WannaCry je novi ransomware koji agresivno napada bolnice, kompanije i željeznice širom svijeta. Ovaj virus, koji se širi pomoću e-mail attachmenta, uspio je podići na noge međunarodne stručnjake koji pokušavaju otkriti ko tačno stoji iza ovog globalnog hakerskog napada.
Piše: Vesna Matić-Karić
E-mail: redakcija@asadria.com
WannaCry ransomware počeo se naglo širiti u petak, 12. maja, a u trenutku pisanja ovog teksta već je bilo zaraženo 230 hiljada računara širom svijeta, što je dovelo do prekida rada brojnih bolnica, kompanija, kao i smetnji u transportnim mrežama. Procjenjuje se da je više od 1,3 miliona sistema i dalje ranjivo na ovaj najnoviji zlonamjerni softver.
Napad su prvo počeli prijavljivati medicinski radnici u Britaniji nakon što su primijetili da im se računari počinju gasiti. Uspjeli su uhvatiti screenshotove WannaCrya, iz kojih se vidi da napadači traže 300 dolara u Bitcoin valuti kako bi fajlovi bili opet otključani – i to za svaki računar posebno. Osim bolnica, ovim napadom zahvaćene su i razne druge organizacije iz cijelog svijeta, uključujući Rusiju i Kinu. Treba napomenuti i to da je WannaCry poznat i kao Wanna Decryptor te “wcry”, a riječ je o virusu koji iskorištava propust u SMB (Server Message Block) protokolu u Windowsu.
Alat izvorno napravila NSA
Na ovaj napad ranjivi su samo Windows računari na kojima nije instalirana sigurnosna nadogradnja koju je Microsoft objavio prije nekoliko mjeseci, s tim da je kompanija sada objavila vanrednu zakrpu za nepodržane verzije Windowsa (XP, 8, Server 2003). Vjeruje se da je alate kojima je napad izvršen od NSA ukrala hakerska grupa Shadow Brokers. Hakeri su sve ukradene alate učinili javno dostupnim i besplatnim, a kao razlog krađe naveli su protest protiv američkog predsjednika Trumpa.
Kako je dan odmicao, stigle su dodatne prijave napada, većinom iz evropskih država. Međutim, prema nekim izvještajima, izgleda da je Rusija najviše zahvaćena, pa su njena ministarstva unutrašnjih poslova, zdravstva, kao i domaće banke te ruska željeznica svi odreda prijavili ovaj hakerski napad. Prijavila ga je i druga po veličini mreža mobilne telefonije u Rusiji, a zahvaćeni su, između ostalog, i Portugal Telecom, okružna vlast u Švedskoj, njemačka željeznica te FedEx. I u Španiji je napadnut veliki broj kompanija i organizacija, uključujući i njihovog telekomunikacijskog giganta Telefonicu, dok je u Francuskoj napad prijavio poznati proizvođač automobila Renault, koji je bio prisiljen obustaviti rad u nekoliko fabrika. Što se tiče naše regije, u početnoj fazi širenja WannaCry ransomwarea inficiran je glavni informatički sistem hrvatskog MUP-a.
IT sigurnosni stručnjak Ori Eisen, osnivač sigurnosne kompanije Trusona, upozorava da se isti ovakav napad može usmjeriti na kritičnu infrastrukturu poput nuklearnih elektrana i brana.
Napad na zdravstvene institucije
Ono što posebno zabrinjava jesu posljedice s kojima se zbog ovog razornog napada suočavaju bolnice. Naime, među najteže pogođenim su organizacije Nacionalne zdravstvene službe (National Health Service) u Engleskoj i Škotskoj, što je prouzrokovalo neviđen haos u njihovom funkcionisanju. Napad je praktično blokirao više od trećine NHS bolnica, a najveću štetu su, naravno, pretrpjeli pacijenti, koji nisu mogli doći na zakazane preglede, među kojima su i srčani bolesnici, kojima su zbog kolapsa sistema otkazane operacije srca.
Koliko je situacija alarmantna, pokazuje potez čelnika zahvaćenih zdravstvenih institucija, koji su zbog pritiska javnosti (ali i zbog glasina da napadači već imaju novu verziju virusa) odlučili što brže nadograditi svoj softver. Jedan od NHS-ovih radnika, koji je htio ostati anoniman, rekao je da je napad posljedica phishinga: “Dobijamo mnogo spama i izgleda da je nešto poslano svim organizacijama u zemlji. Ostale bolnice su upozorene da ne otvaraju ove e-mailove.”
U Europolu su izjavili da će njihov tim stručnjaka za IT sigurnost podržati sve zemlje pogođene napadom u okviru velike međunarodne istrage kako bi ušli u trag počiniteljima, ali šteta je već napravljena – i to zbog činjenice da su na mnogim računarima bile instalirane nepodržane verzije Windowsa.
Međutim, kada je riječ o osiguravanju zdravstvenih ustanova od hakerskih napada, situaciji ne pomaže ni činjenica da većina ovih organizacija teži ka tome da svoje sigurnosne mjere učini “pametnijim” kroz povećanu umreženost i velike podatke. Iako ovo nudi veliki potencijal kada je riječ o mijenjanju trenutnog (i zastarjelog) modela zdravstvene njege, sve to, nažalost, podrazumijeva i veću opasnost od hakerskih napada zbog iste umreženosti, koja ima toliko dobrih strana.
Kako funkcioniše WannaCry ransomware?
Za razliku od većine drugih zlonamjernih programa koji se oslanjaju na to da će ih ljudi proširiti klikanjem zaraženog attachmenta, kada WannaCry dospije u neku organizaciju, on samostalno pronalazi ranjive računare napadajući ih na isti način. Virus je zasnovan na EternalBlue alatu, koji je osmislila NSA radi upada u “nezakrpljene” verzije Windowsa, a koji je Shadow Brokers grupa objavila zajedno s drugim NSA-inim alatima 14. aprila ove godine.
Iako smo već ranije pisali o tome šta je, zapravo, ransomware, o načinu na koji funkcioniše te metodama zaštite od njega, još jednom ćemo ponoviti osnovne stavke prevencije nastanka štete od njegovog napada. Kao prvo, najbolje bi bilo da imate backup svih bitnih podataka na nekom potpuno odvojenom sistemu koji uopšte nije povezan s internetom i kojem pristupa ograničen broj ljudi. I kao drugo, opet vrijedi naglasiti vrijednost edukacije, jer kada već znate bitne informacije o tome kako funkcionišu zlonamjerni programi, polovina posla na zaštiti podataka već je odrađena. Recimo, ako zaposlenici već znaju da se virusi uglavnom instaliraju preko zaraženih priloga u e-mailovima i linkova koji vode na zaražene web-sajtove, onda znaju i da ne trebaju neselektivno klikati na sve što im se prikaže na ekranu.
Dakle, sumnjičavost neka vam bude na prvom mjestu u mislima svaki put kada primite neki neželjeni e-mail ili dobijete želju da jednostavno kliknete na neki link koji vas vrlo lako može odvesti na zaraženi web-sajt. Kada svemu tome dodate i dobar, provjeren antivirusni softver, stvari bi trebale biti pod solidnom kontrolom.
Slučajni kill switch usporio napad ransomwareom
Analitičar za sajbersku sigurnost iz Britanije, poznat pod imenom MalwareTech, uspio je nakratko usporiti napade tako što je pronašao određenu domenu u samom kodu “crva”, koju je ovaj koristio za napade. Kada je registrovao pronađenu domenu, automatski se aktivirao kill switch u kodu virusa. Svaki put kada bi WannaCry zarazio računar, pokušao bi naći i web-sajt na spomenutoj domeni. Ukoliko ga ne bi pronašao, nastavio bi s napadom, a ukoliko bi – prestao bi funkcionisati. Iako je ovaj potez spriječio hiljade mogućih napada, stručnjaci upozoravaju da hakeri mogu prepraviti kod malwarea i tako omogućiti nastavak napada.
