We wtorek doszło do masowego rozprzestrzeniania się oprogramowania ransomware

Z czym mamy do czynienia i czy należy się go bać? Najpierw przyjrzymy się historii poprzedniego wielkiego ataku, który miał miejsce w maju.

Pamiętacie WannaCry?

Ransomware, które jeszcze niedawno siał spustoszenie na całym świecie? Uważa się, że WannaCry mógł być największym atakiem w ubiegłej historii. Wśród 99 krajów, które zostały skażone tym oprogramowaniem najbardziej ucierpiały duże przedsiębiorstwa, można wymienić tu Telefonice (Hiszpania), FedEx (USA), Deutshce Bahn (Niemcy), Renault (Francja), oraz organizacje, takie jak National Health Service (WB), ministerstwo spraw wewnętrznych Rosji czy służby policyjne w YangCheng (Chiny).

WannaCry szyfrował dane i domagał się zapłacenia okupu za przywrócenie dostępu. Rozprzestrzeniał się poprzez spam mailowy z załcznikami oraz przez protokół SMB w sieciach lokalnych.

Pomimo wielkiego ataku (ponad 300 000 komputerów), szacuje się, że przestępcy do 14 czerwca uzbierali 130 tysięcy dolarów. Rozprzestrzenianie wirusa skończyło się dzięki Marcusowi Hutchins z Kryptos Logic, który odkrywając, że wirus łączy się z niezarejestrowaną domeną zarejestrował ją na siebie. A 16 maja naukowcy z University Collage London wypuścili PayBack, który przełamał WannaCry i kilka podobnych ransomware.

Kto stał za atakami?

Tak naprawdę, nie wiadomo. Podejrzewano Nationa Security Agency, Lazarus oraz The Shadow Brokers. Jednak nie ma pewności co do pochodzenia wirusa. NSA przyznało, że wiedziała o istnienu luki w systemach Windows, jednak broni się, że to nie ona była agresorem. Celem ataku, było więc prawdopodobnie wyłącznie chęć szybkiego wzbogacenia się kosztem innych.

Petya czy NotPetya?

Wtorkowy atak różni się od tych notowanych już w 2016 roku. Po pierwsze został tak zaprojektowany, by rozprzestrzeniać się szybciej, a główne cele ataku były z góry określone. Propagacja odbywa się trzema metodami: Pierwsza to Eternal Blue, a więc tak samo jak WannaCry, druga to Psexec- czyli narzędzie do administracji systemu Windows, a także przez Windows Management Instrumentation- komponent systemu Windows. Firmowe komputery często korzystają z Active Directory (usługa katalogowa systemu Windows). Nawet komputery z zaktualizowaną bazą wirusów są podatne infekcji, ponieważ w pełni ufają korporacyjnemu serwerowi.

Narzędzie masowego zniszczenia

Tak więc mamy do czynienia z NotPetya. Czymś jak się okazuje znacznie gorszym, bo zaprogramowanym nie dla zysku z okupu, ale w celu niszczenia danych użytkowników. Wciąż istnieją spory między specjalistami, czy dane można odzyskać, niestety coraz więcej informacji mówi o tym, że nie. Matt Suiche podjął się analizy wirusa i stwierdził, że to definitywnie wiper, o czym możecie przeczytać na jego blogu. Oprócz trwałego i nieodwracalnego uszkodzenia danych, użytkownicy byli narażeni na wyłudzenie pieniędzy. Cyberprzestępcy żądali 300$ na podane konto. Do tych samych wniosków doszli SecureList. Trochę inną opinię wysunęło the grugq, według niej dane nie są usuwane, jednak również nie dają nam nadziei, mówiąc, że dane są szyfrowane losowymi zmiennymi, a więc nawet autorzy NotPetya nie są w stanie nam pomóc.

Kto ucierpiał?

Wirus był wymierzony w Ukraińskie przedsiębiorstwa, jednak nic nie stało na przeszkodzie by pokonać granice geopolityczne i rozprzestrzenić się dalej, w tym do Niemiec, Polski, Wielkiej Brytanii czy Francji, za Oceanem Atlantyckim też nie można spać spokojnie.

Tak więc największe trudności miały: ukraiński bank centralny, dostawca energii Ukranegro, producent samolotów Antonow, duńska firma spedycyjna Maersk, kompania paliwowa Rosneft, producent leków Merck ze Stanów Zjednoczonych, firma prawnicza DLA Piper.

Nawet elektrownia w Czarnobylu doświadczyła wirusa, gdyż zainfekowany został system monitorowania promieniowania. Jednak eksperci mówią, że nie grozi nam kolejna katastrofa.

Jak się chronić?

Obecnie najpewniejszym zabezpieczeniem jest nie korzystanie z Windowsa, gdyż tylko na tych systemach doszło do ataków: Linux, Android, MacOS jest bezpieczny. Ale użytkownicy Windowsa też nie muszą czekać na swój wyrok. Warunkiem jest posiadanie zaktualizowanego oprogramowania antywirusowego na każdej platformie.

Istnieje też sposób na powstrzymanie wirusa, która została opublikowana na portalu bleepingcomputer.com (sam polecam tę stronę, byłem zmuszony z niej korzystać kilkukrotnie i zawsze pomogli mi wyjść z opresji). Metoda szczegółowo opisana jest na ich stronie, ja natomiast postaram się ją streścić:

Obecna wersja wirusa, tworzy w katalogu Windows (domyślnie C:/Windows) plik o nazwie „perfc”. Jednak nie potrafi sobie poradzić, gdy już owy się tam znajduje. Dlatego wystarczy stworzyć taki plik (bez rozszerzenia) z konta administratora w podanym katalogu i zmienić w jego właściwościach na Tylko do odczytu (Read-only).

Cyberwojna

Coraz częściej dochodzi do ataków na dużą skalę, ostatnie ataki sugerują, że są to zaplanowane działania na szkodę drugiej strony. Ponadto informacja o tym, że agencje wielkich mocarstw wiedzą o istnieniu luk w systemach zabezpieczających, nie napawa nas optymizmem. Nam pozostaje jedynie pasywna obrona i korzystanie z oprogramowania antywirusowego.

Źródła i przydatne linki:

http://www.spidersweb.pl/2017/05/wannacry-poszkodowani.html

https://en.wikipedia.org/wiki/WannaCry_ransomware_attack

http://www.spidersweb.pl/2017/06/petya-skutki-ataku-notpetya.html

https://en.wikipedia.org/wiki/Petya_(malware)

http://www.spidersweb.pl/2017/06/faq-ransomware-petya.html

https://arstechnica.com/security/2017/06/petya-outbreak-was-a-chaos-sowing-wiper-not-profit-seeking-ransomware/

https://blog.comae.io/petya-2017-is-a-wiper-not-a-ransomware-9ea1d8961d3b

Źródła obrazków:

https://4.bp.blogspot.com/-O012bS_7PXg/WRX-0tfWzhI/AAAAAAAAsmk/1UxWn9hp-sU2c-3n_zB63sfpBhm2BUidgCLcB/s1600/Wana-Decrypt0r-WannaCry-Ransomware.png

https://static01.nyt.com/images/2017/06/28/business/28hack2/28hack2-jumbo.png

https://images.pexels.com/photos/97077/pexels-photo-97077.jpeg