WannaCry (znany również jako WannaCrypt lub WanaCrypt0r 2.0[1]) – złośliwe oprogramowanie typu ransomware. Duża fala cyberataków za pomocą tego oprogramowania miała miejsce w maju 2017, kiedy to zarażonych zostało ponad 300 tys. komputerów[2] w 99 krajach. Przestępcy żądali zapłaty w 28 językach (w tym polskim). Według danych Europolu był to największy atak tego rodzaju w ostatnim czasie[od kiedy?][3].

Spis treści

ZasięgEdytuj

W ataku ucierpiała Telefónica i kilka innych dużych przedsiębiorstw w Hiszpanii, a także części brytyjskiej narodowej służby zdrowia[4], Fedex oraz Deutsche Bahn[5][6][7]. Media donosiły także, że inne cele w co najmniej 99 krajach również zostały zaatakowane w tym samym czasie[8][9]. W Rosji zainfekowanych zostało ponad 1000 komputerów w ministerstwie spraw wewnętrznych, agencji zarządzania sytuacjami kryzysowymi (EMERCOM) oraz w przedsiębiorstwie telekomunikacyjnym MegaFon[10]. Do 17 maja łączny okup jaki dostali hakerzy wynosił ponad 79 tys. USD[11].

Pochodzenie i sposób działaniaEdytuj

WannaCry wykorzystuje exploit o nazwie EternalBlue, który rzekomo został zaprojektowany w amerykańskiej agencji bezpieczeństwa narodowego w celu atakowania komputerów z systemem Windows[12]. Nie ma pewności jak WannaCry infekuje daną sieć, jednak po zainfekowaniu jednego komputera, infekuje pozostałe komputery w sieci lokalnej za pomocą starej wersji protokołu SMB[13].

Struktura kodu WannaCry przypomina te z wcześniejszych ataków północnokoreańskiej grupy Lazarus[2].

Aktualizacja zabezpieczeńEdytuj

Łatka do tej luki bezpieczeństwa została wydana przez Microsoft już 14 marca 2017. Jednak wiele komputerów pozostało narażonych ze względu na opóźnienia w instalacji aktualizacji zabezpieczeń[14]. Użytkownicy systemu Windows XP, który nie jest wspierany przez Microsoft od kwietnia 2014, nie otrzymali marcowej aktualizacji. Jednak po serii ataków WannaCry, 12 maja 2017, producent zdecydował się opublikować poprawkę dla wszystkich użytkowników Windows XP[15].

Zahamowanie rozprzestrzenianiaEdytuj

12 maja 2017 r. Marcus Hutchins z Kryptos Logic znalazł próbkę kodu wirusa i ustalił, że oprogramowanie łączyło się z niezarejestrowaną domeną. Hutchins postanowił zarejestrować domenę na siebie, co zatrzymało infekowanie kolejnych komputerów[2].

Przypisy

  1. Thomas Fox-Brewster, An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak, Forbes [dostęp 2017-05-12].
  2. a b c Maciej Czarnecki, Oto Marcus Hutchins, 22-letni Brytyjczyk, który zatrzymał światowy cyberatak, wyborcza.pl, 16 maja 2017 [dostęp 2017-05-18].
  3. Cyber-attack: Europol says it was unprecedented in scale, BBC News, 13 maja 2017 [dostęp 2017-05-13] (ang.).
  4.   Sarah Marsh, The NHS trusts hit by malware – full list, „The Guardian”, 12 maja 2017, ISSN 0261-3077 [dostęp 2017-05-13] (ang.).
  5. NHS cyber-attack: GPs and hospitals hit by ransomware, BBC News, 12 maja 2017 [dostęp 2017-05-12] (ang.).
  6. Alex Hern, What is 'WanaCrypt0r 2.0' ransomware and why is it attacking the NHS?, The Guardian, 12 maja 2017, ISSN 0261-3077 [dostęp 2017-05-12].
  7. Statement on reported NHS cyber attack, digital.nhs.uk [dostęp 2017-05-13] (ang.).
  8. A Massive Ransomware ‘Explosion’ Is Hitting Targets All Over the World, Motherboard [dostęp 2017-05-13] (ang.).
  9. Selena Larson, Massive ransomware attack hits 99 countries, CNN, 12 maja 2017 [dostęp 2017-05-12].
  10. Ransomware virus plagues 75k computers across 99 countries, RT International [dostęp 2017-05-12] (ang.).
  11. Actual ransom
  12. Selena Larson, Massive ransomware attack hits 99 countries, CNNMoney, 12 maja 2017 [dostęp 2017-05-13].
  13. Masowa, niezwykle skuteczna kampania ransomware wyłącza całe firmy, „Zaufana Trzecia Strona” [dostęp 2017-05-13] (pol.).
  14. https://www.theregister.co.uk/2017/05/12/spain_ransomware_outbreak/.
  15. Customer Guidance for WannaCrypt attacks, „MSRC” [dostęp 2017-05-13] (ang.).

Linki zewnętrzneEdytuj