Cum a schimbat atacul WannaCry harta amenintarilor cibernetice

Luni, 11 Noiembrie 2019, ora 12:16
2262 citiri
Cum a schimbat atacul WannaCry harta amenintarilor cibernetice
Foto: Pixabay.com / CC0 Creative Commons

Probabil cel mai cunoscut atac cibernetic din istorie, WannaCry, a produs pagube semnificative la nivel mondial, reusind in numai patru zile de activitate sa afecteze sute de mii de computere din 150 de tari si sa produca o gaura in bugetul organizatiilor cu infrastructura critica de aproximativ 8 miliarde de dolari.

Chiar si dupa an de la reprezentatia mondiala a capacitatilor sale, WannaCry se situa inca in topul celor mai raspandite familii de cryptolockers, dupa cum reiese dintr-un raport trimestrial publicat in 2018 de catre expertii Kaspersky.

96 - 200.000 - 150

Numerele de mai sus pot duce cu gandul la vreun cod malitios sau la vreo combinatie pentru deblocarea vreunui dispozitiv... In realitate, acestea caracterizeaza cel mai bine atacul ransomware WannaCry din 2017. Astfel, pe durata a patru zile (96 de ore), "epidemia" WannaCry a afectat peste 200.000 de computere din 150 de tari.

Organizatiile care detineau infrastructura critica au fost tintite direct de acest virus. In urma atacurilor, mai multe spitale si companii de productie au fost nevoite sa-si intrerupa activitatea.

Conform specialistilor de la Kaspersky, atacul WannaCry, "detonat" pe 12 mai 2017, a folosit exploit-uri din arsenalul Equation Group (precum Eternal Blue), publicate de Shadow Brokers.

"Ransomware-ul WannaCry era capabil sa se raspandeasca rapid in retele conectate la Internet si cele locale - doar in prima zi de atac se extinsese deja in 74 de tari. Diferenta esentiala fata de majoritatea cryptor-ilor este ca, in cazul WannaCry, nu este nevoie ca utilizatorul sa faca vreo greseala - sa dea click pe un link sau pe o anexa de e-mail - pentru ca infectarea dispozitivului sa fie declansata.

Acest lucru a fost posibil, pentru ca au folosit exploit-ul EternalBlue, bazat pe o vulnerabilitate pe care Microsoft a rezolvat-o pe 14 martie 2017 cu actualizarea MS17-010. Exploit-ul le permitea sa controleze de la distanta computerele utilizatorilor care nu facusera inca update-ul", au explicat expertii de la Kaspersky pentru AGERPRES.

Intreg procesul de infectare s-a derulat in doua etape, si anume prin exploit-ul care avea ca scop sa se raspandeasca, respectiv printr-u cryptor descarcat in computer dupa ce fusese deja infectat. Partea foarte periculoasa a atacului nu tinea neaparat de faptul ca putea fi infectat un singur computer, ci ca odata ce reusea intrarea intr-un PC, WannaCry putea sa viruseze intreaga retea si sa cripteze toate computerele care faceau parte din aceasta, ceea ce a permis raspandirea rapida.

Extensia fisierelor criptate era .WCRY, iar rascumpararea solicitata se ridica initial la valoarea de 300 de dolari, iar ulterior la 600 de dolari, sub amenintarea ca dupa trei zile suma va creste. Mai mult, atacatorii ii avertizau pe cei vizati ca, dupa sapte zile de la cererea de rascumparare, fisierele vor deveni imposibil de decriptat.

WannaCry, pus in dificultate de o pagina de Internet capcana

Un cercetator cunoscut sub numele Malwaretech a reusit, insa, sa suspende procesul de infectare prin inregistrarea unui domeniu cu un nume lung si fara sens. "Intr-adevar, unele versiuni ale WannaCry s-au adresat acelui domeniu si, daca nu primeau un raspuns pozitiv, instalau cryptor-ul si lansau procedura stiuta.

Daca exista un raspuns (adica, daca domeniul era inregistrat), atunci malware-ul isi oprea activitatea. Dupa ce a gasit referinta la acest domeniu in codul troianului, cercetatorul a inregistrat domeniul, suspendand astfel atacul. Ulterior, domeniul a fost accesat de zeci de mii de ori, ceea ce inseamna ca zeci de mii de computere au fost crutate", scriu specialistii Kaspersky.

Referitor la strategia la care a apelat Malwaretech, una dintre teoriile care circula in breasla specialistilor in securitate cibernetica este ca acea functionalitate a fost incorporata in WannaCry pe post de "intrerupator", in cazul in care ceva mergea prost. O alta teorie, imbratisata chiar de catre cercetatorul care a inregistrat domeniul, este aceea ca a fost o modalitate de a complica analiza comportamentului malware.

