WannaCry

Z Wikipedii, wolnej encyklopedii
Przejdź do nawigacji Przejdź do wyszukiwania

WannaCry (znany również jako WannaCrypt lub WanaCrypt0r 2.0[1]) – rodzaj oprogramowania szantażującego (ransomware). Duża fala cyberataków za pomocą tego oprogramowania miała miejsce w maju 2017, kiedy to zainfekowanych zostało ponad 300 tys. komputerów[2] w 99 krajach. Przestępcy żądali zapłaty w 28 językach (w tym polskim). Według danych Europolu był to największy atak tego rodzaju w ostatnim czasie[3]. WannaCry wykorzystuje exploit o nazwie EternalBlue, który rzekomo został zaprojektowany w amerykańskiej agencji bezpieczeństwa narodowego w celu atakowania komputerów z systemem Windows[4]. Struktura kodu WannaCry przypomina te z wcześniejszych ataków północnokoreańskiej grupy Lazarus[2].

Zasięg[edytuj | edytuj kod]

W ataku ucierpiała Telefónica i kilka innych dużych przedsiębiorstw w Hiszpanii, a także części brytyjskiej narodowej służby zdrowia[5], Fedex oraz Deutsche Bahn[6][7][8]. Media donosiły także, że inne cele w co najmniej 99 krajach również zostały zaatakowane w tym samym czasie[9][10]. W Rosji zainfekowanych zostało ponad 1000 komputerów w ministerstwie spraw wewnętrznych, agencji zarządzania sytuacjami kryzysowymi (EMERCOM) oraz w przedsiębiorstwie telekomunikacyjnym MegaFon[11]. Do 17 maja łączny okup jaki dostali hakerzy wynosił ponad 79 tys. USD[12].

Wyciek z NSA[edytuj | edytuj kod]

Faktem jest, że NSA stworzyła „zero-day exploits”. Narzędzia te, służące do wykorzystywania luk w oprogramowaniach, są ogromnym zagrożeniem, jeżeli zainfekują system. Te exploity zostały utworzone przez specjalnie do tego celu przeznaczone Centrum Cyberwywiadowcze CIA[13]. Jak się okazuje Centrum we współpracy z najlepszymi programistami opracowało możliwość włamania się do większości popularnych urządzeń. Można wymienić tu systemy takie jakie iOS, Android, Microsoft Windows oraz urządzenia jak SmartTV firmy Samsung. W praktyce oznacza to, że służby CIA mogą podsłuchiwać kogo chcą i kiedy chcą[14]. W 2016 roku grupa Shadow Brokers ujawnia serię tajnych narzędzi. Po tym jak nikogo nie zainteresowało wykupienie wiadomości jakie w posiadaniu ma grupa, postanowili opublikować kolejną serię exploitów, tym razem zaadresowaną do systemów Windows[15]. NSA korzystała z exploitów do ataków na banki, systemy SWIFT, do infiltrowania sieci- atakując VPN i firewall. Narzędzie te to: EternalBlue, EternalChampion, EternalRomance, EternalSystem, ExplodingCan[16].

Expliot EternalBlue[edytuj | edytuj kod]

Złośliwe oprogramowanie wykorzystujące exploit (program mający na celu wykorzystanie błędów w oprogramowaniu)[17] o nazwie „EternalBlue” zostało opracowane przez amerykańską agencję bezpieczeństwa (NSA). Zostało ono wykorzystane przez grupę hakerów zwaną Shadow Brokers (TB)[18]. Udostępniła ona publicznie luki, które były ukierunkowane na zapory korporacyjne, oprogramowanie antywirusowe i produkty Microsoft.

EternalBlue wykorzystał lukę w protokole Microsoft Server Message Block 1.0 (SMBv1), i dzięki niej zyskał dostęp do zdalnego wykonania dostarczonego kodu na komputerze ofiary (użycie Double Pulsar, czyli tak zwanego backdoor). DublePulsar zapewnił cyberprzestępcom wysoką kontrolę nas systemem komputerowym. Backdoor używa trzech poleceń : ping, kill i exec[19].

Przebieg infekcji[edytuj | edytuj kod]

Zainfekowane komputery dostawały komunikat z informacją o przeprowadzonym ataku, a wyglądało to mniej więcej tak:[20]

Plikom po infekcji zostało nadane rozszerzenie .WNCRY. By otrzymać do nich dostęp, należy wpłacić około 300 dolarów (oczywiście w bitcoinach) za każdą zainfekowaną stację. Hakerzy stosują tutaj socjotechnikę polegającą na zastraszeniu- cena ma dwukrotnie wzrosnąć po trzech dobach, a po upływie tygodnia odzyskanie danych staje się niemożliwe[21].

