Компютърният вирус "WannaCry"

През последните месеци усилено се заговори за зловредния софтуер WannaCry. Повод за това е гигантската хакерска атака, която засегна света през май 2017 г. Това се оказа една от най-големите кибератаки, която засегна компютрите в много страни и нанесе сериозни щети на бизнеса. На много хора им бе отнет достъпа до личните им данни и бе съобщено, че трябва да платят откуп, ако искат отново да получат достъп до тях. По някои данни засегнати са около 200 000 компютри, като сред тях са компютри на болници, банки, телекомуникационни компании и складове.

Именно в това се изразява целта на този вирус тип рансъмуер ("ransomware") – да заключи компютъра на човек, докато не бъде платен откуп за него. Веднъж инфектирал компютъра, вирусът започва да криптира всички данни. След това програмата извиква прозорец със съобщение на него да се плати исканата сума, която с напредването на брояча изписан на екрана, нараства или в противен случай информацията ще бъде унищожена, веднъж щом таймера спре.

Потребителите трябва да платят 300$ във виртуалната валута bitcoin. До три дни сумата, ако не е платена, тя се удвоява. В рамките на 7 дни при неплащане, се известява чрез съобщение, че криптираните файлове ще бъдат изтрити.  Компанията за сигурност Symantec твърди, обаче, че не намира никакъв код вътре в рансъмуера, който да изтрие файловете. Същата компания съобщава, че следи непрекъснато в последно време за атаки на рансъмуер вируси и, че има ръст в броя на инцидентите като за 2016 г. тези, които са проследили наброяват 483,800.

WannaCry се насочва към всякакви потребители - големи и малки. Големите компании не са имунизирани срещу това действия. Пример за засегнати големи организации са Telefonica, испански доставчик и телекомуникационен оператор с операции в Европа, Азия и Америка, Националната здравна служба в Обединеното кралство, FedEx, Deutsche Bahn, LATAM Airlines и други. Отчетите показват, че над 150 държави са били атакувани от злонамерения софтуер.

Месец по-рано на 14 април от NSA излизат с твърдение, че група наречена "Shadow Brokers", за която се предполага, че има връзки с руското правителство е правила опити да нахлуе в системите им. Разузнавателната общност възприела информацията като знак, че Русия ще атакува американските системи, а преди това в страната са се провеждали изборите. Атаката с подобен вирус била  опасна, поради причината, че включва няколко "експлойта" и съдържа различни начини, с които да се прониква и в по-старите системи на Windows. Отделно имало указание и как стъпка по стъпка да се използват инструкциите, за да се задейства атаката. Все пак системите с Windows 10 не са били засегнати. Това са стари експлойти, които датират от около 2009 до 2013 г. Като интересен факт се споменава, че WannaCry или ransomware- и с това име, датират отпреди Shadow Brokers да изхвърлят тези експлойти в интернет.

Не са известни извършителите зад атаките, но е намесено името на хакерската група SpamTech. Доказателства обаче няма. Говори се, че и Северна Корея има пръст в цялата работа, но и тук липсват конкретни улики.

Заради „задържането“ на подобни експлойти, Microsoft обвини правителствата, че не ги разкриват и, че по този начин се пречи на самите системи да бъдат по-добре защитени. Големите институции, публични и частни, са особено бавни и трудно подобряват своите системи, което ги прави уязвими за хакерите. Това е проблем, с който се сблъсква всяко правителство и е истинско предизвикателство да си с голяма система, която е силно изложена на риск от атака.

Самите Microsoft бяха засекли следи от вируса във версията си от март месец, но много вероятно e потребителите им да не са обновили устройствата си след като вируса се е разпространил.

Ars Technica и други организации докладват, че в действителност вирусът е свързан с групата Shadow brokers.

След глобалната атака, Microsoft предприе стъпка да преиздаде версиите на Windows, които преди това са "оттеглили", но този път с нанесени корекции по тях. Като например версията Windows XP. Windows XP все още се използва на персонални компютри, включително много използвани от NHS, оставяйки потребителите изложени на риск. Затова и всеки, който използва Windows XP, трябва да актуализира системата си до най-новата версия възможно най-скоро.

В свое изявление  по повод атаката, президентът на Microsoft и главният юридически агент Брад Смит се изказа, че тя е пример за това как отново запасите от експлойти на правителствата създават проблеми.