"Mediile de testare utilizate in cercetare sunt deseori concepute astfel incat orice domeniu sa dea un raspuns pozitiv; in astfel de cazuri, troianul nu s-ar manifesta in mediul de testare", potrivit acestuia.

Expertii in securitate informatica ai Bitdefender estimau ca, in 2018, numarul de vulnerabilitati dezvoltate de catre agentiile guvernamentale care ajung pe mana raufacatorilor va creste, in timp ce modul in care functioneaza ransomware, amenintare ce blocheaza accesul la datele utilizatorilor si le solicita acestora bani, se va schimba fundamental. Astfel, predictiile aratau ca majoritatea amenintarilor vor avea capacitatea de a se multiplica de la un computer la altul, fara implicarea utilizatorului, pentru a cauza pagube cat mai mari, la fel ca in cazul WannaCry.

Organizatiile mondiale, in fata agresiunii WannaCry

Data de 12 mai 2017 va ramane cu siguranta in istoria celor mai importante atacuri cibernetice petrecute la nivel european. si nu numai. A fost ziua in care in Marea Britanie au fost blocate computere la numeroase spitale, iar in Spania un atac similar a fost semnalat la mari companii spaniole, printre care Telefonica.

La scurt timp dupa declansarea atacului Wannacry, specialisti din Franta au descoperit o modalitate de a recupera gratuit cheile de criptare secrete utilizate de WannaCry, care functioneaza pe sistemele de operare Windows XP, Windows 7, Windows Vista si Windows Server 2003 si 2008.

"Valul de ransomware" a fost unul agresiv si a atins organizatii din Australia, Belgia, Franta, Germania, Italia si Mexic.

Nici Romania nu a fost ferita de acest carambol cibernetic, o serie de institutii fiind afectate. Fenomenul Wannacry a tinut pentru cateva zile prima pagina a mass-media.

Dupa analize efectuate de catre expertii in domeniu a fost elaborata o serie de sfaturi pentru protejarea utilizatorilor, atat persoane fizice, cat si juridice, de acest ransomware.

Datele publicate de catre specialistii Centrul National de Raspuns la Incidente de Securitate Cibernetica (CERT-RO), la patru zile de la declansarea atacului cibernetic, au dezvaluit faptul ca un numar de 326 de adrese IP publice din Romania au fost afectate de virusul ransomware WannaCry, pe lista gasindu-se companii ce activeaza in sectoarele energetic, transporturi, telecom sau auto, dar si sase institutii publice. La acel moment, institutia informa ca primise trei notificari de incidente cauzate de WannaCry, dintre care doua de la institutii publice si una de la o companie privata.

La nivel mondial, pagubele produse de WannaCry sunt estimate la o suma cuprinsa intre 4 si 8 miliarde de dolari.

Un lucru foarte interesant este ca, la un an si jumatate dupa izbucnirea atacurilor, in trimestrul III din 2018 WannaCry era inca in topul celor mai raspandite familii de cryptolockers, atacand peste 74.000 de utilizatori unici din toata lumea, conform datelor Kaspersky.

De aici si concluzia ca, desi trecuse multa vreme de la patch-ul publicat de Microsoft, succesul atacatorilor arata ca existau inca numeroase computere care nu dadusera curs notificarilor de a face update la sistemul de operare.

Rapid, eficient si agresiv - astfel poate fi caracterizat WannaCry, troianul care a facut sa tremure zeci de mii de utilizatori din intreaga lume. Previziunile analistilor din domeniu arata ca, in continuare, peisajul global al amenintarilor informatice va consta, in mare parte, din ransomware, troieni bancari si mineri de moneda virtuala (fisiere care folosesc puterea de procesare a computerelor infectate pentru a genera sume de bani). Diferit va fi, insa, modul de actiune al fiecarui atac, iar WannaCry a demonstrat sa totul e posibil...

Bănci din România atacate de hackeri. Care a fost lovită cel mai grav și cum au fost afectați clienții
Bănci din România atacate de hackeri. Care a fost lovită cel mai grav și cum au fost afectați clienții
Un atac de tip DDoS a lovit vineri, 15 martie, site-urile a trei mari bănci din România. Banca Transilvania și Alpha Bank au remediat problema mai rapid, însă la BCR site-ul nu a fost...
#Ransomware WannaCry, #atac cibernetic , #Internet hacking