Co to jest ransomware WannaCry?
WannaCry to oprogramowanie ransomware, które szyfruje na komputerze pliki, foldery i aplikacje, uniemożliwiając do nich dostęp, dopóki nie zostanie zapłacona pewna kwota pieniędzy — określana mianem „okupu” (ang. ransom). Jako że zjawisko ataków z użyciem oprogramowania ransomware daje się coraz bardziej we znaki użytkownikom, zarówno pod względem skali, jak i intensywności, warto dowiedzieć się, kto stworzył WannaCry, w jaki sposób to oprogramowanie infekuje sieci oraz jak można się chronić przed takimi atakami.
Na czym polega atak z użyciem oprogramowania ransomware WannaCry?
WannaCry to rodzaj ransomware, czyli złośliwego oprogramowania, które szyfruje dane — konkretne pliki lub całe systemy komputerowe. Oszuści, którzy z niego korzystają, domagają się potem uiszczenia opłaty w celu ich odszyfrowania. WannaCry infekuje urządzenia, wykorzystując lukę w zabezpieczeniach oprogramowania Windows, i ma już na swoim koncie daleko idące szkody finansowe i wizerunkowe.
WannaCry opracowano w oparciu o exploit o przydomku EternalBlue skradziony od amerykańskiej agencji bezpieczeństwa (NSA, ang. National Security Agency) przez grupę hakerów znaną jako Shadow Brokers. Grupa wykorzystała exploit do przypuszczania ataków na te systemy Windows, które były już przestarzałe lub w których nie zainstalowano niezbędnych poprawek. Choć firma Microsoft wypuściła poprawki mające zwiększyć odporność swojego oprogramowania, wiele organizacji ich nie zainstalowało, co pozwoliło hakerom wykorzystać luki w zabezpieczeniach i przeprowadzić atak.
Dnia 12 maja 2017 roku oprogramowanie ransomware znane jako WannaCry zostało wykorzystane do jednego z największych ataków w historii. Oprogramowanie WannaCry rozprzestrzeniło się na co najmniej 230 000 komputerów z systemem Windows w ponad 150 krajach w ciągu zaledwie jednego dnia i objęło swoim działaniem prywatne firmy, agencje rządowe i instytucje medyczne. Niektóre z najbardziej znanych firm, które padły jego atakiem, to choćby Telefonica, Deutsche Bahn, LATAM Airlines Group, FedEx, a także takie firmy z branży motoryzacyjnej, jak Hitachi, Renault czy Honda.
Brytyjski narodowy system opieki zdrowotnej, NHS (ang. National Health Service) także należał do licznej grupy podmiotów z branży opieki zdrowotnej, które padły ofiarą ataku z powodu zaniechania instalacji poprawek oprogramowania Windows, co ostatecznie skutkowało zaszyfrowaniem wielu systemów i uniemożliwieniem dostępu do nich. Szkody, jakie wywołał ten atak na całym świecie, szacuje się na miliardy dolarów. Opisywane zdarzenie jest znane jako jeden z najgroźniejszych jak dotąd ataków z użyciem ransomware.
Oprogramowanie ransomware WannaCry zostało w końcu powstrzymane przez Marcusa Hutchinsa, eksperta ds. cyberbezpieczeństwa. W tym samym miesiącu opracował on nazwę domeny pełniącą rolę wyłącznika awaryjnego, który był nie do usunięcia i skutecznie uniemożliwił działanie złośliwemu oprogramowaniu.
Wiele firm ma obecnie świadomość tego, jak ważne są poprawki, natomiast oszuści chcący uzyskać dostęp do systemów firm mają w zanadrzu niejedną sztuczkę. Ransomware nadal stanowi poważne zagrożenie z kilku przyczyn:
- Może powodować daleko idące szkody finansowe i wizerunkowe.
- Średni czas przestoju wynikającego z ataku ransomware wynosi w przypadku firm 21 dni.
- Tego rodzaju atak rodzi ryzyko braku zgodności z przepisami i naraża firmę na dalsze reperkusje.
Kto stworzył WannaCry?
Choć to grupa Shadow Brokers ukradła exploit EternalBlue z agencji NSA, nad kodem pracowały dalej inne grupy, które przekształciły go w skuteczną broń. Od tego czasu zarówno rząd Wielkiej Brytanii, jak i Stanów Zjednoczonych ogłosiły, że ich zdaniem za oprogramowaniem WannaCry stoi północnokoreańska grupa hakerów znana pod nazwą Lazarus Group.
W lutym 2021 roku Departament Sprawiedliwości Stanów Zjednoczonych potwierdził, że trzem północnokoreańskim programistom postawiono zarzuty w związku z utworzeniem i rozpowszechnianiem oprogramowania ransomware WannaCry, które wymuszało od ofiar ataku zapłacenie okupu i kradło poufne dane.
