WannaCry

WannaCry był globalnym atakiem ransomware w maju 2017 roku. Czy nadal stanowi zagrożenie? Czytaj dalej, aby dowiedzieć się więcej.

.st0{fill:#0D3ECC;} POBIERZ MALWAREBYTES ZA DARMO

Także dla Windows, iOS, Android, Chromebook i Dla Biznesu

Trudno dziś ignorować ataki ransomware. Według Internet Crime Report FBI, lokalne zgłoszenia takich zagrożeń wzrosły o 20% w 2020 roku. Globalnie, ataki nasiliły się o ponad 60% w latach 2019-2020. Nie tylko ataki ransomware są coraz częstsze, ale stają się one również bardziej zauważalne.

Nie pozwól, by ransomware przejął kontrolę nad twoim urządzeniem.

Upewnij się, że Twoje urządzenie jest chronione przed ransomware.
Wypróbuj Malwarebytes Premium za darmo przez 14 dni.

DOWIEDZ SIĘ WIĘCEJ

Od rurociągów naftowych i szpitali po szkoły, banki i organizacje charytatywne, wydaje się, że żadna organizacja nie jest odporna na ataki ransomware. To nie tylko duże firmy cierpią z powodu tych naruszeń cyberbezpieczeństwa. Małe firmy również stają się celem ransomware i mogą mieć trudności z przetrwaniem, ponieważ zazwyczaj mają mniej zasobów niż większe korporacje do odzyskiwania.

Chociaż globalny atak WannaCry miał miejsce w 2017 roku, od tego czasu pojawiło się wiele innych typów ransomware. Przyjrzyjmy się WannaCry i dowiedzmy się, dlaczego był to tak znaczący incydent cybernetyczny. 

Czym był atak ransomware WannaCry? 

„Ups, Twoje pliki zostały zaszyfrowane!”

W maju 2017 roku ransomware WannaCry rozprzestrzenił się po całym świecie poprzez komputery z systemem Windows. Prawie dwa miesiące wcześniej firma Microsoft wydała łatkę zabezpieczającą dla EternalBlue, exploita, który napastnicy wykorzystali do propagowania ransomware WannaCry. Jednak wielu użytkowników Windowsa na całym świecie nie zaktualizowało swojego oprogramowania lub używało nieaktualnych wersji, przez co było podatnych na atak na dużą skalę. 

Atakujący WannaCry zaszyfrowali komputery z systemem Windows na całym świecie i zażądali okupu o początkowej wartości 300 dolarów w Bitcoinie, potem 600 dolarów. Zainfekował szacunkowo 230 000 komputerów w 150 krajach w ciągu kilku godzin. Po tym, jak początkowo szybko rozprzestrzenił się na całym świecie, badacz bezpieczeństwa Marcus Hutchins odkrył "kill switch", który znacznie spowolnił rozprzestrzenianie się ataku. 

Mapa ciepła infekcji ransomware WannaCry

Dlaczego WannaCry odniósł taki sukces?

Ransomware jak WannaCry zazwyczaj działa poprzez szyfrowanie plików lub blokowanie systemu. Następnie żąda zapłaty w postaci kryptowaluty, takiej jak Bitcoin, ponieważ taką walutę trudniej jest śledzić niż elektroniczne przelewy, czeki czy gotówkę. Jednak WannaCry ma pewne cechy, które czynią go innym niż typowy atak ransomware, o którym czytasz dzisiaj.

Cybergangi zazwyczaj używają czystych szczepów ransomware do ataków celowanych. Wyobraź sobie, że to łuk i strzała zamiast katapulty. Pierwsze jest najlepsze do trafienia jednego celu naraz, a drugie do uderzania w wiele celów. Na przykład, malware i gang kryminalny stojący za atakiem ransomware na Colonial Pipeline pozornie skoncentrowali się tylko na jednym celu. Aby zainstalować ransomware DarkSide, gang najwyraźniej skorzystał ze znanego hasła do starego konta VPN.

Z drugiej strony, WannaCry był bardziej jak katapulta. Spełnił swoją nazwę, infekując setki tysięcy komputerów w ponad 150 krajach w zaledwie kilka godzin. Nie brał jeńców, szybko uderzał we wszelkiego rodzaju systemy poprzez sieci biznesowe. Dlaczego więc rozprzestrzenienie się ransomworma WannaCry było tak powszechne i skuteczne?

1. Komponent worma

Worm to rodzaj złośliwego oprogramowania, które może usuwać pliki, konsumować przepustowość i szybko się rozprzestrzeniać bez potrzeby posiadania pliku gospodarza. Samo się rozmnaża, co oznacza, że w przeciwieństwie do wirusa, nie potrzebuje ludzkiej aktywacji, aby rozpocząć swoją złośliwą działalność. Dodatkowo, wormy mogą podrzucać malware takie jak ransomware. WannaCry uderzył w komputery z systemem Windows jak pożar dzięki swojemu komponentowi worma.

2. Exploity

Exploit to niezabezpieczona systemowa luka, którą cyberprzestępca może wykorzystać do złośliwej działalności. Wadą, którą wykorzystuje WannaCry, jest sposób, w jaki Windows zarządza protokołem SMB (Server Message Block). W skrócie, protokół SMB umożliwia komunikację między węzłami sieciowymi. Chociaż Microsoft załatał luki w 2017 roku, aktorzy zagrożeń używają luk w SMB nawet dziś do ataków Trojan i ransomware, ponieważ wielu użytkowników Windowsa nie pobiera aktualizacji.  

Które sektory ucierpiały najbardziej przez WannaCry?

Atak WannaCry rozprzestrzenił się tak szybko i zainfekował tak wiele komputerów na całym świecie, że wiele branż zostało dotkniętych. Są to m.in.: 

  • Opieka zdrowotna
  • Służby ratunkowe
  • Security
  • Logistyka
  • Telekomunikacja
  • Gaz
  • Benzyna
  • Motoryzacja
  • Edukacja
  • Reklama

Ile komputerów zainfekował WannaCry?

WannaCry dotknął szacunkowo 230 000 komputerów. Malware wpłynął na działalność szpitali, służb ratunkowych, stacji benzynowych, a nawet fabryk. Niektóre szacunki oceniają finansowy koszt ataku na miliardy dolarów.

Kto stworzył WannaCry?

Stany Zjednoczone oficjalnie obwiniają Koreę Północną za atak WannaCry i nawet postawiły w stan oskarżenia trzech Koreańczyków Północnych za tego rodzaju malware oraz za atak na Sony Pictures Entertainment w 2014 roku. Co ciekawe, NSA (National Security Agency) mogła również nieumyślnie odegrać rolę w ataku WannaCry.

Rzekomo NSA odkryła lukę w SMB, którą wykorzystuje WannaCry. Później, ten tak zwany EternalBlue exploit tool został rzekomo skradziony z organizacji wywiadowczej i wyciek przeprowadzili The Shadow Brokers (TSB), grupa hakerów.

Czy WannaCry nadal stanowi zagrożenie?

WannaCry stanowi mniejsze zagrożenie w dużej mierze dzięki heroizmowi Marcus'a Hutchinsa. Brytyjski badacz bezpieczeństwa komputerowego opracował "kill switch" za pomocą inżynierii odwrotnej i honeypotów, które zapobiegły dalszemu wykonywaniu WannaCry. Ponadto, zespół francuskich badaczy znalazł sposób na odszyfrowanie niektórych zarażonych komputerów bez płacenia okupu.

Jednak WannaCry nadal jest aktywne. Aktualizuj regularnie system operacyjny Windows, aby mieć najnowsze łatki bezpieczeństwa. Możesz też polegać na inteligentnej technologii antymalware Malwarebytes, która proaktywnie wykrywa i usuwa Ransom.WannaCrypt.  

Co robi WannaCry, jeśli nie zostanie zapłacony okup?

WannaCry żąda 300 dolarów w Bitcoinie po zablokowaniu systemu, a później podwaja kwotę okupu. Grozi również trwałym usunięciem danych w ciągu trzech dni. W Malwarebytes zalecamy nie płacić gangom ransomware, częściowo dlatego, że to zachęca więcej takich grup do szybkiego wzbogacenia się. Ponadto nie ma gwarancji, że odblokujesz swoje pliki lub komputer. Na przykład, nie każdy ofiara WannaCry odzyskała swoje pliki po zapłaceniu okupu, prawdopodobnie z powodu defektu w samym ransomware.  

Jakie są dobre strategie ochrony przed ransomware?

Dla urządzeń, z których korzystasz w domu, używaj oprogramowania antywirusowego/antymalware, które chroni przed wszelkiego rodzaju złośliwym oprogramowaniem, w tym ochrona przed ransomware. W przypadku firm, strategie łagodzenia ransomware obejmują: 

  1. Korzystaj z oprogramowania zabezpieczającego, które potrafi wykrywać i blokować zagrożenia ransomware. 
  2. Regularnie twórz kopie zapasowe swoich danych i zastosuj air gap do krytycznych kopii zapasowych.
  3. Segmentuj swoją sieć.
  4. Zabezpieczaj luki w zabezpieczeniach poprzez regularne sprawdzanie aktualizacji.
  5. Uważaj na wektory zagrożeń ransomware, takie jak e-maile phishingowe.
  6. Ustawiaj skomplikowane hasła i zmieniaj je okresowo.
  7. Chroń swój system i kluczowe konta dzięki uwierzytelnianiu dwuskładnikowemu.

Malwarebytes oprogramowanie anty-ransomware dla firm

Malwarebytes Wykrywanie punktów końcowych i reagowanie zapewnia opcje reagowania wykraczające poza zwykłe alerty, w tym opatentowane funkcje Linking Engine Remediation i Ransomware Rollback.

DOWIEDZ SIĘ WIĘCEJ

Artykuły o WannaCry z Malwarebytes Labs