WannaCry, programul care afectează circa 100 de ţări

Aproximativ 100 de ţări din întreaga lume sunt afectate de un program maliţios denumit „Wanna Cry“. Cum se manifestă atacul şi ce se poate face? Experţii de securitate îl numesc „cel mai mare atac cibernetic din istorie“. Pînă acum, se pare că ar fi afectat peste 45.000 de calculatoare din întreaga lume. S-ar părea că a fost încetinit, dar avînd în vedere că vorbim despre un program maliţios de tipul ransomware, efectele lui vor continua să se vadă. Înainte de a vorbi despre ţinele atacului, să vedem cum funcţionează şi cum a fost posibilă răspîndirea lui la nivel global.   

WannaCry este un program maliţios de tip ransomware. Experţii în securitate avertizează de mult timp privind efectele pe care le-ar putea avea astfel de programe, dar acesta este primul eveniment de o asemenea amploare. Un ransomware este un program maliţios care, o dată ajuns într-un dispozitiv (computer, server, smartphone etc.) criptează toate fişierele din spaţiu de stocare, blocînd, practic, accesul utilizatorilor la ele. Dar programul nu se opreşte aici: după ce a criptat fişierele, afişează un mesaj prin care anunţă victima că dacă vrea să îşi mai folosească dispozitivul, trebuie să plătească o sumă de bani destul de mare, pentru a-i fi deblocate datele.

În cazul de faţă, răscumpărarea este de 300 sau de 600 de dolari, potrivit start-up.ro.    Pentru a nu fi prinşi, creatorii cer ca banii să fie plătiţi în moneda Bitcoin. Moneda Bitcoin este construită în aşa fel încît informaţiile despre expeditorii şi destinatarii de bani să fie imposibil de urmărit. Acest sistem este foarte popular pe „Dark Web”, locul preferat al traficanţilor de droguri, al pedofililor, al traficanţilor de carne vie, dar şi al hackerilor şi al teroriştilor. Ce se întîmplă dacă nu plăteşti răscumpărarea? În cazul WannaCry, fişierele afectate vor fi şterse pe data de 19 Mai. Creatorii virusului ameninţă că cei care au fost infectaţi şi vor încerca să-şi actualizeze sistemul antivirus sau sistemul de operare vor rămîne instant fără datele importante.     

Ce se întîmplă dacă plăteşti răscumpărarea?

În cel mai bun caz, vei primi o cheie pentru decriptarea informaţiilor. Dar nu în toate cazurile de infecţie cu ransomware, hackerii s-au ţinut de cuvînt. Deci, este posibil ca cei care plătesc să rămînă cu sistemele blocate sau să le fie şterse fişierele. 

Ce se poate face dacă ai fost infectat cu un ransomware?

Din păcate, nu sunt foarte multe opţiuni. Dacă nu îţi pasă foarte mult de informaţiile de pe harddisk, poţi reinstala de la zero sistemul de operare. În cazul de faţă, avînd în vedere că au fost afectate companii, spitale, ţinte cheie ce ţin de infrastructură, asta nu este o soluţie. Companiile de securitate încearcă să găsească cheia de decriptare şi să elibereze computerele afectate, dar nu se ştie cît va mai dura pînă cînd se va întîmpla asta. O altă speranţă a autorităţilor este să îi găsească pe autorii atacului şi să obţină cheia de la ei.   

De ce s-a propagat atît de rapid WannaCry şi care este legătura cu NSA?

Faţă de alte programe de tip ransomware, WannaCry are un avantaj major: a fost creat cu ajutorul unor unelte ale NSA. Infractorii cibernetici au avut acces la respectivele unelte mulţumită unei grupări de hackeri (The Shadow Brokers) care le-a furat de la agenţia americană de securitate şi le-a publicat pe internet. Unealta care ar fi fost folosită de infractori pentru a realiza virusul WannaCry poartă numele de Eternal Blue. Eternal Blue este o modalitate de a exploata o vulnerabilitate a sistemului de operare Windows şi presupune accesarea protocolului SMB (Server Message Block), protocol care se ocupă de transferul de fişiere. Pentru respectiva vulnerabilitate a fost lansată o rezolvare, dar cei care rulează versiuni foarte vechi ale sistemului Windows (cum ar fi Windows Server 2003) nu au beneficiat de ea. Aceştia şi cei care nu au făcut actualizarea de sistem şi de antivirus la timp sunt cei care au fost afectaţi de atac. 

Cum se pot proteja companiile care nu au fost afectate?

Avînd în vedere că programele de tipul ransomware evoluează constant, cei care au scăpat de această rundă a atacului trebuie să ia o serie de măsuri de precauţie. În primul rînd, sistemul de operare şi soluţia de antivirus trebuie să fie mereu “la zi” cu actualizările. În al doilea rînd, backupul constant este sfînt în astfel de situaţii. Cel mai bine ar fi ca respectiva copie de rezervă să fie ţinută pe un computer care nu dispune de o conexiune la internet şi care este monitorizată constant. Fragentarea reţelei va asigura că, în cazul unui atac, nu vor fi afectate toate computerele din instituţie din prima. De asemenea, testarea constantă a infrastructurii IT a companiei este necesară pentru a depista eventuale vulnerabilităţi.   

Ce ţinte a avut WannaCry?

După cum scriam mai sus, WannaCry a afectat ţinte din aproape 100 de ţări. Printre ele se numără numeroase spitale din Marea Britanie, uzina Dacia Mioveni şi multe companii din întreaga lume. Cele mai multe ţinte au fost în Rusia şi se presupune că în spatele atacului ar fi un autor statal, dar originile nu sunt cunoscute încă.   

Cum a fost încetinit WannaCry?

Ransomware-ul are şi o vulnerabilitate şi se pare că un cercetător a reuşit să se folosească de ea pentru a încetini rata cu care ransomware-ul se propagă. Mai exact, s-ar părea că cei care au creat unealta maliţioasă au făcut un “killswitch”, adică un mecanism care, odată activat, ar putea opri extinderea atacului. Cercetătorul cunoscut sub numele “MalwareTech” a descoperit faptul că virusul încearcă să se conecteze la un domeniu web neînregistrat. Dacă programul nu se poate conecta, atacul continuă şi sistemul în care a ajuns este blocat. Dacă conexiunea se poate face, atunci programul va opri atacul. “MalwareTech” a cumpărat domeniul respectiv şi a postat o pagină pe el, înlesnind conectarea virusului la domeniu şi oprind (sau încetinind, cel puţin) propagarea atacului. De ce este cercetătorul numit un „erou accidental”? Deoarece intenţia lui era să urmărească activitatea virusului după conectarea la acel domeniu, nu oprirea lui.

Sursa: Adevărul.ro