W jaki sposób WannaCry infekuje sieci?
Oprogramowanie ransomware WannaCry wyszukuje luki w zabezpieczeniach systemów operacyjnych Windows, wykorzystując do tego celu exploit EternalBlue. Uzyskuje dostęp do protokołu SMB (ang. Server Message Block), który umożliwia użytkownikom dostęp do współdzielonych plików i usług, a następnie szyfruje pliki i przekazuje żądanie okupu. Przypomina starsze oprogramowanie ransomware, znane pod nazwą Phobos, które brało sobie za cel niezabezpieczone porty korzystające z protokołu RDP (ang. Remote Desktop Protocol).
Gdy oszust przypuszcza atak z użyciem oprogramowania ransomware WannaCry, exploit wysyła kod żądania echa SMB do obranego za cel protokołu SMB używanego przez urządzenia z systemem Microsoft Windows. Brak odpowiedzi na żądanie oznacza istnienie tylnego wejścia, za pomocą którego można się wkraść do systemu, pomijając autoryzację i uwierzytelnianie.
Używając złośliwego narzędzia DoublePulsar, które wykorzystuje takie tylne wejścia, hakerzy mogą nawiązać połączenie pozwalające im wykraść z systemu informacje lub umieścić w nim złośliwe oprogramowanie, takie jak WannaCry.
Wspomniane narzędzie umożliwia hakerom nawiązanie połączenia z protokołem SMB (port TCP 445) lub RDP (port TCP 3389) i wdraża asynchroniczne wywołanie procedury (APC, ang. Asynchronous Procedure Call). Wskutek tego działania narzędzie może umieścić w usłudze Local Security Authority Subsystem Service (Lsass.exe) plik DLL, który odpowiada za politykę bezpieczeństwa systemu Windows, w tym za zmiany haseł i zarządzanie usługami uwierzytelniającymi, jak również za replikację programów. Po ukończeniu tego kroku do systemów operacyjnych, które zostały zaatakowane, można wpuścić kod powłoki (taki atak jest również znany pod nazwą „heap spraying”), przez co istniejący kod tylnego wejścia może zostać zlikwidowany.
Gdy oprogramowanie WannaCry dostanie się już na urządzenie, wykorzystuje swoje możliwości upodabniające je do robaka komputerowego, dzięki czemu może skanować sieć w poszukiwaniu innych urządzeń z podobnym przestarzałym lub pozbawionym poprawek oprogramowaniem lub lukami w zabezpieczeniach, by następnie przystąpić do replikacji swojego złośliwego kodu na wykrytych urządzeniach.
W przeciwieństwie do innych rodzajów oprogramowania ransomware, WannaCry nie kryje się wcale ze swoją obecnością, wyświetlając komunikat podobny do przedstawionego poniżej i domagając się spłaty okupu.
Gdy urządzenie zostanie już zainfekowane, są tylko dwa sposoby na uzyskanie dostępu do plików: użycie zewnętrznej kopii zapasowej plików i folderów (o ile jest dostępna) lub zapłacenie okupu. Nie zaleca się jednak korzystania z drugiego z wymienionych rozwiązań, ponieważ nie ma żadnej gwarancji, że przekazanie okupu pozwoli odzyskać dostęp do systemów operacyjnych.
Poprawki systemu Windows
Po ataku z użyciem oprogramowania ransomware WannaCry, jaki miał miejsce w 2017 roku, firma Microsoft opracowała poprawki awaryjne z zakresu zabezpieczeń dla wszystkich swoich systemów Windows, w tam także dla wydań Windows XP, Windows Vista, Windows 8 oraz poprzednich edycji systemu Windows Server. Firma wystosowała komunikat, w którym stwierdzała, że użytkownicy z włączoną funkcją automatycznych aktualizacji będą objęci ochroną — firma zachęcała jednocześnie klientów, którzy wybrali opcję ręcznej aktualizacji, by „jak najszybciej zainstalowali aktualizację”.
Ataki z użyciem oprogramowania ransomware ciągle ewoluują — zwiększa się zarówno ich częstotliwość, jak i stopień złożoności. Według danych National Security Institute w 2020 roku średnia kwota okupu wzrosła z 5000 USD, którą to wartość notowano w 2018 roku, do około 200 000 USD. W 2021 roku padł nowy światowy rekord, jeśli chodzi o wysokość zapłaconego okupu — firma ubezpieczeniowa zdecydowała się zapłacić przestępcom 40 mln USD.
