WannaCry

WannaCry (znany również jako WannaCrypt lub WanaCrypt0r 2.0^[1]) – rodzaj oprogramowania szantażującego (ransomware). Duża fala cyberataków za pomocą tego oprogramowania miała miejsce w maju 2017, kiedy zainfekowanych zostało ponad 300 tys. komputerów^[2] w 99 krajach. Przestępcy żądali zapłaty w 28 językach (w tym polskim). Według danych Europolu był to największy atak tego rodzaju w ostatnim czasie^[3]. WannaCry wykorzystuje exploit o nazwie EternalBlue, który rzekomo został zaprojektowany w amerykańskiej agencji bezpieczeństwa narodowego w celu atakowania komputerów z systemem Windows^[4]. Struktura kodu WannaCry przypomina te z wcześniejszych ataków północnokoreańskiej grupy Lazarus^[2].

Ekran wyświetlający się po zainfekowaniu komputera przez WannaCry

Zasięg

W ataku ucierpiała Telefónica i kilka innych dużych przedsiębiorstw w Hiszpanii, a także części brytyjskiej narodowej służby zdrowia^[5], Fedex oraz Deutsche Bahn^[6][7][8]. Media donosiły także, że inne cele w co najmniej 99 krajach również zostały zaatakowane w tym samym czasie^[9][10]. W Rosji zainfekowanych zostało ponad 1000 komputerów w ministerstwie spraw wewnętrznych, agencji zarządzania sytuacjami kryzysowymi (EMERCOM) oraz w przedsiębiorstwie telekomunikacyjnym MegaFon^{[potrzebny przypis]}. Do 17 maja łączny okup jaki dostali hakerzy wynosił ponad 79 tys. USD^[11].

Wyciek z NSA

Faktem jest, że NSA stworzyła „zero-day exploits”. Narzędzia te, służące do wykorzystywania luk w oprogramowaniach, są ogromnym zagrożeniem, jeżeli zainfekują system. Te exploity zostały utworzone przez specjalnie do tego celu przeznaczone Centrum Cyberwywiadowcze CIA^[12]. Jak się okazuje Centrum we współpracy z najlepszymi programistami opracowało możliwość włamania się do większości popularnych urządzeń. Można wymienić tu systemy takie jakie iOS, Android, Microsoft Windows oraz urządzenia jak SmartTV firmy Samsung. W praktyce oznacza to, że służby CIA mogą podsłuchiwać kogo chcą i kiedy chcą^[12]. W 2016 roku grupa Shadow Brokers ujawnia serię tajnych narzędzi. Po tym jak nikogo nie zainteresowało wykupienie wiadomości jakie w posiadaniu ma grupa, postanowili opublikować kolejną serię exploitów, tym razem zaadresowaną do systemów Windows^[13]. NSA korzystała z exploitów do ataków na banki, systemy SWIFT, do infiltrowania sieci- atakując VPN i firewall. Narzędzia te to: EternalBlue, EternalChampion, EternalRomance, EternalSystem, ExplodingCan^[13].

Exploit EternalBlue

Złośliwe oprogramowanie wykorzystujące exploit (program mający na celu wykorzystanie błędów w oprogramowaniu)^[14] o nazwie „EternalBlue” zostało opracowane przez amerykańską agencję bezpieczeństwa (NSA). Zostało ono wykorzystane przez grupę hakerów zwaną Shadow Brokers (TB)^[15]. Udostępniła ona publicznie luki, które były ukierunkowane na zapory korporacyjne, oprogramowanie antywirusowe i produkty Microsoft.

EternalBlue wykorzystał lukę w protokole Microsoft Server Message Block 1.0 (SMBv1), dzięki niej zyskał dostęp do zdalnego wykonania dostarczonego kodu na komputerze ofiary (użycie Double Pulsar, czyli tak zwanego backdoor). DoublePulsar(inne języki) zapewnił cyberprzestępcom wysoką kontrolę nad systemem komputerowym. Backdoor używa trzech poleceń: ping, kill i exec.

Przebieg infekcji

Zainfekowane komputery dostawały komunikat z informacją o przeprowadzonym ataku, a wyglądało to mniej więcej tak^[16]:

Plikom po infekcji zostało nadane rozszerzenie .WNCRY. By otrzymać do nich dostęp, należy wpłacić około 300 dolarów w bitcoinach za każdą zainfekowaną stację. Hakerzy stosują tutaj socjotechnikę polegającą na zastraszeniu – cena ma dwukrotnie wzrosnąć po trzech dobach, a po upływie tygodnia odzyskanie danych staje się niemożliwe^[17].

Hakerzy w komunikacie informują swoje ofiary w jaki sposób mają dokonać płatności – za pomocą kryptowaluty Bitcoin oraz podają adres portfela, na który mają wykonać transfer środków pieniężnych. Sprawcy podali trzy różne adresy dla portfeli.

Adresy dwóch z nich to:

https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn^[17]

https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw^[17]

Szukanie winnych

USA oskarżają Koreę Północną o atak. MSZ Korei odpowiedziało, że nie jest to ich sprawka. Podejrzenie zostało wymierzone w ich kierunku, ponieważ wcześniej miał miejsce atak na firmę Sony Pictures, która wyprodukowała komedię „Wywiad ze Słońcem Narodu”, gdzie zostały przedstawione fikcyjne plany zamachu na Kim Dzong Una. Firma Sony po tym fakcie została zaatakowana. Wyciekły prywatne dane pracowników takie jak numery ubezpieczeń, wyciągi finansowe oraz informacje o zarobkach^[18].

Oskarżono Park Dzin Kioka, który według amerykańskich prokuratorów federalnych miał powiązania z północnokoreańskim rządem i to w porozumieniu z nim przeprowadził ataki. Ponadto zarzucono mu atak na centralny Bank w Bangladeszu w 2016 roku oraz na brytyjską służbę zdrowia w 2017^[18]. Dodatkowo zarzuca się Parkowi udział w zespole programistów zatrudnionych w firmie Chosun Expo, działającej z miasta Dalian w Chinach. Amerykański resort finansów umieścił Parka i Chosun Expo na liście podmiotów objętych sankcjami bankowymi^[18].

Aktualizacja zabezpieczeń

Poprawka eliminująca tę lukę bezpieczeństwa została wydana przez Microsoft już 14 marca 2017. Jednak wiele komputerów pozostało narażonych ze względu na opóźnienia w instalacji aktualizacji zabezpieczeń^[19]. Użytkownicy systemu Windows XP, który nie jest wspierany przez Microsoft od kwietnia 2014, nie otrzymali marcowej aktualizacji. Jednak po serii ataków WannaCry, 12 maja 2017, producent zdecydował się opublikować poprawkę dla wszystkich użytkowników Windows XP^[20].

Atak na brytyjski NHS

Według Theresy May cyberatak na brytyjską służbę zdrowia był częścią szerszego, międzynarodowego ataku. W przeciągu tygodnia około 1% opieki został zakłócony. Włamanie spowodowało między 12–19 maja odwołanie 19000 spotkań, co kosztowało 20 milionów funtów. Późniejsze koszty zostały wygenerowane na dodatkowe 72 miliony funtów^[21].

Zahamowanie rozprzestrzeniania

12 maja 2017 r. Marcus Hutchins z Kryptos Logic znalazł próbkę kodu wirusa i ustalił, że oprogramowanie łączyło się z niezarejestrowaną domeną. Hutchins postanowił zarejestrować domenę na siebie, co zatrzymało infekowanie kolejnych komputerów^[2][22].

Ofiary ataku WannaCry

W ataku ucierpiało kilka większych firm oraz instytucje jak brytyjska służba zdrowia, rosyjskie banki i koleje państwowe oraz 1000 komputerów w ministerstwie spraw wewnętrznych, firma EMERCOM oraz MeganFon. indyjskie linie lotnicze oraz włoskie uniwersytety. Infekcja dosięgła także firmy: Nissan, Telefonica, FedEx, Deutsche Bahn^[23].

Do 17 maja hakerzy otrzymali ponad 79 tysięcy USD.

Przypisy

1. ThomasT. Fox-Brewster ThomasT., An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak [online], Forbes [dostęp 2017-05-12] .
2. MaciejM. Czarnecki MaciejM., Oto Marcus Hutchins, 22-letni Brytyjczyk, który zatrzymał światowy cyberatak [online], wyborcza.pl, 16 maja 2017 [dostęp 2017-05-18] .
3. Cyber-attack: Europol says it was unprecedented in scale [online], BBC News, 13 maja 2017 [dostęp 2017-05-13]  (ang.).
4. SelenaS. Larson SelenaS., Massive ransomware attack hits 99 countries [online], CNNMoney, 12 maja 2017 [dostęp 2017-05-13] .
5. SarahS. Marsh SarahS., The NHS trusts hit by malware – full list, „The Guardian”, 12 maja 2017, ISSN 0261-3077 [dostęp 2017-05-13]  (ang.).brak strony (czasopismo)
6. NHS cyber-attack: GPs and hospitals hit by ransomware [online], BBC News, 12 maja 2017 [dostęp 2017-05-12]  (ang.).
7. AlexA. Hern AlexA., What is 'WanaCrypt0r 2.0' ransomware and why is it attacking the NHS?, The Guardian, 12 maja 2017, ISSN 0261-3077 [dostęp 2017-05-12] .
8. Statement on reported NHS cyber attack [online], digital.nhs.uk [dostęp 2017-05-13]  (ang.).
9. A Massive Ransomware ‘Explosion’ Is Hitting Targets All Over the World [online], Motherboard [dostęp 2017-05-13]  (ang.).
10. SelenaS. Larson SelenaS., Massive ransomware attack hits 99 countries [online], CNN, 12 maja 2017 [dostęp 2017-05-12] .
11. Actual ransom.
12. WikiLeaks przedstawia największy wyciek danych w historii CIA! [online], Spider’s Web, 7 marca 2017 [dostęp 2020-04-28]  (pol.).
13. Arsenał NSA ujawniony. Dotknięte wszystkie wersje Windows od 2000 do 8 [online], www.centrumxp.pl [dostęp 2020-04-28]  (pol.).
14. ABC Cyberbezpieczeństwa: E jak exploit | Bitdefender [online], bitdefender.pl [dostęp 2020-04-23]  (pol.).
15. SamuelS. Gibbs SamuelS., Shadow Brokers threaten to unleash more hacking tools, „The Guardian”, 17 maja 2017, ISSN 0261-3077 [dostęp 2020-04-28]  (ang.).brak strony (czasopismo)
16. Masowa, niezwykle skuteczna kampania ransomware wyłącza całe firmy | Zaufana Trzecia Strona [online], zaufanatrzeciastrona.pl [dostęp 2020-04-23]  (pol.).
17. Masowa, niezwykle skuteczna kampania ransomware wyłącza całe firmy [online], Zaufana Trzecia Strona [dostęp 2020-04-22]  (pol.).
18. Korea Płn. zaprzecza zarzutom w sprawie Sony i WannaCry – CyberDefence24 [online], www.cyberdefence24.pl [dostęp 2020-04-28] .
19. https://www.theregister.co.uk/2017/05/12/spain_ransomware_outbreak/.
20. Customer Guidance for WannaCrypt attacks, „MSRC” [dostęp 2017-05-13]  (ang.).
21. MatthewM. Field MatthewM., WannaCry cyber attack cost the NHS £92m as 19,000 appointments cancelled, „The Telegraph”, 11 października 2018, ISSN 0307-1235 [dostęp 2020-04-28]  (ang.).brak strony (czasopismo)
22. Clive Thompson: Koderzy. Znak Litera Nowa, 2019, s. 309-310. ISBN 83-240-7009-5. (pol.).
23. WannaCry Ransomware – CERT Polska [online], www.cert.pl [dostęp 2020-04-23]  (pol.).

Linki zewnętrzne

• Masowa, niezwykle skuteczna kampania ransomware wyłącza całe firmy – artykuł o WannaCry na portalu Zaufana Trzecia Strona.
• Aktualizacja naprawiająca lukę dla Windows XP i nowszych (KB4012598).