WannaCry

WannaCry był globalnym atakiem ransomware w maju 2017 roku. Czy nadal stanowi zagrożenie? Czytaj dalej, aby dowiedzieć się więcej.

.st0{fill:#0D3ECC;} POBIERZ MALWAREBYTES ZA DARMO

Również dla Windows, iOS, Android, Chromebook i Dla biznesu

W dzisiejszych czasach trudno zignorować ataki ransomware. Według raportu FBI dotyczącego przestępczości internetowej, lokalne skargi dotyczące takich zagrożeń wzrosły o 20% w 2020 roku. W skali globalnej liczba ataków wzrosła o ponad 60% w latach 2019-2020. Ataki ransomware nie tylko nasilają się, ale także stają się coraz bardziej widoczne.

Nie pozwól, by oprogramowanie ransomware przejęło kontrolę nad Twoim urządzeniem

Upewnij się, że Twoje urządzenie jest chronione przed oprogramowaniem ransomware.
Wypróbuj Malwarebytes Premium za darmo przez 14 dni.

DOWIEDZ SIĘ WIĘCEJ

Od rurociągów naftowych i szpitali po szkoły, banki i organizacje charytatywne - wydaje się, że żadna organizacja nie jest odporna na ataki ransomware. Nie tylko duże firmy cierpią z powodu naruszeń cyberbezpieczeństwa. Małe firmy są również celem ransomware i może być im trudniej przetrwać, ponieważ zazwyczaj mają mniej zasobów niż większe firmy.

Podczas gdy globalny atak WannaCry miał miejsce w 2017 roku, od tego czasu pojawiło się wiele innych rodzajów oprogramowania ransomware. Przyjrzyjmy się WannaCry i dlaczego był to tak znaczący incydent cybernetyczny. 

Czym był atak ransomware WannaCry? 

"Ups, twoje pliki zostały zaszyfrowane!".

W maju 2017 r. oprogramowanie ransomware WannaCry rozprzestrzeniło się na całym świecie za pośrednictwem komputerów z uruchomioną witryną Windows. Prawie dwa miesiące wcześniej Microsoft wydał poprawkę bezpieczeństwa dla EternalBlue, exploita wykorzystanego przez atakujących do rozprzestrzeniania ransomware WannaCry. Jednak wielu użytkowników Windows na całym świecie nie zaktualizowało swojego oprogramowania lub korzystało z nieaktualnych wersji Windows, a zatem było podatnych na atak na dużą skalę. 

Atakujący WannaCry zaszyfrowali komputery Windows na całym świecie i zażądali okupu w wysokości początkowo 300 USD w Bitcoinach, a później 600 USD. Szacuje się, że w ciągu zaledwie kilku godzin zainfekowano 230 000 komputerów w 150 krajach. Po początkowym szybkim rozprzestrzenianiu się na całym świecie, badacz bezpieczeństwa Marcus Hutchins odkrył wyłącznik awaryjny, który znacznie spowolnił rozprzestrzenianie się ataku. 

Mapa cieplna infekcji ransomware WannaCry

Dlaczego WannaCry odniósł taki sukces?

Ransomware takie jak WannaCry zazwyczaj działa poprzez szyfrowanie plików lub blokowanie systemu. Następnie żąda zapłaty w formie kryptowaluty, takiej jak Bitcoin, ponieważ takie waluty są bardziej skomplikowane do wyśledzenia niż elektroniczne przelewy pieniężne, czeki lub zimna, twarda gotówka. WannaCry ma jednak pewne cechy, które odróżniają go od typowego ataku ransomware, o którym dziś czytamy.

Cybergangi zazwyczaj używają czystych szczepów ransomware do ataków ukierunkowanych. Przypomina to łuk i strzały zamiast katapulty. Ten pierwszy jest najlepszy do uderzania w jeden cel naraz, podczas gdy ten drugi jest lepszy do uderzania w wiele celów. Na przykład złośliwe oprogramowanie i gang przestępczy stojący za atakiem ransomware Colonial Pipeline pozornie skupiały się tylko na jednym celu. Aby podłożyć ransomware DarkSide, gang najwyraźniej wykorzystał znane hasło do starszego konta wirtualnej sieci prywatnej (VPN).

Z drugiej strony, WannaCry był bardziej katapultą. Zasłużył na swoją nazwę, infekując setki tysięcy komputerów w ponad 150 krajach w ciągu zaledwie kilku godzin. Nie brał jeńców, szybko atakując wszystkie typy systemów za pośrednictwem sieci biznesowych. Dlaczego więc ransomworm WannaCry rozprzestrzenił się tak szeroko i skutecznie?

1. Składnik robaka

Robak to rodzaj złośliwego oprogramowania, które może usuwać pliki, zużywać przepustowość i szybko się rozprzestrzeniać bez potrzeby posiadania pliku hosta. Rozprzestrzenia się samoczynnie, co oznacza, że w przeciwieństwie do wirusa, nie potrzebuje ludzkiej aktywacji, aby rozpocząć swoją złośliwą aktywność. Ponadto robaki mogą przenosić złośliwe oprogramowanie, takie jak ransomware. WannaCry uderzył w komputery Windows jak pożar dzięki komponentowi robaka.

2. Exploity

Exploit to niezałatana luka w systemie, którą cyberprzestępca może wykorzystać do złośliwej działalności. WannaCry wykorzystuje lukę w sposobie, w jaki Windows zarządza protokołem SMB (Server Message Block). W skrócie, protokół SMB umożliwia komunikację między węzłami sieci. Chociaż Microsoft załatał luki w 2017 r., podmioty atakujące wykorzystują luki w SMB nawet dziś do ataków trojanów i ransomware, ponieważ wielu użytkowników Windows nie pobiera aktualizacji.  

Które sektory zostały najbardziej dotknięte przez WannaCry?

Atak WannaCry rozprzestrzenił się tak szybko i zainfekował tak wiele komputerów na całym świecie, że dotknął wiele branż. Należą do nich: 

  • Opieka zdrowotna
  • Nagły wypadek
  • Security
  • Logistyka
  • Telekomunikacja
  • Gaz
  • Benzyna
  • Motoryzacja
  • Edukacja
  • Reklama

Ile komputerów zainfekował WannaCry?

Szacuje się, że WannaCry zaatakował 230 000 komputerów. Złośliwe oprogramowanie wpłynęło na działanie szpitali, służb ratunkowych, stacji benzynowych, a nawet fabryk. Niektóre szacunki mówią o miliardowych kosztach finansowych ataku.

Kto stworzył WannaCry?

Stany Zjednoczone oficjalnie obwiniają Koreę Północną za atak WannaCry, a nawet oskarżyły trzech Koreańczyków z Północy za złośliwe oprogramowanie i włamanie do Sony Pictures Entertainment w 2014 roku. Co ciekawe, NSA (National Security Agency) mogła również odegrać rolę w ataku WannaCry, choć nieumyślnie.

Rzekomo NSA odkryła lukę w zabezpieczeniach SMB, którą wykorzystuje WannaCry. Później to tak zwane narzędzie exploita EternalBlue zostało rzekomo skradzione organizacji wywiadowczej i wyciekło przez grupę hakerów The Shadow Brokers (TSB).

Czy WannaCry nadal stanowi zagrożenie?

WannaCry jest mniejszym zagrożeniem w dużej mierze dzięki bohaterstwu Marcusa Hutchinsa. Brytyjski badacz bezpieczeństwa komputerowego opracował wyłącznik awaryjny przy użyciu inżynierii wstecznej i honeypotów, który uniemożliwił dalsze wykonywanie WannaCry. Ponadto zespół francuskich badaczy znalazł sposób na odszyfrowanie niektórych komputerów bez płacenia okupu.

WannaCry jest jednak nadal aktywny. Pamiętaj, aby regularnie aktualizować system operacyjny Windows , aby upewnić się, że masz najnowsze poprawki zabezpieczeń. Możesz również polegać na inteligentnej technologii anty-malware Malwarebytes, aby aktywnie wykrywać i usuwać Ransom.WannaCrypt.  

Co robi WannaCry, jeśli nie zostanie opłacony?

WannaCry żąda 300 dolarów w Bitcoinach po zablokowaniu systemu. Później podwaja opłatę za wymuszenie. Grozi również trwałym usunięciem danych w ciągu trzech dni. Na stronie Malwarebytes zalecamy, aby nie płacić gangom ransomware, częściowo dlatego, że zachęca to kolejne gangi ransomware szukające szybkiego sposobu na wzbogacenie się. Ponadto nie ma gwarancji, że odblokujesz swoje pliki lub komputer. Na przykład, nie każda ofiara WannaCry odzyskała swoje pliki po uiszczeniu opłaty, prawdopodobnie z powodu wady samego oprogramowania ransomware.  

Jakie są dobre strategie łagodzenia skutków ransomware?

W przypadku urządzeń, z których korzystasz w domu, używaj oprogramowania antywirusowego / anty-malware, które chroni przed wszelkiego rodzaju złośliwym oprogramowaniem, w tym ochroną przed oprogramowaniem ransomware. W przypadku firm strategie łagodzenia skutków oprogramowania ransomware obejmują: 

  1. Korzystaj z oprogramowania cyberbezpieczeństwa, które może wykrywać i blokować zagrożenia typu ransomware. 
  2. Często twórz kopie zapasowe danych i zachowuj odstępy między krytycznymi kopiami zapasowymi.
  3. Segmentacja sieci.
  4. Zabezpiecz się przed exploitami, regularnie sprawdzając aktualizacje zabezpieczeń.
  5. Uważaj na wektory zagrożeń ransomware, takie jak wiadomości phishingowe.
  6. Ustaw złożone hasła i zmieniaj je okresowo.
  7. Chroń swój system i najważniejsze konta za pomocą uwierzytelniania dwuskładnikowego.

Malwarebytes oprogramowanie anty-ransomware dla firm

Malwarebytes Wykrywanie punktów końcowych i reagowanie zapewnia opcje reagowania wykraczające poza zwykłe alerty, w tym opatentowane funkcje Linking Engine Remediation i Ransomware Rollback.

DOWIEDZ SIĘ WIĘCEJ

Artykuły na temat WannaCry od Malwarebytes Labs