Menu
A+ A A-

WannaCry: ransomware napad gigantskih razmjera

WannaCry je novi ransomware koji agresivno napada bolnice, kompanije i željeznice širom svijeta. Ovaj virus, koji se širi pomoću e-mail attachmenta, uspio je podići na noge međunarodne stručnjake koji pokušavaju otkriti ko tačno stoji iza ovog globalnog hakerskog napada.

Piše: Vesna Matić-Karić   E-mail: Ova adresa el. pošte je zaštićena od spambotova. Omogućite JavaScript da biste je vidjeli.

WannaCry ransomware počeo se naglo širiti u petak, 12. maja, a u trenutku pisanja ovog teksta već je bilo zaraženo 230 hiljada računara širom svijeta, što je dovelo do prekida rada brojnih bolnica, kompanija, kao i smetnji u transportnim mrežama. Procjenjuje se da je više od 1,3 miliona sistema još uvijek ranjivo na ovaj najnoviji zlonamjerni softver.

Napad su prvo počeli prijavljivati medicinski radnici u Britaniji nakon što su primijetili da im se računari počinju gasiti. Uspjeli su uhvatiti screenshotove WannaCrya, iz kojih se vidi da napadači traže 300 dolara u Bitcoin valuti kako bi fajlovi bili opet otključani – i to za svaki računar posebno. Osim bolnica, ovim napadom zahvaćene su i razne druge organizacije iz cijelog svijeta, uključujući Rusiju i Kinu. Treba napomenuti i to da je WannaCry poznat i kao Wanna Decryptor te "wcry", a riječ je o virusu koji iskorištava propust u SMB (Server Message Block) protokolu u Windowsu.

Alat izvorno napravila NSA

Na ovaj napad ranjivi su samo Windows računari na kojima nije instalirana sigurnosna nadogradnja koju je Microsoft objavio prije par mjeseci, s tim da je kompanija sada objavila vanrednu zakrpu za nepodržane verzije Windowsa (XP, 8, Server 2003). Vjeruje se da je alate kojima je napad izvršen od NSA ukrala hakerska grupa Shadow Brokers. Hakeri su sve ukradene alate učinili javno dostupnim i besplatnim, a kao razlog krađe su naveli protest protiv američkog predsjednika Trumpa.

Kako je dan odmicao, stigle su dodatne prijave napada, većinom iz evropskih država. Međutim, prema nekim izvještajima, izgleda da je Rusija najviše zahvaćena, pa su njena ministarstva unutrašnjih poslova, zdravstva, kao i domaće banke te ruska željeznica, svi odreda prijavili ovaj hakerski napad. Prijavila ga je i druga po veličini mreža mobilne telefonije u Rusiji, a zahvaćeni su, između ostalog i Portugal Telecom, okružna vlast u Švedskoj, njemačka željeznica te FedEx. I u Španiji je napadnut veliki broj kompanija i organizacija, uključujući i njihovog telekomunikacijskog giganta Telefonicu, dok je u Francuskoj napad prijavio poznati proizvođač automobila Renault, koji je zbog njega bio prisiljen obustaviti rad u nekoliko fabrika. Što se tiče naše regije, u početnoj fazi širenja WannaCry ransomwarea inficiran je glavni informatički sistem hrvatskog MUP-a.

IT sigurnosni stručnjak Ori Eisen, osnivač sigurnosne kompanije Trusona, upozorava da se isti ovakav napad može usmjeriti na kritičnu infrastrukturu poput nuklearnih elektrana i brana.

Napad na zdravstvene institucije

Ono što posebno zabrinjava jesu posljedice s kojima se zbog ovog razornog napada suočavaju bolnice. Naime, među najteže pogođenim su organizacije Nacionalne zdravstvene službe (National Health Service) u Engleskoj i Škotskoj, što je prouzrokovalo neviđen haos u njihovom funkcionisanju. Napad je praktično blokirao više od trećine NHS bolnica, a najveću štetu su, naravno, pretrpjeli pacijenti, koji nisu mogli doći na zakazane preglede, među kojima su i srčani bolesnici, kojima su zbog kolapsa sistema otkazane operacije srca.

Koliko je situacija alarmantna, pokazuje potez čelnika zahvaćenih zdravstvenih institucija, koji su zbog pritiska javnosti (ali i zbog glasina da napadači već imaju novu verziju virusa) odlučili što je moguće brže nadograditi svoj softver. Jedan od NHS radnika, koji je htio ostati anoniman, rekao je da je napad posljedica phishinga: "Dobijamo mnogo spama i izgleda da je nešto poslano svim organizacijama u zemlji. Ostale bolnice su upozorene da ne otvaraju ove e-mailove."

U Europolu su izjavili da će njihov tim stručnjaka za IT sigurnost podržati sve zemlje pogođene napadom u okviru velike međunarodne istrage kako bi ušli u trag počiniteljima, ali šteta je već napravljena – i to zbog činjenice da su na mnogim računarima bile instalirane nepodržane verzije Windowsa.

Međutim, kada je riječ o osiguravanju zdravstvenih ustanova od hakerskih napada, situaciji ne pomaže ni činjenica da većina ovih organizacija teži ka tome da svoje sigurnosne mjere učini "pametnijim" kroz povećanu umreženost i velike podatke. Iako ovo nudi veliki potencijal kada je riječ o mijenjanju trenutnog (i zastarjelog) modela zdravstvene njege, sve to, nažalost, podrazumijeva i veću opasnost od hakerskih napada zbog iste umreženosti, koja ima toliko dobrih strana.

Kako funkcioniše WannaCry ransomware?

Za razliku od većine drugih zlonamjernih programa koji se oslanjaju na to da će ih ljudi proširiti klikanjem zaraženog attachmenta, kada WannaCry dospije u neku organizaciju, on samostalno pronalazi ranjive računare napadajući ih na isti način. Virus je zasnovan na EternalBlue alatu, koji je osmislila NSA radi upada u "nepokrpljene" verzije Windowsa, a koji je Shadow Brokers grupa objavila zajedno sa drugim NSA-inim alatima 14. aprila ove godine.

Iako smo već ranije pisali o tome šta je, zapravo, ransomware, o načinu na koji funkcioniše te metodama zaštite od njega, još jednom ćemo ponoviti osnovne stavke prevencije nastanka štete od napada njime. Kao prvo, najbolje bi bilo da imate backup svih bitnih podataka na nekom potpuno odvojenom sistemu koji uopšte nije povezan s internetom i kojem pristupa ograničen broj ljudi. I kao drugo, opet vrijedi naglasiti vrijednost edukacije, jer kada već znate bitne informacije o tome kako funkcionišu zlonamjerni programi, pola posla na zaštiti podataka već je odrađeno. Recimo, ako zaposlenici već znaju da se virusi uglavnom instaliraju preko zaraženih priloga u e-mailovima i linkova koji vode na zaražene web-sajtove, onda znaju i da ne trebaju neselektivno klikati na sve što im se prikaže na ekranu.

Dakle, sumnjičavost neka vam bude na prvom mjestu u mislima svaki put kada primite neki neželjeni e-mail ili dobijete želju da jednostavno kliknete na neki link koji vas vrlo lako može odvesti na zaraženi web-sajt. Kada svemu tome dodate i dobar, provjeren antivirusni softver, stvari bi trebale biti pod solidnom kontrolom.

Slučajni kill switch usporio napad ransomwareom

Analitičar za cyber sigurnost iz Britanije, poznat pod imenom MalwareTech, uspio je nakratko usporiti napade tako što je pronašao određenu domenu u samom kodu "crva", koju je ovaj koristio za napade. Kada je registrovao pronađenu domenu, automatski se aktivirao kill switch u kodu virusa. Svaki put kada bi WannaCry zarazio računar, pokušao bi naći i web sajt na spomenutoj domeni. Ukoliko ga ne bi pronašao, nastavio bi sa napadom, a ukoliko bi – prestao bi funkcionisati. Iako je ovaj potez spriječio hiljade mogućih napada, stručnjaci upozoravaju da hakeri mogu prepraviti kod malwarea i tako omogućiti nastavak napada.

 

     

Global Security d.o.o.
Safeta Zajke 115c, 71000 Sarajevo, Bosna i Hercegovina
Tel: +387 (0)33/788-985
Fax: +387 (0)33/788-986
Web site: www.asadria.com
Marketing: marketing@asadria.com
Pretplata: pretplata@asadria.com
PDV broj: 201142740001
Identifi kacioni broj: 4201142740001
www.asadria.com
ISSN 1986-5

  

Magazin a&s Adria – stručni magazin za kompletna sigurnosna rješenja – mjesečna je publikacija licencirana od strane kompanije Messe Frankfurt New Era Business Media za Adriatic regiju: Bosnu i Hercegovinu, Crnu Goru, Hrvatsku, Kosovo, Makedoniju, Sloveniju i Srbiju.

Magazin a&s Adria je mjesečna publikacija iz oblasti sigurnosti i zaštite čiji je primarni cilj da informiše, educira i poveže sigurnosno tržište u Adriatic regiji. Magazin nastoji biti graditelj i poveznica između proizvođača i krajnjih korisnika u čijem lancu su neizostavni sistem-integratori i instalaterske kompanije kao ponuđači usluga. Zahvaljujući jasnoj viziji razvoja koja prepoznaje potrebe tržišta, a&s Adria se etablirala kao pouzdan izvor informacija i kao takva je prepoznata od strane čitalaca još od samih početaka 2006. godine.