Tot ce trebuie să ştii despre „cel mai mare atac cibernetic din istorie“. WannaCry, programul care afectează şi România
0
Aproximativ 100 de ţări din întreaga lume sunt afectate de un program maliţios denumit „Wanna Cry“. România se află printre ţările care au fost atacate. Uzina Dacia Mioveni este blocată, SRI a confirmat atacul. Cum se manifestă atacul şi ce se poate face?
Experţii de securitate îl numesc „cel mai mare atac cibernetic din istorie“. Până acum, se pare că ar fi afectat peste 45.000 de calculatoare din întreaga lume. S-ar părea că a fost încetinit, dar având în vedere că vorbim despre un program maliţios de tipul ransomware, efectele lui vor continua să se vadă.
Înainte de a vorbi despre ţinele atacului, să vedem cum funcţionează şi cum a fost posibilă răspândirea lui la nivel global.
WannaCry este un program maliţios de tip ransomware. Experţii în securitate avertizează de mult timp privind efectele pe care le-ar putea avea astfel de programe, dar acesta este primul eveniment de o asemenea amploare.
Un ransomware este un program maliţios care, odaţă ajuns într-un dispozitiv (computer, server, smartphone etc.) criptează toate fişierele din spaţiu de stocare, blocând, practic, accesul utilizatorilor la ele. Dar programul nu se opreşte aici: după ce a criptat fişierele, afişează un mesaj prin care anunţă victima că dacă vrea să îşi mai folosească dispozitivul, trebuie să plătească o sumă de bani destul de mare, pentru a-i fi deblocate datele. În cazul de faţă, răscumpărarea este de 300 sau de 600 de dolari, potrivit start-up.ro.
Pentru a nu fi prinşi, creatorii cer ca banii să fie plătiţi în moneda Bitcoin. Moneda Bitcoin este construită în aşa fel încât informaţiile despre expeditorii şi destinatarii de bani să fie imposibil de urmărit. Acest sistem este foarte popular pe „Dark Web”, locul preferat al traficanţilor de droguri, al pedofililor, al traficanţilor de carne vie, dar şi al hackerilor şi al teroriştilor.
Ce se întâmplă dacă nu plăteşti răscumpărarea? În cazul WannaCry, fişierele afectate vor fi şterse pe data de 19 mai. Creatorii virusului ameninţă că cei care au fost infectaţi şi vor încerca să-şi actualizeze sistemul antivirus sau sistemul de operare vor rămâne instant fără datele importante.
Ce se întâmplă dacă plăteşti răscumpărarea?
În cel mai bun caz, vei primi o cheie pentru decriptarea informaţiilor. Dar nu în toate cazurile de infecţie cu ransomware, hackerii s-au ţinut de cuvânt. Deci, este posibil ca cei care plătesc să rămână cu sistemele blocate sau să le fie şterse fişierele.
Ce se poate face dacă ai fost infectat cu un ransomware?
Din păcate, nu sunt foarte multe opţiuni. Dacă nu îţi pasă foarte mult de informaţiile de pe harddisk, poţi reinstala de la zero sistemul de operare. În cazul de faţă, având în vedere că au fost afectate companii, spitale, ţinte cheie ce ţin de infrastructură, asta nu este o soluţie. Companiile de securitate încearcă să găsească cheia de decriptare şi să elibeze computerele afectate, dar nu se ştie cât va mai dura până când se va întâmpla asta. O altă sperantă a autorităţilor este să îi găsească pe autorii atacului şi să obţină cheia de la ei.
De ce s-a propagat atât de rapid WannaCry şi care este legătura cu NSA?
Faţă de alte programe de tip ransomware, WannaCry are un avantaj major: a fost creat cu ajutorul unor unelte ale NSA. Infractorii cibernetici au avut acces la respectivele unelte mulţumită unei grupări de hackeri (The Shadow Brokers) care le-a furat de la agenţia americană de securitate şi le-a publicat pe internet. Unealta care ar fi fost folosită de infractori pentru a realiza virusul WannaCry poartă numele de Eternal Blue. Eternal Blue este o modalitate de a exploata o vulnerabilitate a sistemului de operare Windows şi presupune accesarea protocolului SMB (Server Message Block), protocol care se ocupă de transferul de fişiere. Pentru respectiva vulnerabilitate a fost lansată o rezolvare, dar cei care rulează versiuni foarte vechi ale sistemului Windows (cum ar fi Windows Server 2003) nu au beneficiat de ea. Aceştia şi cei care nu au făcut actualizarea de sistem şi de antivirus la timp sunt cei care au fost afectaţi de atac.
Cum se pot proteja companiile care nu au fost afectate?
Având în vedere că programele de tipul ransomware evoluează constant, cei care au scăpat de această rundă a atacului trebuie să ia o serie de măsuri de precauţie. În primul rând, sistemul de operare şi soluţia de antivirus trebuie să fie mereu “la zi” cu actualizările. În al doilea rând, backupul constant este sfânt în astfel de situaţii. Cel mai bine ar fi ca respectiva copie de rezervă să fie ţinută pe un computer care nu dispune de o conexiune la internet şi care este monitorizată constant. Fragentarea reţelei va asigura că, în cazul unui atac, nu vor fi afectate toate computerele din instituţie din prima. De asemenea, testarea constantă a infrastructurii IT a companiei este necesară pentru a depista eventuale vulnerabilităţi.
Ce ţinte a avut WannaCry?
După cum scriam mai sus, WannaCry a afectat ţinte din aproape 100 de ţări. Printre ele se numără numeroase spitale din Marea Britanie, uzina Dacia Mioveni şi multe companii din întreaga lume. Cele mai multe ţinte au fost în Rusia şi se presupune că în spatele atacului ar fi un autor statal, dar originile nu sunt cunoscute încă.
Cum a fost încetinit WannaCry?
Ransomware-ul are şi o vulnerabilitate şi se pare că un cercetător a reuşit să se folosească de ea pentru a încetini rata cu care ransomware-ul se propagă. Mai exact, s-ar părea că cei care au creat unealta maliţioasă au făcut un “killswitch”, adică un mecanism care, odată activat, ar putea opri extinderea atacului. Cercetătorul cunoscut sub numele “MalwareTech” a descoperit faptul că virusul încearcă să se conecteze la un domeniu web neînregistrat. Dacă programul nu se poate conecta, atacul continuă şi sistemul în care a ajuns este blocat. Dacă conexiunea se poate face, atunci programul va opri atacul. “MalwareTech” a cumpărat domeniul respectiv şi a postat o pagină pe el, înlesnind conectarea virusului la domeniu şi oprind (sau încetinind, cel puţin) propagarea atacului. De ce este cercetătorul numit un „erou accidental”? Deoarece intenţia lui era să urmărească activitatea virusului după conectarea la acel domeniu, nu oprirea lui.
Octavian Palade este Events & Content Strategist start-up.ro
Se încarcă comentariile...
