Globalna infekcja ransomare WannaCry

Ostrzeżenia - czyli na co uważać w necie i jak się przed tym zabezpieczyć.
serwerux1
Forumowicz
Forumowicz
Posty: 184
Rejestracja: 16 maja 2016, 12:16

Globalna infekcja ransomare WannaCry

Postautor: serwerux1 » 16 maja 2017, 22:53

W piątek 12 maja tysiące komputerów na całym świecie zostało zainfekowanych złośliwym oprogramowaniem WannaCry i zaszyfrowanych w celu wymuszenia okupu. Jak mogło dojść do takiego incydentu i jak uniknąć go w przyszłości?

Jeśli weekend spędziliście z dala od wszelkich ekranów, to krótko przypomnimy najważniejsze informacje. W piątek, około godziny 8 rano naszego czasu, na komputerach firmowych i prywatnych komputerów zaczęły się pojawiać komunikaty nowego wariantu ransomware, żądającego 300 dolarów okupu za odszyfrowanie plików. Choć podobne przypadki nie są użytkownikom obce, ten był dużo bardziej niepokojący – identyczne komunikaty pojawiały się na dziesiątkach i setkach komputerów znajdujących się w tych samych biurach. Wkrótce było jasne, że ransomware instalowany jest przez robaka, który potrafi sam rozmnażać się wewnątrz zainfekowanej sieci. Niektóre firmy, tak jak hiszpańska Telefonica, zostały dotknięte tak mocno, że musiały wysłać do domu wszystkich pracowników nie usuwających awarii. Inne, jak ok. 20% brytyjskich szpitali, musiały odsyłać klientów, których nie mogły obsłużyć na skutek niedostępności systemów. Problemy odczuwali tacy giganci jak FedEx, Renault, Nissan, koleje w Niemczech i Rosji, a także banki, firmy telekomunikacyjne i ministerstwa, głównie w Europie i Azji. Dzięki szczęśliwemu zbiegowi okoliczności skala infekcji powoli maleje, ponieważ jeden z badaczy zarejestrował domenę używaną przez złośliwy program do sprawdzenia, czy powinien się uruchomić, czy nie, nieświadomie w dużej mierze blokując dalsze rozprzestrzenianie się robaka. Powstały co prawda nowe warianty, jednak skala ich działania jest dużo mniejsza. Licznik połączeń do kilku domen wirusa wskazywał w szczytowym momencie ponad 230 tysięcy przypadków WannaCry w ciągu doby. Jak jednak robak dostał się do pierwszych ofiar?

Tajemnicza metoda infekcji

W świecie komputerowych wirusów, podobnie jak wśród wirusów biologicznych, istnieje pojęcie „pacjenta zero”, czyli miejsca, od którego zaczęła się infekcja. W ostatnich czasach komputerowe wirusy najczęściej dostarczane są ofiarom poprzez pocztę elektroniczną. Także w przypadku WannaCry spodziewanego się takiego wariantu. Wygląda jednak na to, że 3 doby od wykrycia infekcji nadal nikt nie znalazł kopii robaka wysłanej w piątek rano za pomocą poczty elektronicznej. Firmy antywirusowe dysponują świetnym monitoringiem sytuacji na komputerach milionów użytkowników, lecz mimo tego żadna nie wskazała do tej pory na metodę zainfekowania pierwszych ofiar. Przez chwilę pojawiały się informacje, że były to wiadomości z załącznikiem w formacie PDF zawierającym osadzony dokument Worda, jednak wkrótce okazało się, że była to kampania innego ransomware – Jaff. Do tej pory brak jednoznacznego potwierdzenia metody infekcji, co przybliża nas do wniosków opisanych poniżej.

Czy mógł to być tylko błąd w usłudze SMB?

Robak instalujący ransomware WannaCry wykorzystywał podatność systemu Windows w usłudze SMB do infekowania kolejnych komputerów (polecamy świetną analizę techniczną przebiegu całej infekcji). Po uruchomieniu swojego kodu podejmował próby skanowania zarówno sieci lokalnej jak i publicznej w poszukiwaniu otwartego portu 445. Jeśli taki znalazł, atakował nową ofiarę za pomocą exploita wykradzionego amerykańskiej NSA i opublikowanego w kwietniu tego roku. Co prawda Microsoft wypuścił odpowiednie łaty już w marcu, jednak nie wszystkie firmy od razu je zastosowały. Takie zachowanie tłumaczy ogromną skalę infekcji w niektórych organizacjach, gdzie większość komputerów była infekowana w ciągu kilkunastu minut. Wystarczyła jedna zainfekowana maszyna, by lawinowa infekcja przeszła po całej firmie. Czy jednak w ten sposób mogło także dojść do pierwszych infekcji, bez kampanii emailowej?

Częściową odpowiedź na to pytanie możemy znaleźć w wynikach skanowania internetu, przeprowadzanego przez Dana Tentlera, krótko po opublikowaniu informacji o atakach na usługę SMB.