Złośliwe oprogramowanie nadal daje cyberprzestępcom możliwość prowadzenia lukratywnego biznesu kosztem ofiar. Jedynie dla ograniczonej liczby programów ransomware istnieją ogólnodostępne klucze odszyfrowywania. To z kolei oznacza, że usunięcie oprogramowania z komputera i powiązanych urządzeń to złożony proces. Ponadto odzyskanie dostępu do plików może nie być możliwe (nawet po zapłaceniu przez firmę okupu). To dlatego tak ważne jest podejmowanie niezbędnych kroków w celu zapobiegania atakom ransomware. Mowa jest o instalowaniu poprawek oprogramowania — w taki właśnie sposób można zapewnić swojej firmie ochronę przed przyszłymi cyberatakami.
Czy oprogramowanie ransomware WannaCry nadal jest aktywne?
Co prawda w maju 2017 roku udało się zastosować rozwiązanie pełniące rolę wyłącznika awaryjnego, które położyło kres atakowi WannaCry, a firma Microsoft opublikowała poprawkę, która zabezpieczała dotknięte luką w zabezpieczeniach systemy operacyjne przed exploitem EternalBlue, jednakże ransomware nadal stanowi poważne, aktywne zagrożenie.
Oprogramowanie ransomware WannaCry w dalszym ciągu jest aktualizowane przez grupy hakerów i nadal stanowi poważne zagrożenie dla firm. Inspiracją do stworzenia złożonych szczepów ransomware, np. Petya i NotPetya, był właśnie atak WannaCry. Wspomniane rodzaje oprogramowania mają możliwości podobne do swojego pierwowzoru i wyszukują tę samą lukę w zabezpieczeniach aplikacji Windows. Wzrósł także odsetek organizacji na całym świecie, które padły ofiarą ataków ransomware. W 2018 roku takich organizacji było 55,1%, a w 2021 już 68,5%.
Biorąc pod uwagę liczbę zagrożeń czyhających na użytkowników w cyberświecie, instalacja narzędzi do ochrony przed atakami ransomware stanowi absolutną konieczność.
Jak zapobiec atakowi ransomware
Aktywne przeciwdziałanie atakom ransomware w firmie ma decydujące znaczenie dla zapewnienia bezpieczeństwa firmowych zasobów cyfrowych:
- Regularne kompleksowe inspekcje sieci: Rutynowe inspekcje aktywności firmy powinny obejmować ocenę pod kątem luk w zabezpieczeniach. Należy skanować sieć, połączone z nią urządzenia oraz aplikacje w celu wykrycia ewentualnych luk w zabezpieczeniach oprogramowania, których wystąpienie mogłoby prowadzić do ataku lub naruszenia danych.
- Szkolenie zwiększające świadomość użytkowników w zakresie zagrożeń czyhających w Internecie: Strategie dotyczące zabezpieczeń powinny uwzględniać szkolenie w zakresie bezpieczeństwa w Internecie. Szkolenia takie powinny mieć na celu zwiększenie świadomości pracowników w zakresie najczęstszych wektorów ataków, których przykładem może być odebranie wiadomość e-mail z nieznanego źródła będącej atakiem typu phishing lub kliknięcie załącznika zawierającego konia trojańskiego, czyli kolejny rodzaj złośliwego oprogramowania.
- Polityka stosowania haseł: Wdrożenie polityki stosowania haseł powinno zachęcić pracowników do używania silnych haseł, które zabezpieczą Twoją organizację przed zagrożeniami z zewnątrz. Dodatkowo możesz chronić dane i poufne pliki, korzystając z kontroli dostępu opartej na rolach.
- Aktualizowanie systemu operacyjnego i aplikacji: Zapobieganie zagrożeniom, które mogą nieść za sobą negatywne konsekwencje dla Twojej firmy, oraz objęcie ważnych plików ochroną to działania mające naprawdę ogromne znaczenie. Dotyczy to także regularnego aktualizowania systemów i wdrażania narzędzi, które będą automatycznie instalować poprawki dla Twojego oprogramowania i tym samym eliminować ryzyko wystąpienia luk w zabezpieczeniach.
Chroń się przed atakami z użyciem oprogramowania ransomware WannaCry
Od 2017 roku Avast zablokował ponad 170 milionów ataków WannaCry. Odkryj, w jaki sposób nasze rozwiązania dla małych firm mogą zapewnić Twojemu przedsiębiorstwu proste, ale potężne narzędzia do ochrony bezpieczeństwa. Zabezpiecz swoje urządzenia i dane przed złośliwym oprogramowaniem, w tym ransomware, atakami typu phishing i innymi zagrożeniami czyhającymi w Internecie.
© 2024 Gen Digital Inc.