0 comments

Ce este WannaCrypt și de ce a îngrozit planeta?

by on 15/05/2017
 

Dacă ați fost plecați două zile într-un loc fără internet, bine ați revenit, apocalipsa a început, sper că sunteți pregătiți.

La sfârșitul săptămânii trecute și-a făcut apariția pe internet un nou tip de ransomware numit WannaCrypt. Acesta este bazat pe unelte de spionaj construite de NSA, ca Eternalblue și Doublepulsar, ce exploatează vulnerabilități care nu au fost în totalitate reparate din Windows.

În doar câteva zile, WannaCrypt, numit și WannaCry sau Wcry, a reușit să infecteze aproape 200 de mii de sisteme la nivel global, criptând fișierele de pe acestea și cerând o recompensă de 300 spre 600 de dolari, în bitcoin, pentru ca sistemul să revină la normal. Viteza cu care acest ransomware s-a propagat a fost înfiorătoare. Este construit pentru a se răspândi pe cât mult posibil, folosind tehnici cunoscute de NSA de foarte mult timp, iar harta pe care o puteți vedea mai jos demonstrează cât de eficient poate fi. Pentru o variantă actualizată în direct, puteți da click aici.

Vulnerabilitatea de bază de care se folosește WannaCrypt se află în serviciul SBM de file sharing din toate variantele de Windows din ultimii ani. Microsoft a lansat un update în martie care să imunizeze Windows 10 și Windows 7 la acest atac, dar fiecare altă variantă de Windows, începând de la XP, este vulnerabilă.

Ferocitatea atacului a fost de așa natură încât Microsoft chiar a lansat update-uri noi pentru Windows XP, Windows Server 2003 și Windows 8 să adreseze problema. Aceste update-uri foarte probabil erau deja implementate pentru sectoarele care beneficiau de suport extins, iar răspândirea lui WannaCrypt a obligat Microsoft să lanseze patch-ul pentru publicul larg.

Cei care n-au cum să facă update din diverse motive, dar tot sunt conectați la internet, sunt încurajați să debifeze funcția din Windows Features, ca în imaginea de mai jos.

Până la ora actuală, WannaCry a făcut ravagii, companii ca Renault fiind obligate să închidă linii de producție pentru a limita daunele făcute de acest ransomware, compania de telecomunicații spaniolă Telefonica a fost lovită, iar serviciul de asigurare națională a sănătății din Marea Britanie a fost afectat. Lista va continua să crească, pe măsură ce lumea revine la muncă.

Din fericire, WannaCrypt avea construit în el o metodă pentru a îi împiedica răspândirea, sub forma unui apel către un domeniu. Dacă acest domeniu era găsit, atunci răspândirea înceta. Această descoperire a fost făcută de un cercetător de securitate care își spune MalwareTech, ce a înregistrat domeniul „iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”, împiedicând valul inițial de atac.

Asta nu înseamnă însă că am scăpat de WannaCrypt, fiindcă a doua sa versiunea deja a început să își facă apariția, ce folosesc un alt domeniu drept comandă de oprire, sau pur și simplu nu au una. Iar având în vedere că săptămâna de muncă a început, foarte probabil va continua să se răspândească până ce problema de securitate este reparată de fiecare utilizator și companie în parte.

Încă nu este clar cum a început valul de infecție. Unele semne indică posibilitatea că ar fi fost sub forma unei campanii de e-mail, dar deocamdată nu se știe cu siguranță.

Ideea centrală este următoarea. WannaCry există din cauza unor unelte create de NSA pentru a exploata vulnerabilități cunoscute de agenția guvernamentală a SUA. Aceste vulnerabilități au fost raportate către Microsoft după dezvăluirea WikiLeaks și posibil chiar înainte de asta, din moment ce informațiile au fost descoperite de WikiLeaks plutind deja prin internet, alături de uneltele responsabile pentru necazul care a lovit acum câteva sute de mii de oameni. Cu toate acestea, Microsoft a lansat pentru publicul larg update-uri pentru numai Windows 7 și Windows 10, asta deși evident este o vulnerabilitate critică.

[ArsTechnica, The Verge, The Verge,  Engadget, PCWorld, PCWorld, The Register, The Register]

Be the first to comment!
 
Leave a reply »

 

Leave a Response