… domenÄ…, udaÅ‚o siÄ™ spowolnić rozprzestrzenianie infekcji. Po rejestracji domeny za niewiele ponad 10 dolarów ataki ustaÅ‚y. Nie ma niestety pewnoÅ›ci, że odmiana ransomware WannaCry nie zostanie wykorzystana ponownie, Å‚Ä…czÄ…c siÄ™ z innÄ… domenÄ….

RozwiÄ…zania F-Secure chroniÄ…ce punkty koÅ„cowe blokujÄ… ataki ransomware, takie jak WannaCry – poniżej znajduje siÄ™ mapa wskazujÄ…ca miejsca, w których udaÅ‚o siÄ™ zapobiec atakom:

Aby chronić się przed atakami ransomware, należy wdrożyć podstawowe środki bezpieczeństwa:

1. Oprogramowanie ochronne
Pierwszym krokiem jest zainstalowanie oprogramowania ochronnego – dotyczy to nie tylko komputerów, ale także smartfonów i tabletów.

2. Regularny backup danych
Należy czÄ™sto przeprowadzać backup danych i przechowywać je offline, aby w razie ataku nie zostaÅ‚y zainfekowane. Warto co jakiÅ› czas sprawdzać, czy faktycznie ich przywracanie dziaÅ‚a bez zarzutów. W razie ataku ransomware bÄ™dzie można bÅ‚yskawicznie odzyskać swoje pliki bez koniecznoÅ›ci uiszczania opÅ‚aty cyberprzestÄ™pcom.

3. Aktualizacja oprogramowania
Należy regularnie przeprowadzać aktualizacje. Znaczna część ataków wykorzystuje luki w przestarzaÅ‚ym oprogramowaniu. DostÄ™pne sÄ… również narzÄ™dzia, które same sugerujÄ… lub przeprowadzajÄ… regularne aktualizacje bez ingerencji użytkownika.

4. Podejrzane załączniki w mailach
Wskazana jest wzmożona czujność w odniesieniu do zaÅ‚Ä…czników przesyÅ‚anych drogÄ… mailowÄ… – w szczególnoÅ›ci plików ZIP, EXE oraz dokumentów pakietu Office (Word, Excel czy PowerPoint). Jeżeli nie znamy nadawcy wiadomoÅ›ci, lepiej nie otwierać ich w ogóle. Należy również pamiÄ™tać, aby nie zezwalać na wÅ‚Ä…czanie makr w dokumentach Office.

5. Mniej wtyczek w przeglÄ…darce
Warto ograniczyć liczbÄ™ wtyczek w przeglÄ…darce, które mogÄ… być źródÅ‚em infekcji. Można to w Å‚atwy sposób skonfigurować w ustawieniach dotyczÄ…cych pluginów.

– Masowy paraliż spowodowany przez WannaCry nie jest jeszcze najgorszym scenariuszem – szczęście w nieszczęściu, że atak nie byÅ‚ aktem terrorystycznym czy dziaÅ‚aniem na zlecenie rzÄ…du. CyberprzestÄ™pcy w tym przypadku kierujÄ… siÄ™ chÄ™ciÄ… zarobienia pieniÄ™dzy, a skutki ataku sÄ… odwracalne. Skala przedsiÄ™wziÄ™cia to jednak niebezpieczny dowód na to, że potencjalnie możliwy byÅ‚by atak o nieodwracalnych skutkach, przeprowadzony przez hakerów na rzecz któregoÅ› z paÅ„stw – podsumowuje Sullivan.