Той я описва като неволна, но същевременно обезпокоителна, заради връзката, която създава между двете най-сериозни форми на заплаxа за киберсигурността в днешно време – държавните действия и организираната престъпност.   

Последното изследване на Microsoft за XP за WannaCry, показало, че старата система не е била сериозно засегната и сравнително малко машини са пострадали. Компаниите за сигурност Kaspersky и BitSight казват, че Windows 7 е бил засегнат най-много от ransomware- ът. Kaspersky твърдят за около 97% от инфекциите, които идват от Windows 7, а BitSight говорят за 67% от инфекциите на същата операционна система.

Цялата история ни кара да се запитаме, доколко ние самите сме изложени на риск от това да бъдем засегнати от вируса. Истината е, че ако се използва по-стара версия на Windows, която вече не се поддържа от Microsoft, ще сме уязвими към WannaCry, според блога на Microsoft. Това включва Windows 8 и Windows XP. Но ако използвате Windows 10 или някоя от другите версии, като Windows Vista, Windows 7 и Windows 8.1, ще сме защитени доколко е възможно и докато са активирани автоматичните ни актуализации.

Google от своя страна назначи личен изследовател, който успя след обстойно разследване, да открие два файла с отпечатъци на WannaCry и Contopee. Последният има прилики с по- ранната версия на първия и се оказа особено опасен, след като през февруари 2016 г. хакери успяха да го внедрят в системите на централната банка на Бангладеш и да измъкнат от нея около 81 милиона долара.

Правителството на САЩ направи връзка на атаката със Северна Корея. Групата Lazarus е обвинена в нападението. Тази група лично през 2014 г. унищожи компютърните системи на Sony Pictures Entertainment. Kaspersky признава за подобни прилики, но и вметнаха, че е възможно самата атака да е извършена от друг и приписана на Северна Корея. Друг изследовател по сигурността, от Берлин, Клаудио Гуарниери също намира сходства и заявява, че кодът и на двата вида злонамерен софтуер е леснодостъпен и може да бъде повторно използван.

WannaCry също използва някои нови инструменти, използвани от NSA. Например Phising, EternalBlue и DoublePulsar. Атаките от WannaCry обикновено включват комбинация от тези три, за да открият и експлоатират уязвимости в системата.

При Phising се получава това, че компютърът се заразява от WannaCry от измамнически фишинг по имейл, както и от съобщения и телефонни обаждания, при които нападателят се опитва да открадне имейлите, паролите, данните за кредитната карта. За целта те създават реплика уеб сайт, заснемат тази информация, която след това се изпраща на атакуващия. Киберпрестъпниците инсталират злонамерен софтуер на компютъра и крадат информацията.

За EternalBlue се предполага, че  разработка на NSA и използва уязвимост при прилагането от Microsoft на протокола Block Server Message (SMB). Това бе разрешено в актуализацията от март 2017 г. за всички поддържани в момента версии на Windows. Това са Windows 7, Windows 8.1, Windows 10, Windows Server 2008, 2012 и 2016. По-старите операционни системи, които вече не се поддържат от Windows като Windows XP, Windows Server 2013 и Windows 8, са потенциално широко отворени за атака на WannaCry. Затова и Microsoft реши да създаде нов пач, за да помогне на тези потребители да актуализират и защитават своите системи.    

DoublePulsar е разработена от NSA, която се разпространява чрез мрежа и заразява компютрите без последния пач за операционната система. DoublePulsar е изтекъл от Shadow Brokers през април 2017 г. и е използван за заразяване на хиляди компютри. Този злонамерен софтуер се насочва към машини, работещи под Windows, и това е задна вратичка, чрез която може да бъде зареден друг злонамерен софтуер на заразената машина. Веднъж заразени, машините разпространяват злонамерен софтуер, изпращат спам и стартират атаки на други компютри. DoublePulsar обикновено се инсталира с помощта на EternalBlue exploit.

По върпоса как да се предпазим от вируса WannaCry е добре да се уверим, че софтуерът, който ползваме е актуален. Да се избягват и да не се отварят подозрителни имейли, кликане върху непознати връзки или да се отварят файлове, които не са очаквани.

Публикувано на 19 Октомври 2017 в 14:12 часа от
Герасим Иванов


Ключови думи:Вируси, заплахи в мрежата, софтуер, защита, WannaCry

0 Коментара
Добавете вашия коментар:

Име:
E-маил: (незадължително)
Емотикони: smile wink wassat tongue laughing sad angry crying 

| Отписване

Свържете се с нас