Hakerzy w komunikacie informują swoje ofiary w jaki sposób mają dokonać płatności - za pomocą programu Bitcoin oraz podają adres portfela, na który mają wykonać transfer środków pieniężnych. Sprawcy podali trzy różne adresy dla portfeli, oto zdjęcie jednego z nich.


Dwa pozostałe adresy:

https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn[22]

https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw[23]

Szukanie winnych[edytuj | edytuj kod]

USA oskarżają Koreę Północną o atak. MSZ Korei odpowiedziało, że nie jest to ich sprawka. Podejrzenie zostało wymierzone w ich kierunku, ponieważ wcześniej miał miejsce atak na firmę Sony Pictures, która wyprodukowała komedię „Wywiad ze Słońcem Narodu”, gdzie zostały przedstawione fikcyjne plany zamachu na Kim Dzong Una. Firma Sony po tym fakcie została zaatakowana. Wyciekły prywatne dane pracowników takie jak numery ubezpieczeń, wyciągi finansowe oraz informacje o zarobkach[24].

Oskarżono Park Dzin Kioka, który według amerykańskich prokuratorów federalnych miał powiązania z północnokoreańskim rządem i to w porozumieniu z nim przeprowadził ataki. Ponad to zarzucono mu atak na centralny Bank w Bangladeszu w 2016 roku oraz na brytyjską służbę zdrowia w 2017[25]. Dodatkowo zarzuca się Parkowi udział w zespole programistów zatrudnionych w firmie Chosun Expo, działającej z miasta Dalian w Chinach. Amerykański resort finansów umieścił Parka i Chosun Expo na liście podmiotów objętych sankcjami bankowymi[26].

Aktualizacja zabezpieczeń[edytuj | edytuj kod]

Poprawka eliminująca tę lukę bezpieczeństwa została wydana przez Microsoft już 14 marca 2017. Jednak wiele komputerów pozostało narażonych ze względu na opóźnienia w instalacji aktualizacji zabezpieczeń[27]. Użytkownicy systemu Windows XP, który nie jest wspierany przez Microsoft od kwietnia 2014, nie otrzymali marcowej aktualizacji. Jednak po serii ataków WannaCry, 12 maja 2017, producent zdecydował się opublikować poprawkę dla wszystkich użytkowników Windows XP[28].

Atak na brytyjski NHS[edytuj | edytuj kod]

Według Theresy May, cyberatak na brytyjską służbę zdrowia był częścią szerszego, międzynarodowego ataku. W przeciągu tygodnia około 1% opieki został zakłócony. Włamanie spowodowało między 12-19 maja odwołanie 19000 spotkań,co kosztowało 20 milionów funtów. Późniejsze koszta zostały wygenerowane na dodatkowe 72 miliony funtów[29]. Nie trzeba komentować, by móc sobie wyobrazić skalę zagrożenia jak i powagi, kiedy padają szpitalne sieci informatyczne[30].

Zahamowanie rozprzestrzeniania[edytuj | edytuj kod]

12 maja 2017 r. Marcus Hutchins z Kryptos Logic znalazł próbkę kodu wirusa i ustalił, że oprogramowanie łączyło się z niezarejestrowaną domeną. Hutchins postanowił zarejestrować domenę na siebie, co zatrzymało infekowanie kolejnych komputerów[2].

Ofiary ataku WannaCry[edytuj | edytuj kod]

W ataku ucierpiało kilka większych firm oraz instytucje jak brytyjska służba zdrowia, rosyjskie banki i koleje państwowe oraz 1000 komputerów w ministerstwie spraw wewnętrznych, firma EMERCOM oraz MeganFon. indyjskie linie lotnicze oraz włoskie uniwersytety. Infekcja dosięgła także firmy: Nissan, Telefonica, FedEx, Deutsche Bahn[31].

Do 17 maja hakerzy otrzymali ponad 79 tysięcy USD[32].

