Ce este WannaCry si cata paguba a putut face un virus de tip ransomware ce a reusit sa infecteze 230000 de calculatoare si 150 de tari in doar cateva ore?
Vineri, 12 mai 2017, atacul cibernetic cu ransomware – ul WannaCry porneste si are o amploare fara precedent. Infecteaza mai mult de 230000 de computere din peste 150 de tari. Prima infectare se inregistreaza in Asia la 7:44 am ora locala. Infectarea initiala a fost mai degraba prin intermediul unui port SMB (Server Message Block) expus si vulnerabil decat prin email phishing cum s-a presupus initial.
Dar ce este WannCry? Sa facem cunostinta cu el: ransomware – ul sau malware – ul WannaCry e un soft “rau intentionat” care cripteaza informatiile din computerul unei persoane sau chiar retele intregi. Fisierele nu vor fi inapoiate pana cand utilizatorul nu plateste o taxa sau o rascumparare pentru deblocarea si recuperarea lor. Bineinteles ca chiar si atunci cand rascumpararea e platita, fisierele nu sunt eliberate.
Atacul cibernetic este in desfasurare in intreaga lume. Cryptowormul e cunoscut si cu numele de Wanna Crypt, Wanna Crypt0r 2.0 sau Wanna Decryptor. Are ca tinta computerele care folosesc Microsoft Windows, le cripteaza datele si cer plati pentru a le recupera in cryptomoneda Bitcoin = un sistem digital de plata inventat de un programator sau un grup de programatori cunoscut sub numele de Satoshi Nakamoto. Pana pe 17 mai 2017, un total de 238 de plati, insumand aproximativ 72.144 $, a fost transferat.
Ce este WannaCry si cat de repede s-a raspandit?
Vectorul de raspandire al infectarii a fost EternalBlue – un hack care exploateaza vulnerabilitatea MS17-010 in implementarea protocolului SMB din Microsoft. EternalBlue exploit, dezvoltat de NSA (Agentia Nationala de Securitate) a SUA, a fost dezvaluit de Wikileaks cu 2 luni in urma de atac, sa se raspandeasca prin retelele locale si gazdele la distanta, exact cei care nu si-au updatat sistemul cu cele mai recente update – uri de securitate. Scopul a fost acela de a infecta direct orice sistem expus.
Ce este WannaCry si ce calculatoare a putut infecta?
Versiunile mai vechi de Windows, considerate vulnerabile, ca Windows Vista si Windows Server 2008, au primit un patch de securitate pentru repararea acestei vulnerabilitati , in 14 martie 2017, dar mai multe organizatii nu au aplicat update – ul.
La scurt timp dupa inceperea atacului un cercetator in securitate web, cu nume de blog MalwareTech, a oprit accidental raspandirea atacului: a gasit un domeniu neinregistrat in ransomware si l-a cumparat cu 10,69$. Apoi a directionat domeniul spre o groapa de gunoi (sinkhole) sau un server care colecteaza si analizeaza traficul de tip malware. Domeniul, o asociere de litere la intamplare, era de fapt un kill switch = o metoda prin care cineva poate controla ransoware – ul. Asta a incetinit extinderea infectarii, dar noi versiuni nu vor mai avea aceasta bresa si nu va mai putea fi stopat, lucru declarat si de tanarul cercetator.
Ce este WannaCry si ce s-a intamplat, de fapt, care au fost urmarile atacului? Tarile cel mai rau afectate se pare ca au fost:
- Rusia – virusul a incercat sa infecteze mai multe computere decat in oricare alta tara, potrivit unei analize facute de Kaspersky Lab – compania rusa de antivirus; Ministerul de Interne, caile ferate si operatorul de telefonie mobila Megafon, al doilea ca marime in Rusia – toate au fost afectate de ransomware; purtatorul de cuvant al ministerului a declarat ca serverele vitale ale ministerului nu au fost afectate deoarece folosesc software intern, inclusiv un sistem de operare denumit Elbrus, care a fost dezvoltat pentru prima data in ultimii ani ai Uniunii Sovietice;
- Ucraina;
- India – reteaua de computere a sectiei de politie din Andhra Pradesh a fost afectata; ziarul Economic Times a notat ca India ar putea fi in mod particular vulnerabila deoarece un numar mare de organizatii, dar si de indivizi, folosesc versiuni vechi si neupdatate de Windows;
- Taiwan;
dar au fost lovite si parti ale
- Sistemului National de Sanatate din Marea Britanie (NHS) – aici s-a inregistrat cea mai mare perturbare – spitalele au fost nevoite sa refuze pacentii dupa ce si-au pierdut accesul la computere;
- firma spaniola Telefonica – responsabilul de cyber-securitate al firmei, un fost hacker si el, a declarat ca echipamentul infectat este “sub control si este reinstalat”;
- Automobile Dacia;
- Ministerul Afacerilor Interne Roman;
- Renault – a trebuit sa isi intrerupa activitatea in multe locatii, inclusiv Franta, Slovenia si Romania, ca masura de a opri raspandirea virusului;
- Nissan Motor Manufacturing UK;
- PetroChina – benzinariile nu au putut accepta plati cu cardul dupa ce sistemul a fost infectat;
- gigantul Statelor Unite de curierat – FedEx; acestia au declarat ca “pasii de remediere se implementeaza cat de repede posibil”, fara sa specifice cat de rau au fost afectati;
- reteaua nemteasca de cai ferate – Deutsche Bahn – tabela electronica din statiile de metrou ce anunta sosirile si plecarile a fost afectata, dar mersul trenurilor nu a fost intrerupt;
- LATAM Airlines – compania aeriana din Chile;
- CJ CGV – cea mai mare retea de cinematografe din Coreea de Sud nu a putut sa transmita filmele programate;
- Hitachi, compania japoneza, a avut probleme de intarziere a mail – urilor si esecuri in transmiterea lor; Japonia a declarat ca 2000 de computere din 600 de firme au fost afectate;
- In Indonezia, un spital din capitala Jakarta – Dharmais Cancer Hospital, a avut probleme cu dosarele pacientilor – malware – ul le-a blocat, iar acestia nu au mai putut primi numere de ordine de asteptare si au fost nevoiti sa astepte mai multe ore pana ce personalul medical le-a gasit dosarele in format hartie.
Ce este WannaCry si cat de repede se raspandeste? Pentru a putea vedea in timp real cat de repede se extinde acest virus, gasiti o harta in timp real cu toate locatiile infectate. Harta se poate vizualiza aici.
