Atak WannaCrypt blokuje komputery w 99 krajach na świecie. „To zwykli przestępcy, nie terroryści” (opinie)

Pierwsze doniesienia o atakach z użyciem oprogramowania WanaCrypt0r 2.0 pojawiły się w piątek i pochodziły z brytyjskich mediów, bowiem właśnie w Wielkiej Brytanii wywołało ono najwięcej zamieszania powodując awarie systemu informatycznego służby zdrowia.

Wskutek ataku wiele brytyjskich szpitali, przychodni i ambulatoriów zostało sparaliżowanych, wkrótce potem podobne informacje napłynęły z innych krajów. Zgodnie z nimi wśród ofiar hakerów były m.in. komputery rosyjskiego Ministerstwa Spraw Wewnętrznych, tamtejsza sieć komórkowa Megafon czy Telefonica – największy operator telekomunikacyjny w Hiszpanii.

WanaCrypt0r 2.0 jest odmianą złośliwego oprogramowania typu ransomware, którego działanie polega na szyfrowaniu danych na dysku twardym użytkownika i w efekcie zablokowaniu dostępu do komputera. Aby odzyskać dane użytkownik musi zapłacić autorom ataku okup, który w wypadku WannaCrypt wynosi 300 dol. w kryptowalucie.

Według danych udostępnionych przez firmy zajmujące się bezpieczeństwem w internecie od piątku zostały zaatakowane komputery w 99 państwach na całym świecie. Wśród nich znalazły się maszyny tworzące infrastruktury krytyczne w takich krajach jak Wielka Brytania, gdzie WanaCrypt zainfekował komputery należące do państwowej służby zdrowia paraliżując system przyjmowania i obsługi pacjentów.

Obiektem ataku stała się też m.in. Telefonica, największy operator telekomunikacyjny w Hiszpanii, jeden z dostawców internetu w Portugalii czy rosyjskie MSW.

Według ekspertów zajmujących się bezpieczeństwem w sieci atak miał charakter globalny bez skupisk dotyczących konkretnych regionów świata. Świadczy o tym mapa sporządzona przez F-Secure pokazująca miejsca zaatakowane przez WannaCrypt wykryte przez tę firmę.

Według informacji podanych przez BBC za atakiem może stać grupa hakerów o nazwie The Shadow Brokers, która posłużyła się oprogramowaniem pochodzącym z amerykańskiej Narodowej Agencji Bezpieczeństwa.  

WannaCrypt wykorzystuje do ataku lukę bezpieczeństwa w systemie Windows, która została wykryta w marcu br., a którą koncern Microsoft załatał w aktualizacji opublikowanej w tym samym miesiącu. Ofiarą WannaCrypt padają zatem te systemy, które nie zostały w porę zaktualizowane. W odpowiedzi na kryzys Microsoft opublikował stosowaną dodatkową aktualizację dotyczącą wszystkich starszych systemów (w tym Windows 8 oraz Windows XP) i wezwał ich użytkowników do natychmiastowej reakcji.

W sobotę pojawiła się informacja o tym, że atak z użyciem WannaCrypt został gwałtownie powstrzymany. Miał za tym stać jeden z informatyków który odkrył, że WannaCrypt nawiązuje połączenie z niezarejestrowaną internetową domeną. Informatyk za kwotę przekraczającą nieco 10 dol. zarejestrował ten adres i ataki ustały. Jednak według rozmów przeprowadzonych przez serwis Wirtualnemedia.pl z ekspertami cyberbezpieczeństwa nie ma żadnej gwarancji, że WannaCrypt w każdej chwili powróci związany z witryną o zupełnie innym adresie.

Okup za WannaCrypt to 35 tysięcy złotych, ale ta kwota wzrośnie

Piotr Konieczny, szef zespołu bezpieczeństwa Niebezpiecznik.pl (firmy zajmującej się włamywaniem na serwery innych firm za ich zgodą w celu namierzenia błędów bezpieczeństwa w ich infrastrukturze teleinformatycznej) podkreśla, że powodzenie i skala obecnego ataku to w dużej mierze skutek zaniedbań po stronie użytkowników.

- Wstępne analizy sugerują, że atak rozprzestrzenia się pomiędzy komputerami wykorzystując znane (ale niezałatane przez ofiary) dziury w windowsowej usłudze SMB – podkreśla Piotr Konieczny.

- Szczegóły tych dziur zostały ujawnione kilka miesięcy temu wraz z opublikowaniem w internecie narzędzi wykradzionych NSA. Microsoft już dawno udostępnił stosowne aktualizacje. Jak jednak widzimy - nie wszyscy je zaaplikowali. Ponieważ przestępcy przyjmują okup w Bitcoinach, a adresy wpłat są znane można je śledzić. Obecnie znajduje się na nich wartość ok. 35 tys. zł, a więc za odzyskanie swoich danych zapłaciło kilkadziesiąt osób. Jak na skalę infekcji to niezbyt dużo. Ale biorąc pod uwagę to, że pewnie dla wielu pozyskanie Bitcoinów nie jest proste – wpłaty mogą zacząć przyrastać. Ta sytuacja kolejny raz pokazuje, że jeśli regularnie aktualizujemy oprogramowanie to możemy uniknąć większości ataków. A jeśli do tego regularnie robimy kopie bezpieczeństwa ważnych danych, to nawet jeśli przestępcom uda się przejąć nasz system zawsze możemy go zainstalować od nowa i odtworzyć dane z backupu – przestrzega Konieczny.

To nie są terroryści, cyberwojna niewykluczona

W rozmowie z nami Sean Sullivan, doradca ds. cyberbezpieczeństwa w firmie F-Secure wątpi w terrorystyczne podłoże obecnego ataku. - WannaCry to powtórka z przeszłości. Niestety organizacje przez długi czas ignorowały podstawowe zasady bezpieczeństwa, takie jak konieczność użycia firewalla i dlatego WannaCry szybko wymknął się spod kontroli - wyjaśnia Sean Sullivan.

- To co się stało nie jest najgorszym scenariuszem - szczęście w nieszczęściu atak nie był aktem terrorystycznym czy działaniem na zlecenie rządu. Cyberprzestępcy w tym przypadku kierują się chęcią zarobienia pieniędzy, a skutki ataku są odwracalne. Skala przedsięwzięcia to jednak niebezpieczny dowód na to, że potencjalnie możliwy byłby atak o nieodwracalnych skutkach, przeprowadzony przez hakerów na rzecz któregoś z państw.

Z kolei Kamil Gapiński, kierownik projektu w Fundacji Bezpieczna Cyberprzestrzeń nie wyklucza, że obecny atak wykorzystujący WannaCrypt to rodzaj treningu przed większą ofensywą w ramach cyberwojny, o czym przeciętny obywatel nigdy się nie dowie.

- WannaCrypt jest zagrożeniem o skali globalnej. Istotnym porównaniem z lat ubiegłych może być np. bot Mirai, który wykorzystywał urządzenia internetu rzeczy na całym świecie - przypomina Kamil Gapiński . - Ataki typu ransomware będą się zdarzały coraz częściej, jest to obecnie jeden z głównych wektorów ataków. U podłoża tego trendu znajduje się kilka czynników.

Według naszego rozmówcy kwestia przechowywania ogromnej ilości istotnych danych na niezabezpieczonych systemach i związana z tym niska świadomość użytkowników jest oczywista.

- Te same systemy są wykorzystywane na domowy użytek i jako podstawowe narzędzie pracy operatorów infrastruktury krytycznej, czyli szpitali, wodociągów, sektora transportu itd. – wyjaśnia Gapiński. - Również dlatego ransomware stosunkowo łatwo przeprowadzić, a znacznie trudniej się przed nim chronić. Wzrasta też znaczenie kryptowalut, czyli środka płatności wykorzystywanego przez cyberprzestępców w atakach tego typu. Dziś najczęściej jest to Bitcoin, ale w kolejce stoi, już zresztą wykorzystywany, Blockchain. Niepokój budzi także coraz większa dostępność tego oprogramowania zwłaszcza, że pojawiają się one już w ramach usługi (ransomware as a service). Jak to ewoluowało w przypadku DDoS (rozproszonej odmowy dostępu) mogliśmy się przekonać sami – tego typu usługi można zakupić już za kilka dolarów.

W ocenie eksperta z Fundacji Bezpieczna Cyberprzestrzeń ataki typu ransomware będą tak długo skuteczne, jak właściciele zaszyfrowanych danych będą spełniali żądania przestępców.

- Do tej grupy należy niewielka część zaatakowanych użytkowników, ale tego typu atak nie musi być w pełni skuteczny, by jednak przynosił korzyści – zaznacza Gapiński. - Nierzadko mówimy tu przecież o niskich sumach przelewanych na konta hakerów na zasadzie „świętego spokoju”. W przypadku WannaCryptu jest to 300 dol., co po dokonaniu rachunku potencjalnych strat w wyniku utraconych danych jest niewielkim wyrzeczeniem. A dane nie zawsze można w pełni odszyfrować. Właśnie na takich użytkowników liczą przestępcy.

Nasz rozmówca ostrzega, że już teraz tworzone są złośliwe kody, które żądają sum w oparciu o np. stopień dobrobytu danego kraju. - Warto też przypomnieć, że zjawisko ransomware tylko w niewielkiej części dotyczy systemów wykorzystywanych w firmach. Zgodnie z badaniami (np. Kaspersky), można ocenić, że ponad trzy czwarte ataków jest skierowana na domowe komputery – podkreśla Gapiński. - Być może kampania WannaCrypt jest częścią operacji o charakterze wojny sieciowej. Element państwowy jest w tym przypadku zresztą obecny. Złośliwy kod, według doniesień znajdował się wcześniej w posiadaniu NSA. Z oceną tego zagrożenia pod kątem cyberwojny należy się jednak wstrzymać, dopóki nie zostanie przeprowadzona szczegółowa analiza tego przypadku w obszarze atrybucji. Krótko mówiąc, możemy się nigdy nie dowiedzieć - przewiduje Gapiński.