Przypisy[edytuj | edytuj kod]

  1. Thomas Fox-Brewster, An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak, Forbes [dostęp 2017-05-12].
  2. a b c Maciej Czarnecki, Oto Marcus Hutchins, 22-letni Brytyjczyk, który zatrzymał światowy cyberatak, wyborcza.pl, 16 maja 2017 [dostęp 2017-05-18].
  3. Cyber-attack: Europol says it was unprecedented in scale, BBC News, 13 maja 2017 [dostęp 2017-05-13] (ang.).
  4. Selena Larson, Massive ransomware attack hits 99 countries, CNNMoney, 12 maja 2017 [dostęp 2017-05-13].
  5. Sarah Marsh, The NHS trusts hit by malware – full list, „The Guardian”, 12 maja 2017, ISSN 0261-3077 [dostęp 2017-05-13] (ang.).
  6. NHS cyber-attack: GPs and hospitals hit by ransomware, BBC News, 12 maja 2017 [dostęp 2017-05-12] (ang.).
  7. Alex Hern, What is 'WanaCrypt0r 2.0' ransomware and why is it attacking the NHS?, The Guardian, 12 maja 2017, ISSN 0261-3077 [dostęp 2017-05-12].
  8. Statement on reported NHS cyber attack, digital.nhs.uk [dostęp 2017-05-13] (ang.).
  9. A Massive Ransomware ‘Explosion’ Is Hitting Targets All Over the World, Motherboard [dostęp 2017-05-13] (ang.).
  10. Selena Larson, Massive ransomware attack hits 99 countries, CNN, 12 maja 2017 [dostęp 2017-05-12].
  11. Ransomware virus plagues 75k computers across 99 countries, RT International [dostęp 2017-05-12] (ang.).
  12. Actual ransom
  13. WikiLeaks przedstawia największy wyciek danych w historii CIA!, Spider's Web, 7 marca 2017 [dostęp 2020-04-28] (pol.).
  14. WikiLeaks przedstawia największy wyciek danych w historii CIA!, Spider's Web, 7 marca 2017 [dostęp 2020-04-28] (pol.).
  15. http://gogomedia pl office@gogomedia.pl GOGOmedia, Arsenał NSA ujawniony. Dotknięte wszystkie wersje Windows od 2000 do 8, www.centrumxp.pl [dostęp 2020-04-28] (pol.).
  16. http://gogomedia pl office@gogomedia.pl GOGOmedia, Arsenał NSA ujawniony. Dotknięte wszystkie wersje Windows od 2000 do 8, www.centrumxp.pl [dostęp 2020-04-28] (pol.).
  17. ABC Cyberbezpieczeństwa: E jak exploit | Bitdefender, bitdefender.pl [dostęp 2020-04-23] (pol.).
  18. Samuel Gibbs, Shadow Brokers threaten to unleash more hacking tools, „The Guardian”, 17 maja 2017, ISSN 0261-3077 [dostęp 2020-04-28] (ang.).
  19. DoublePulsar - Wikipedia, en.m.wikipedia.org [dostęp 2020-04-23] (ang.).wiki?
  20. Masowa, niezwykle skuteczna kampania ransomware wyłącza całe firmy | Zaufana Trzecia Strona, zaufanatrzeciastrona.pl [dostęp 2020-04-23] (pol.).
  21. Masowa, niezwykle skuteczna kampania ransomware wyłącza całe firmy, Zaufana Trzecia Strona [dostęp 2020-04-22] (pol.).
  22. Masowa, niezwykle skuteczna kampania ransomware wyłącza całe firmy, Zaufana Trzecia Strona [dostęp 2020-04-22] (pol.).
  23. Masowa, niezwykle skuteczna kampania ransomware wyłącza całe firmy, Zaufana Trzecia Strona [dostęp 2020-04-22] (pol.).
  24. Korea Płn. zaprzecza zarzutom w sprawie Sony i WannaCry - CyberDefence24, www.cyberdefence24.pl [dostęp 2020-04-28].
  25. Korea Płn. zaprzecza zarzutom w sprawie Sony i WannaCry - CyberDefence24, www.cyberdefence24.pl [dostęp 2020-04-28].
  26. Korea Płn. zaprzecza zarzutom w sprawie Sony i WannaCry - CyberDefence24, www.cyberdefence24.pl [dostęp 2020-04-28].
  27. https://www.theregister.co.uk/2017/05/12/spain_ransomware_outbreak/
  28. Customer Guidance for WannaCrypt attacks, „MSRC” [dostęp 2017-05-13] (ang.).
  29. Matthew Field, WannaCry cyber attack cost the NHS £92m as 19,000 appointments cancelled, „The Telegraph”, 11 października 2018, ISSN 0307-1235 [dostęp 2020-04-28] (ang.).
  30. WannaCry to katastrofa dla wielu instytucji. A można było jej łatwo uniknąć, Spider's Web, 15 maja 2017 [dostęp 2020-04-28] (pol.).
  31. WannaCry Ransomware - CERT Polska, www.cert.pl [dostęp 2020-04-23] (pol.).
  32. WannaCry, Wikipedia, wolna encyklopedia, 26 grudnia 2019 [dostęp 2020-04-22] (pol.).wiki?

Linki zewnętrzne[edytuj | edytuj kod]