Koncom minulého týždňa, konkrétne v piatok, zaznamenali viaceré bezpečnostné spoločnosti masívny výskyt útokov nového ransomvéru Wannacry, ktorý začal napádať zariadenia spadajúce primárne do infraštruktúr prominentných spoločností. Tento typ škodlivého kódu funguje tak, že po infekcii zašifuje alebo zablokuje obsah infikovaného zariadenia a za jeho odšifrovanie alebo odblokovanie požaduje výkupné, k čomu dochádzalo aj v tomto prípade.
Konkrétne išlo o sumu 300 € požadovanú v digitálnej mene Bitcoin, pričom suma postupom času narastala. Obeť má navyše len niekoľko dní na to, aby zaplatila, v opačnom prípade má dôjsť k zničeniu dešifrovacieho kľúča a súbory by tak boli natrvalo neprístupné.
Aktuálne prebiehajúci útok je podľa viacerých bezpečnostných expertov najväčším ransomvér útokom v doterajšej histórii. Využíva najnovšiu verziu škodlivého kódu, o ktorého existencii sa vie už od februára 2017. Prvé informácie o existencii zraniteľnosti, ktorú Wannacry zneužíva v operačnom systéme Windows, pritom unikli z americkej vládnej agentúry NSA vďaka hackerskej skupine The Shadow Brokers.
Zatiaľ neplaťte radia odborníci, dešifrovací kľúč nemusíte dostať a pomoc môže prísť každým dňom
Ak už dôjde k zašifrovaniu obsahu zariadenia (súborov), štandardne sa k nim dá bez pomoci zo strany útočníkov dostať len vo výnimočných prípadoch. Záleží na kvalite šifrovania, ktoré kyberkriminálnici použili. Bezpečnostní experti v kóde hľadajú možné chyby, ktoré by im pomohli pri získaní dešifrovacieho kľúča a následnom vytvorení takzvaného dekryptora. Úspech týchto snažení nie je nikdy zaručený, a spravidla sa dostavuje len veľmi zriedka.
Momentálne neexistuje žiadne riešenie ako obsah zašifrovaný pomocou Wannacry získať späť, no kvôli obrovskému rozsahu škôd sa do hľadania riešenia zapojilo množstvo fundovaných odborníkov, a dokonca aj vládnych agentúr.
Podľa testov viacerých portálov však ani zaplatenie výkupného neznamená, že obeť získa dešifrovací kľúč a teda prístup k svojim súborom. Útočníci totiž využívajú len minimálny počet bitcoinových penaženiek, a nie je tak jasné, akým spôsobom by vôbec dokázali rozlíšiť rôzne obete a zaslať im tak požadovaný kľúč. Microsoft ale uvádza, že škodlivý kód súbory dokáže reálne odšifrovať, nakoľko v rámci demonštrácie svojich možností obetiam odšifruje niekoľko súborov zadarmo.
Napadnutých bolo podľa odhadov minimálne 200 000 zariadení v 150 krajinách, reálne môže ísť o milióny
Ako informovala spoločnosť ESET, na Slovensku registruje len niekoľko obetí z radov firiem. Treba však podčiarknuť, že firmy nemajú oznamovaciu povinnosť a skutočný počet obetí sa ani ESET a ani nik iný nedozvie. Oznamovacia povinnosť začne na území Európskej únie platiť až od mája 2018, vtedy však budú musieť firmy oznamovať prípady, kedy im unikli (napríklad v dôsledku škodlivého kódu) akékoľvek osobné údaje. Za nenahlásenie bude firmám hroziť pokuta.
Podľa medializovaných informácií sa na Slovensku mala obeťou stať napríklad Nitrianska nemocnica. Plný rozsah útokov ešte nie je známy, a je otázne, či vôbec niekedy bude. Vyčístliť všetky škody a zistiť všetky obete je prakticky nemožné. Čínska bezpečnostá firma Qiho 360 uvádza, že ransomvér doteraz napadol minimálne 29372 tamojších spoločností, pričom infikované sú státisíce zariadení. Posledné oficiálne odhady hovorili o 200 000 infikovaných zariadeniach po celom svete, toto číslo ale pravdepodobne dramaticky narastie v najližších dňoch.
Rýchlosť šírenia bola dramaticky znížená úplnou náhodou
Šírenie ransomvéru Wannacry označovaného aj ako Wana Decrypt0r dramatickým spôsobom spomalil počítačový expert s prezývkou MalwareTech vďaka slabine priamo v škodlivom kóde. Tá spočívala v tom, že malvér pred infikovaním zariadenia overoval dostupnosť konkrétnej webovej adresy. Ak tá nebola zakúpená, spustil šifrovanie súborov a svoje aktívne šírenie. Ako MalwareTech priznal, vôbec netušil, aký efekt bude zakúpenie domény v skutočnosti mať, a šírenie tak zastavil zaregistrovaním domény úplnou náhodou.
I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.
— MalwareTech (@MalwareTechBlog) May 13, 2017
Hoci sa množstvo ľudí po tejto správe začalo vytešovať, neskôr sa ukázalo, že predčasne. Kyberzločinci stojaci za ransomvérom Wannacry totiž upravili zdrojové kódy svojich nástrojov tak, aby registrovanie domény dokázali obísť a ďalej tak pokračovali v šírení chaosu.
Používatelia, ktorí majú nainštalované najnovšie aktualizácie sú chránení
Infekcia sa na počiatku začala šíriť škodlivými e-mailami, keďže sa však správala ako červ, začala neskôr cez sieť a internet vyhľadávať potenciálne obete s nezaktualizovaným operačným systémom. Neskôr preto obeť nemusela spraviť nič pre to, aby sa infikovala. Stačilo, aby nemala aktualizovaný operačný systém a nemala žiaden bezpečnostný softvér alebo ignorovala jeho varovania alebo bol nastavený zle.
Používatelia podporovaných operačných systémom Windows boli pred útokom v bezpečí pokiaľ mali zapnuté automaticke aktualizácie, a teda nainštalované najnovšie aktualizácie a používali aspoň zabudované ochranné riešenie Windows Defender. Microsoft totiť ešte v marci 2017 vydal aktualizáciu, ktorá odstránila zraniteľnosť aktuálne využívanú týmto škodlivým kódom.
Kvôli závažnosti situácie a tomu, že množstvo používateľov a zariadení používa už nepodporované systémy Microsoft promptne zasiahol a vydal opravné aktualizácie aj pre ne. Konkrétne ide o Windows XP, Windows 8 a Windows Server 2013.
Spoločnosť ESET zverejnila rady, ako sa pred podobnými útokmi chrániť
- Neotvárajte prílohy správ od neznámych adresátov prípadne také, ktoré ste vôbec nečakali.
- Varujte kolegov na oddeleniach, ktoré najčastejšie dostávajú e-mailové správy z externého prostredia – napríklad personálne a finančné. Firmy by mali zamestnancov o podobných hrozbách pravidelne školiť, práve cez nich totiž vystavujú svoje systémy nebezpečenstvu.
- Pravidelne zálohujte obsah svojho zariadenia. Aj v prípade úspešnej infekcie sa týmto spôsobom budete môcť dostať k vašim dátam. Externý disk alebo iné úložisko však nemôžu byť neustále pripojené k zariadeniu, inak bude jeho obsah tiež zašifrovaný. V prípade firiem a organizácii by malo byť testované, či a ako rýchlo sa vie firma k zálohe dostať.
- Pravidelne aktualizujte operačný systém a ostatné programy, ktoré na zariadení používate. Ak stále používate už nepodporovaný operačný systém Windows XP, seriózne zvážte prechod na novšiu verziu Windowsu.
- Bezpečnostný softvér používajte nie len s najnovšími aktualizáciami ale ideálne aj jeho najnovšiu verziu. Výrobcovia do novších verzií totiž pridávajú mnoho dodatočných bezpečnostných funkcií. Ak používate bezpečnostný softvér od ESETu, majte zapnutý ESET LiveGrid. Ten totiž lepšie blokuje procesy ransomwaru. Na malware dokáže reagovať skôr, než najnovšia vírusová databáza.
Firemné zariadenie je infikované, čo mám robiť?
Ak vy alebo niekto z vašich kolegov spustí na svojom zariadení podozrivý súbor alebo si všimne, že niektoré uložené súbory sa zrazu nedajú otvoriť alebo sa vám zobrazí priamo Ransomware obrazovka, okamžite zariadenie odpojte od internetu, firemnej siete a aj elektrickej siete. Ak budete jednať rýchlo je možné, že zastavíte komunikáciu škodlivého kódu so serverom útočníka ešte predtým, než dokončí šifrovanie obsahu zariadenia. Zašifrovanie celého obsahu zariadenia totiž istý čas trvá. Máte teda šancu celý proces zastaviť. Táto technika nie je stopercentná ale odpojiť zariadenie od internetu a siete je lepšie, než nespraviť nič. Následne kontaktujte IT oddelenie.
Microsoft kritizuje vládne orgány za to, že výrobcov neinformujú o objavených zraniteľnostiach
Spoločnosť Microsoft v súvislosti s prebiehajúcimi útokmi otvorene kritizovala americké vládne orgány za to, že technologické spoločnosti neinformujú o odhalených zraniteľnostiach v softvéri. Brad Smith kritizoval konkrétne spravodajské agentúry ako CIA a NSA. Útočníci stojaci za piatkovými útokmi zneužívajú zraniteľnosť v operačných systémoch Windows, o ktorej vedela agentúra NSA už poriadne dlhú dobu. Podľa informácii denníka New York Times boli použíté práve nástroje, ktoré vyvinula a využívala NSA pre vlastné spravodajské účely. Súčasná situácia má byť podľa Microsoft budíčkom pre vlády a ich bezpečnostné zložky po celom svete.