Știri despre securitate, dezvăluiri și puncte de vedere ale experților ESET

WannaCryptor aka WannaCry: răspunsuri la întrebările-cheie

2017-05-17

WannaCryptor, cunoscut sub numele de WannaCry, reprezintă una dintre cele mai importante știri de securitate cibernetică din 2017. De fapt, ați putea sugera că este una dintre cele mai importante din ultimii ani. Întrucât știrile au fost lansate vineri, radiodifuzorii, jurnaliștii, bloggerii, comentatorii, experții și furnizorii de securitate, pentru a numi doar câțiva, au raportat, au discutat și au analizat această amenințare globală cu un nivel de atenție nevăzut înainte.

În timp ce acest lucru este binevenit, uneori se poate simți o supraîncărcare a informării. Conștientizând acest lucru, a fost pus la bătaie acest Q & A, reunind câteva dintre punctele cheie ale subiectului. Există suficiente informații pentru a cunoaște toate aspectele importante, fără a ne pierde prea mult în detalii, dar și o mulțime de link-uri dacă doriți mai multe detalii în anumite zone legate de această poveste.

Ce este WannaCryptor?

WannaCryptor și variantele sale, constituie un tip de software rău intenționat, cunoscut sub numele de ransomware, o metodă de atac din ce în ce mai populară în rândul infractorilor cibernetici, ce implică o criptare ilegală a fișierelor și a dispozitivelor. Atacatorii solicită ulterior o răscumpărare pentru “recuperarea în siguranță” a fișierelor și a dispozitivelor menționate.

Potrivit lui Michael Aguilar, specialist în securitatea afacerilor la ESET, WannaCryptor, cunoscut și sub numele de WannaCry și Wcrypt, “spre deosebire de majoritatea codurilor malware de criptare, are capabilități asemănătoare viermilor informatici, capacități care îi permit să se răspândească de la sine”. Specialistul ESET oferă câteva sfaturi înțelepte în articolul său despre cum puteți să vă protejați. Clienții ESET au fost deja protejați de acest atac prin modulul de protecție al rețelei ESET.

Versiunea în limba engleză a mesajului ransomware, ce se adaptează în mai multe limbi, pe baza localizării, a apărut pe ecranele computerelor infectate sub forma: “Oops, fișierele dvs. au fost criptate!”. Autorii malware-ului au adăugat că este inutil să căutați o modalitate prin care să puteți accesa fișierele fără ajutorul lor. Acest ajutor vine, desigur, cu un cost – 300 dolari în bitcoin pentru fiecare computer infectat.

Ce s-a întâmplat?

În Marea Britanie, buletinele de știri din țară au raportat că mai multe site-uri din sistemul național de sănătate NHS au fost lovite de un atac cibernetic masiv. Serviciile au fost întrerupte, doctorii, medicii de familie și profesioniștii din domeniul sănătății s-au găsit în imposibilitatea de a accesa computerele sau fișierele – în realitate, această situație aducând în starea de staționare anumite părți ale sistemului de sănătate.

Cu toate acestea, este neclar nivelul de perturbare cauzată de închiderea preventivă sau de izolarea sistemelor, mai degrabă decât de breșele directe.

NHS Digital, care este brațul tehnologiei informației al Departamentului de Sănătate, a emis rapid o declarație.

Acesta a declarat: “Acest atac… afectează organizațiile dintr-o serie de sectoare. În acest stadiu nu avem dovezi că datele pacientului au fost accesate.”

Curând, a devenit clar că atacul cibernetic a fost, de fapt, unul la scară globală, afectând aproape 150 de țări (printre care se numără Spania, SUA, India, Rusia și China) și implicând tot felul de organizații și agenții guvernamentale.

De exemplu, în Spania, compania de telecomunicații Telefónica a fost afectată; în Rusia, ministerul de interne a raportat incidente, iar în SUA, FedEx a confirmat că a fost de asemenea victimă a atacului de tip ransomware.

În cursul săptămânii, specialiștii din domeniul securității interne și externe au reacționat rapid la acest atac, inclusiv NHS Digital, ESET, Microsoft și Centrul Național de Securitate Cibernetică din Marea Britanie, fapt ce a dus mult la limitarea pagubelor și a impactului WannaCryptor.

În plus, “norocul” a jucat, de asemenea, un rol în încetinirea malware-ului. Un individ din Marea Britanie, cu pseudonimul MalwareTech, a activat accidental ceea ce s-a constatat ulterior a fi un comutator de distrugere în malware.

Acesta a scris pe Twitter în data de 13 mai: “Voi mărturisi că nu am știut faptul că înregistrarea domeniului ar putea opri malware-ul până când a fost înregistrat, așa că inițial a fost un fapt accidental.” Pentru mai multe detalii despre această situație, vă rugăm să consultați blogul său ulterior, Cum să opriți în mod accidental atacurile cibernetice globale.

Aici nu este, în niciun caz, vorba despre sfârșitul acestui atac. Povestea este încă în desfășurare, noi infectări fiind încă raportate în întreaga lume, deși aparent cu “mai puțină energie” decât la momentul inițial. Totuși, mulți specialiști solicită vigilență, fiind posibile șocuri ulterioare din cauza complexității acestui ransomware.

Cum s-a ajuns aici?

În prezent, nu este clară sursa originală pentru acest malware, dar probabil că WannaCryptor a fost livrat fie prin e-mail – ascuns într-un atașament – fie prin intermediul unui backdoor (presupunând că un sistem fusese deja compromis).

În acest caz, malware-ul a exploatat o vulnerabilitate în versiunile mai Microsoft mai vechi (Windows XP, Windows 8.0, Windows Server 2003) și/sau în versiunile cu suport ale sistemului de operare Windows unde nu a fost aplicată actualizarea MS17-010. Computerele care au fost infectate nu au actualizat sistemul de operare, oricare ar fi motivul, cu cea mai recentă versiune. Actualizarea MS17-010 a fost disponibilă pentru sistemele acceptate din martie 2017 și a fost disponibilă pentru Windows XP/Windows 8.0/Windows Server 2003 pe data de 12 mai.

Cazul a subliniat multe lacune în cadrul unor organizații, agenții de securitate și guverne, inclusiv schimbul sărăcăcios și inoportun de informații; ineficiențe și și o abordare lentă pentru a reacționa la eforturile de securitate cibernetică concentrate și o insuficiență financiară în acest domeniu, toate acestea crând o perfectă multitudine de oportunități pentru exploatare pentru infractorii cibernetici.

Ce spun experții, factorii de decizie și organizațiile?

Rob Wainwright, directorul executiv al Europol, a declarat într-un interviu pentru Robert Peston: “Am văzut creșterea numărului de cazuri cu ransomware devenind principala amenințare cibernetică, dar acest caz este unul cu care nu ne-am mai confruntat până acum – acoperirea globală este fără precedent. “

Într-o postare pe blogul oficial al companiei, Brad Smith, președinte și ofițer legal la Microsoft, a descris WannaCryptor ca un “apel de trezire pentru toți”. El a adăugat: “Ar trebui să luăm din acest atac recent o determinare reînnoită pentru o acțiune colectivă mai urgentă. Avem nevoie ca sectorul tehnologic, clienții și guvernele să colaboreze pentru a proteja împotriva atacurilor cibernetice. Sunt necesare mai multe acțiuni, iar acum este nevoie. “

Mark Porter, președintele consiliului Asociației Medicale Britanice, a remarcat: “Trebuie să stabilim rapid ceea ce a mers prost pentru a împiedica acest lucru din nou și trebuie, de asemenea, puse întrebări cu privire la investițiile necorespunzătoare în sistemele informatice NHS, dacă acestea au lăsat vulnerabile sistemele în fața unui astfel de atac”.

MalwareTech, așa-numitul erou accidental, a concluzionat în blogul său: “Un lucru foarte important este faptul că sinkholing-ul nostru doar oprește această mostră și nu există nimic care să îi oprească să elimine verificarea domeniului și să încerce din nou, deci este incredibil de important ca orice sisteme nesalvate să aibă efectuate patch-uri cât mai repede posibil. “

Secretarul britanic pentru sănătate, Jeremy Hunt, criticat pentru tăcerea cu privire la atac, a declarat la trei zile de la lansarea știrilor: “Conform celor mai recente informații, nu am văzut un al doilea val de atacuri, iar nivelul activității infracționale se situează la limita inferioară a intervalului pe care am anticipat-o și cred că acest lucru este încurajator. “

David Harley, cercetător senior la ESET, a declarat: “Dacă nu ați profitat de patch-ul pentru versiunile Windows acceptate (Vista, 7, 8.1 și versiuni ulterioare) la momentul respectiv, acum ar fi un moment bun pentru a face acest lucru (cu câteva zile mai devreme ar fi fost chiar mai bine). Dacă utilizați una dintre versiunile Windows vulnerabile menționate mai sus (și da, suntem conștienți că unii oameni trebuie să o facă din cauza problemelor de hardware sau de compatibilitate software), vă recomandăm să actualizați sau să profitați de noua actualizare. “

EDITOR



Leave a Reply

Your email address will not be published. Required fields are marked *