Svět obchází nový ransomware s názvem WannaCry

Ten se sice šíří již od února, a za tu dobu napadl již několik stovek tisíc počítačů ve stopadesáti různých státech po celém světě, takže některá média neváhají hovořit o pandemii.

Nejvíce napadených počítačů je v Rusku, více jak 70.000. V ostatních státech jdou počty napadených počítačů do tisíců, ale mnohem spíše do stovek, např. v Česku, takže nic zvláštního, co do počtu obětí zde byly mnohem větší útoky a nebyla jim věnována taková pozornost.

Vzpomeňme např. ILOVEYOU, Melissa, SQL Slammer, Code Red a jaké tenkrát způsobily škody. Přesto se tomuto útoku dostalo nevídané mediální pozornosti. Proč, v čem je jiný? Tak především ve způsobu šíření a také v tom, že sami oběti, kterými byly tentokrát nikoliv jen domácnosti, ale především velké firmy a organizace, se ihned ozvaly a hlavně byly jich tisíce během několika málo hodin.

Tentokrát nemohly to, že byly napadeny, ututlat, a musely podstatně omezit svou činnost. A o koho že se jednalo? Např. o provozovatele nemocnic, přepravní společnosti, telefonní operátoři, dráhy a benzínové stanice, kde se začaly tvořit fronty, takže musely jít skutečně s pravdou ven.

Že byly napadeny tyto rigidní organizace, není příliš velkým překvapením. Je nutné si uvědomit, že tyto organizace fungují tak, že se jejich informační systém, který je využíván výhradně zaměstnanci jednou nasadí, odladí a pak běží bez výpadku x let. A hlavně, nejsou zde nastaveny žádné okamžitě automatické aktualizace, jako na domácích počítačích, protože tyhle organizace si nemohou dovolit, aby jim po aktualizaci něco přestalo fungovat.

K čemu tedy přesně došlo a jaký byl časový sled těchto událostí? Již v únoru se objevily první verze tohoto ransomware. Až později se k šíření začal používat EternalBlue exploit zneužívající SMB zranitelnosti ve Windows, na kterou byla již v březnu vydána záplata, a ke které se útočníci dostali až v dubnu díky uniklým zdrojovým kódům nástrojů používaných NSA k hackování vybraných cílů v zájmu národní bezpečnosti. A konečně teprve v květnu se tento ransomware, který fungoval i jako červ, začal neuvěřitelně rychle šířit i na další počítače v síti, aby byl následně detekován ve 150 zemích po celém světě.

Vlastní ransomware žádné nové funkcionality neobsahoval a zdá se, že v prvopočátku se šířil opět jen jako klasický phishing v příloze e-mailu, na kterou musel příjemce kliknout. Poté zašifroval data, pokusil se smazat stínové kopie, a zobrazil výzvu k zaplacení 300 USD, tedy nějakých 7300 Kč, což není tolik.

Útočnici nejspíš počítali s tím, že obětí bude víc a nejspíš ani netušili, koho se jim podaří tímto způsobem napadnout. Kdyby to tušili, tak by požadovaná částka za dešifrování byla jistě mnohem vyšší.

Jedna z posledních verzí tohoto ransomware obsahovala i tzv. kill-switch funkci, která umožnuje v případě potřeby fungování malware rychle zastavit. Podstatné je, že k odhalení kill-switche došlo poměrně záhy, a víceméně náhodou, kdy byla bezpečnostním expertem z MalwareTech doména, na níž se ransomware snažil připojit, zaregistrována.

Použití neregistrované domény jako kill-switche se jeví na první pohled jako chyba, protože tuto funkci je možné snadno detekovat a to hned několika různými způsoby. A mnozí bezpečnostní experti se nechali slyšet, že v dalších verzí bude použita jiná doména anebo se tam už kill-switch nebude nacházet vůbec.

O čem se ale moc nemluví, že je dost dobře možné i to, že tato funkcionalita byla implementována s cílem vyhnout se detekci ze strany nejrůznějších antimalware řešení, které malware spouští ve virtuálním prostředí, a která vrací v případě pokusu o konektivitu do internetu pozitivní odpověď, a v takovém případě by se malware v testovacím prostředí vůbec neprojevil. To je logické, protože útočník nechce být brzy odhalen.

Další možností pak je, že útočníci se zastavením počítali a moc si od tohoto útoku neslibovali a sami pak byli překvapeni, co se jim podařilo rozpoutat a konečně v úvahu připadá i možnost, že k vytvoření domény mělo dojít až v okamžiku, kdy by se chytila nějaká velká ryba a chtěla by vyjednávat o ceně. Ale tahle poslední varianta mi přijde jako nejméně pravděpodobná.

Jak se bránit proti tomuto ransomware a případně i dalším variantám? Upgradovat na poslední verzi OS, aktualizovat systém a aplikace, jako je antivirus, prohlížeč, JAVA, Flash, Reader, MS Office a v tomto konkrétním případě pak zakázat i SMBv1 případně na firewallu blokovat TCP porty 137, 139, 445, a UDP porty 137 a 138. A samozřejmě zálohovat a nemít zálohy připojené k počítači.

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav, 2017. Svět obchází nový ransomware s názvem WannaCry. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/svet-obchazi-novy-ransomware-s-nazvem-wannacry/. [citováno 07.12.2024].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Svět obchází nový ransomware s názvem WannaCry” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: