Największy w historii atak ransomware zatrzymany przez „przypadkowego bohatera”

[ware_item id=33][/ware_item]

Ponad 45 000 cyberataków zostało zarejestrowanych w prawie 99 krajach na całym świecie, w tym w Wielkiej Brytanii, Rosji, Indiach, Chinach, Ukrainie, Włoszech i Egipcie. Cyberatak ransomware, który miał powstać przez włamanie się do „broni cybernetycznej” powiązanej z rządem USA, okaleczył wiele szpitali w Anglii i rozprzestrzenił się na całym świecie w nie mniej niż 24 godziny.


Zobacz artykuł: co to jest torrent i jak to działa

Główny naukowiec Markus Jakobsson z firmy ochroniarskiej Agari powiedział, że atak był „rozproszony”, a nie ukierunkowany. Następnie powiedział: „Jest to bardzo szeroki spread, podczas gdy popyt na okup jest stosunkowo niewielki”.

W połowie kwietnia szkodliwe oprogramowanie wyciekło z grupy o nazwie „Shadow Brokers” z archiwum potężnych narzędzi programowych zaprojektowanych najwyraźniej przez Narodową Agencję Bezpieczeństwa - NSA - w celu skalania i kontrolowania komputerów z systemem Windows. Jednak nawet niecały miesiąc później pogłoska o tym, że przestępcy użyją wycieku złośliwego oprogramowania przeciwko społeczeństwu, okazała się realna i zaatakowała setki tysięcy komputerów na całym świecie.

Ransomware to wyrafinowany rodzaj złośliwego oprogramowania, które szyfruje dane użytkownika, a następnie prosi ofiarę o zapłacenie żądanego okupu w celu odzyskania cennych danych. Ten globalny atak został spowodowany przez oprogramowanie ransomware, a mianowicie „WannaCryptor 2.0” lub „WannaCry”, które wykorzystuje lukę w zabezpieczeniach systemu operacyjnego Windows. WannaCry

To oprogramowanie ransomware rozprzestrzeniło się na cały świat, infekując tysiące komputerów i żądało okupu w wysokości 300 USD, któremu z czasem groził wzrost. W miarę upływu czasu, bez okupu w odpowiednim czasie, hakerzy mogą uniemożliwić dostęp do danych. Szkodliwe oprogramowanie rozprzestrzeniało się za pośrednictwem poczty elektronicznej i dołączono tłumaczenia wiadomości okupu na 28 różnych języków.

Microsoft potępia globalny atak

Łatka dla tej usterki została wydana przez firmę Microsoft w marcu, która była w zasadzie aktualizacją oprogramowania, która rozwiązuje problem, ale komputery, które nie zainstalowały aktualizacji zabezpieczeń, były narażone na niebezpieczeństwo cyberataku. W bieżącym oświadczeniu Microsoft wskazał, że ich inżynierowie włączyli wykrywanie i ochronę przed atakiem ransomware WannaCrypt. Rzecznik Microsoft stwierdził:

„Dzisiaj nasi inżynierowie dodali wykrywanie i ochronę przed nowym złośliwym oprogramowaniem znanym jako Ransom: Win32.WannaCrypt. W marcu udostępniliśmy aktualizację zabezpieczeń, która zapewnia dodatkowe zabezpieczenia przed tym potencjalnym atakiem. Osoby korzystające z naszego bezpłatnego oprogramowania antywirusowego i mające włączone aktualizacje systemu Windows są chronione. Współpracujemy z klientami, aby zapewnić dodatkową pomoc. ”

Zgłoszono również, że szkodliwe oprogramowanie dociera do uniwersytetów, FedEx i Telefonica, a także do brytyjskiej National Health Service (NHS). Jednak globalny atak spowodowany przez oprogramowanie ransomware WannaCry został zatrzymany przez „przypadkowego bohatera” po wydaniu kilku dolarów na rejestrację nazwy domeny ukrytej w złośliwym oprogramowaniu.

WannaCry

Z pomocą Darien Huss z firmy ochroniarskiej Proofpoint 22-letni brytyjski badacz cyberbezpieczeństwa - określony na Twitterze jako @malwaretechblog - wygenerował „Kill Switch” w oprogramowaniu WannaCry. W przypadku, gdy twórca chciał zatrzymać rozprzestrzenianie się, przełącznik został naprawiony w złośliwym oprogramowaniu. Obejmowało to użycie dość długiej, bezsensownej nazwy domeny, do której szkodliwe oprogramowanie wysyła żądanie, a jeśli żądanie zwróci się i pokaże, że domena jest aktywna, przełącznik „zabijanie” uniemożliwia rozprzestrzenianie się złośliwego oprogramowania.

Brytyjski badacz powiedział dalej: „Widziałem, że nie został zarejestrowany i pomyślał:„ Myślę, że będę to miał ”. Wydał 10,69 USD na zakup i stwierdził, że nazwa domeny rejestruje tysiące połączeń na sekundę.

Jednak zanim @malwaretechblog zarejestrował domenę, było już dość późno, aby pomóc Azji i Europie, w których zainfekowano wiele organizacji. Według Kalembara dało to mieszkańcom USA wystarczająco dużo czasu na rozwinięcie odporności na atak poprzez łatanie ich systemów przed zarażeniem.

Należy zauważyć, że Kill Switch nie pomoże tym, którzy mają już zainfekowany komputer ransomware WannaCry. Możliwe jest również, że mogą istnieć inne warianty złośliwego oprogramowania, które hipotetycznie będą się dalej rozprzestrzeniać w przyszłości. W tym celu przydatne mogą być niektóre z tych podstawowych wskazówek zapobiegających atakowi ransomware.