Obrazek


27 kwietnia znalazł od 4,5 miliona adresów IP z dostępną usługą SMB, z których 1,7 miliona było podatnych na atak a 165 tysięcy już zainfekowanych. Nawet zakładając, że badanie mogło nie być doskonałe, trzeba przyznać, że potencjał do infekcji był niemały. Wystarczyło, by jeden z podatnych serwerów miał także interfejs do sieci lokalnej, by zainfekować całą firmę w której nie zastosowano odpowiednich aktualizacji dla systemu Windows. Co ciekawe, idea wykorzystania tego błędu do infekcji ransomware pojawiła się już 19 kwietnia w tweecie Luki Pusica:

W naszej ocenie jest zatem bardzo prawdopodobne, że do infekcji mogło dojść wyłącznie poprzez serwery i komputery podatne na błąd w usłudze SMB. Nawet jeśli dana firma nie miała żadnego podatnego serwera wystawionego do internetu, to wystarczył jeden zainfekowany laptop przyniesiony z zewnątrz i podłączony do firmowej sieci, by doprowadzić do katastrofy.
Przykłady ofiar

W sieci nie brakuje przykładów zainfekowanych maszyn. Oto mała kolekcja najciekawszych fotografii.

Obrazek

Obrazek

Obrazek

Obrazek

Obrazek

Obrazek

Obrazek

Obrazek

Obrazek

Obrazek

Obrazek

Obrazek

Obrazek

Obrazek

A tymczasem w Polsce

Co prawda oficjalnie mowa o tym, ze atak nasz kraj ominął, to słyszeliśmy o wielu ofiarach w Polsce i to w całkiem poważnych instytucjach. Co ciekawe, mogą to być ofiary do tej pory nieświadome – ich serwery są zarażone robakiem, jednak nie doszło do uruchomienia ransomware, ponieważ działał już mechanizm uniemożliwiający jego funkcjonowanie. Jeśli zatem przyszliście dzisiaj do pracy i spotkaliście się z WannaCry, to dajcie znać – gwarantujemy anonimowość.

Ale dlaczego firmy nie aktualizowały swoich komputerów?

Wiele osób pyta, dlaczego skala infekcji była taka duża, skoro łata od Microsoftu usuwająca wykorzystywaną podatność była dostępna od marca. Powodów jest co najmniej kilka:

do wczoraj aktualizacja była niedostępna dla. zwykłych użytkowników Windows XP, z którego nadal korzysta wiele firm (są instytucje, jak np. Departament Obrony, które otrzymują kluczowe aktualizacje dla XP, ale słono za to płacą),
wiele komputerów działających pod kontrolą starych wersji Windowsa znajduje się np. w sprzęcie medycznym i nie otrzymuje aktualizacji, ponieważ producent woli sprzedać nowy sprzęt lub z innych powodów już nie obejmuje ich wsparciem (prawdziwym przykładem jest chociażby piętnastoletni tomograf, którego producent zbankrutował 10 lat temu),
w wielu przypadkach komputer z Windows stanowi część całego produktu i jego samodzielna aktualizacji przez klienta może oznaczać utratę gwarancji, a na wersję od dostawcy trzeba czekać miesiącami,
w niektórych branżach modyfikacja lub aktualizacja systemu może oznaczać utratę jego specyficznej certyfikacji.

Ostatecznym i najczęściej spotykanym argumentem jest to, że często koszt radzenia sobie z potencjalną infekcją jest mniejszy niż koszt migracji całej organizacji na nową wersję systemu operacyjnego – i jest to smutna rzeczywistość, w której funkcjonować muszą tysiące osób te systemy wspierające.
Mogło być dużo gorzej.
Co prawda Wiadomości TVP wspominały wczoraj o największym cyberataku w historii, lecz ten na pewno największy nie był. Conficker zaraził kilkanaście milionów komputerów, podczas kiedy w przypadku WannaCry mówimy na razie o ponad 200 tysiącach skutecznie zaatakowanych (chociaż niekoniecznie zaszyfrowanych) komputerów. Dużo większą od WannaCry skalę osiągnęły takie robaki jak Code Red, Melissa, SQL Slammer, Sasser czy Nimda. Warto jednak zauważyć, że prawdopodobnie była to najszybsza infekcja ransomware w ciągu 24h.

Obrazek

JAK SIĘ PRZED TYM ZABEZPIECZYĆ?

1.zaktualizować najnowsze aktualizację do swojej wersji windowsa lub...
2.zainstalować ten program i zamknąć port 445 + dodatkowe według uznania (środkowy przycisk może zablokować dostęp do internetu także z tym środkowym radze uważać.)
Obrazek
programosy.pl/program,windows-worms-doors-cleaner-1-4-1.html

źródło: ZTS

Wróć do „Scams,Oszustwa,Phishing,bezpieczeństwo”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość