Asediul cibernetic GoldenEye: cum funcţionează şi câţi bani a generat

Asediul cibernetic GoldenEye: cum funcţionează şi câţi bani a generat

Serverele companiilor şi instituţiilor publice, ţinta unui nou atac informatic. FOTO AP

Atacul informatic GoldenEye exploatează o vulnerabilitate din Windows şi e folosit contra companiilor şi instituţiilor, în special, fiind transmis prin mail şi mascat sub diverse forme.

Ştiri pe aceeaşi temă

Primele veşti despre atacul informatic GoldenEye, de tip ransomware (care blochează datele şi cere răscumpărare pentru cheia de decriptare - n.r.) au venit din Ucraina. Oficiali guvernamentali n-au mai putut să-şi folosească PC-urile, sistemul de transport subteran a fost dat peste cap şi mai multe bancomate au fost blocate.

În plus, a fost afectată şi centrala de la Cernobîl, iar informaţiile aeroportului din Kiev n-au mai putut fi accesate nici online, nici offline. În România, SRI a declarat că instituţiile publice importante nu sunt afectate, conform verificării serviciului. Despre companii private încă nu sunt informaţii. Mai multe detalii despre componenţa virusului sunt disponibile pe „Adevărul“.

În Europa, compania daneză de livrări Maersk a raportat problemele cu sistemele informatice, inclusiv în Damco, divizia rusească de logistică. Virusul a afectat şi operaţiunile companiei petroliere ruseşti Rosneft, iar în Statele Unite ale Americii au avut probleme compania farmaceutică Merck, un spital şi firma de avocatură DLA Piper. În Marea Britanie a fost afectată agenţia de publicitate WPP.

Ce este GoldenEy​e şi cum funcţionează virusul

Primele informaţii despre atacul GoldenEye indicau folosirea unui virus cunoscut de specialişti în securitate cibernetică. Totuşi, Kaspersky Lab susţine că rezultatele sale preliminare sugerează că nu este vorba de Petya, aşa cum s-a spus, ci de un ransomware care nu a mai fost întâlnit până acum. Chiar dacă sunt câteva asemănări cu Petya, are o funcţionalitate complet diferită. L-a denumit ExPetr (terţe părţi l-au denumit Petna, NotPetya sau SortaPetya).

Datele companiei indică aproximativ 2.000 de utilizatori atacaţi. Organizaţiile din Rusia şi Ucraina sunt cele mai afectate, dar a înregistrat atacuri în Polonia, Italia, Marea Britanie, Germania, Franţa, SUA, România şi alte ţări.

Specialiştii companiei confirmă însă că vulnerabilităţile exploatate de virus sunt aceleaşi ca cele folosite de atacul WannaCry din urmă cu câteva luni: EternalBlue şi EternalRomance, modificate, pentru propagarea în interiorul reţelelor. Recomandarea rămâne aceeaşi de până acum: actualizarea sistemului de operare, dar şi să fie realizată o copie de siguranţă a datelor.

O soluţie a venit şi de la cercetătorul în securitate cibernetică Amit Serper. El a descoperit că virusul caută un fişier stocat local pe computer şi anulează secvenţa de criptare, dacă îl găseşte. Astfel, victimele atacului pot crea un fişier care poate fi doar citi şi să blocheze faza de criptare a datelor. Totuşi, fişierul ar trebui creat pe fiecare computer, nu este o soluţie pe care o companie o poate implementa pe toate dispozitivele din reţea. Detalii despre cum poate fi creat acest „vaccin“ sunt aici.

Virusul folosit acum blochează datele şi solicită 300 de dolari, plătibili în bitcoini (monedă care nu poate fi urmărită - n.r.). Până la ora publicării acestui articol au fost înregistrate 40 de tranzacţii în cuantum de peste 9.200 de dolari. Microsoft a declarat că, dată fiind natura răspândirii, utilizatorii ar trebui să fie atenţie la fişierele provenite din surse necunoscute. „Analiza noastră iniţială a arătat că virusul acesta atacă prin tehnici multiple, inclusiv prin exploatarea unei vulnerabilităţi [din Windows] pentru care există deja o actualizare“, a declarat un purtător de cuvânt al companiei.

În această cursă pentru oprirea virusului, compania din Germania care are serviciul de mail Posteo, folosit de hacker (sau hackeri) a decis să blocheze contul acela, dar victimele rămân astfel fără nicio alternativă de a-şi recupera datele. „Blocarea conturilor de mail folosite abuziv este o abordare necesară din partea furnizorului [de serviciu] în astfel de cazuri“, a declarat compania într-un articol publicat pe blogul său.

Dacă apreciezi acest articol, te așteptăm să intri în comunitatea de cititori de pe pagina noastră de Facebook, printr-un Like mai jos:


citeste totul despre: