WannaCry – więcej niż tylko nowa wersja ransomware

WannaCry to wyraźny sygnał i ostrzeżenie, że wkrótce w cyberprzestrzeni mogą się pojawić ataki, które później będziemy porównywać do tego co się wydarzyło w Nowym Jorku 11 września 2001 roku.

W piątek 12 maja nastąpił globalny atak ransomware wykorzystujący oprogramowanie określane jako WannaCry (chcę płakać..) lub też WannaCrypt czy WannaCrypto. Nastąpiła infekcja i zablokowanie działania setek tysięcy komputerów. Początkowe dane Europolu mówiły o ponad 200 tysiącach maszyn w 150 krajach.

A już w poniedziałek pojawiło się doniesienia o nowym wariancie kodu, który może infekować jeszcze większą liczbę komputerów, także niektórych mających już załatane luki wykorzystane podczas pierwotnego ataku. Informację taką podał anonimowy przedstawiciel amerykańskiego ministerstwa DHS (Department of Homeland Security), które, jak twierdzi, monitoruje bieżącą sytuację.

Zobacz również:

W mediach, aż roi się od informacji, opisów i porad dotyczących ransomware WannaCry określanego również jako WannaCrypt lub WannaCrypto. Zainteresowanie tym tematem wynika nie tylko z dużej skali ataku oraz prawdopodobnego wykorzystania przez cyberprzestępców należącego do NSA kodu, który wyciekł do internetu. Uwagę przyciągają innowacyjne, dotąd nie stosowane mechanizmy umożliwiające automatyczne rozprzestrzeniania ransomware w sieciach lokalnych LAN. Utrudniają one eliminację zagrożenia przez odtworzenie plików zapisanych w komputerze z kopii zapasowej, bo niezbędna jest jego odizolowanie od zarażonej sieci by proces infekcji nie został automatycznie powtórzony.

Co gorsza, można oczekiwać, że wykorzystana przez cyberprzestępców technika będzie rozwijana i wkrótce pojawią się w sieci nowe jeszcze groźniejsze zagrożenia o podobnym charakterze. Szczególny niepokój budzi fakt, że podstawowy szkodliwy kod WannaCry nie jest bezpośrednio związany z atakami typu ransomware. Potencjalnie może zostać wykorzystany na przykład jako cyberbroń, która paraliżuje funkcjonowanie firm i instytucji w jakimś państwie, regionie lub nawet działanie sieci w skali globalnej.

Na razie nie wiadomo kto stoi za atakiem WannaCry, ale cyberprzestępcy wykorzystali najprawdopodobniej luki wykryte i nie ujawnione przez NSA. Agencja wykorzystała je do opracowania narzędzi przydatnych w działaniach antyterrorystycznych i szpiegowskich (eksploit ETERNALBLUE).

Eksploit wykorzystany przez autorów WannaCry został wykradziony z zasobów NSA przez grupę cyberprzestępczą określaną jako Shadow Brokers i udostępniony w internecie już po opublikowaniu przez Microsoft odpowiednich poprawek bezpieczeństwa.

Jak działa WannaCry

Choć podobnie jak inne, znane wersje ransomware, WannaCry wymaga by użytkownik kliknął na przesłany w wiadomości link lub otworzył załącznik uruchamiający szkodliwy kod, ale po wykonaniu takiej pojedynczej operacji szkodliwe oprogramowanie zaczyna się automatycznie propagować w lokalnej sieci LAN i infekować wszystkie komputery których użytkownicy wcale nie otrzymali tego typu wiadomości i nie wykonali żadnych nierozsądnych działań. Oprócz szyfrowania danych w zainfekowanych komputerach, WannaCry uruchamia dodatkowe mechanizmy skanowania sieci w poszukiwaniu kolejnych potencjalnych ofiar i przesyłania do nich szkodliwego kodu. Dlatego też pojawiło się nowe określenie dla tego typu malware: ransomworm (robak żądający okupu).

Po zainfekowaniu komputera i zaszyfrowaniu danych, WannaCry żąda wpłacenia okupu w wysokości 300-600 USD (oczywiście w bitcoinach).

Głośny atak, choć jego sukces jest oceniany jako umiarkowany

Atak rozpoczął się w piątek 12 maja. Pierwsze informacje o nim były alarmujące, a specjaliści przewidywali, że najgorzej będzie w poniedziałek po weekendzie, gdy ludzie wrócą do komputerów w pracy.

W poniedziałek 15 maja, jak doniosła organizacja Europol, liczba infekcji nie zwiększyła się jednak zgodnie z pesymistycznymi przewidywaniami.

Z punktu widzenia liczby zaszyfrowanych komputerów oraz geograficznego zasięgu, atak odniósł duży sukces. Ale jeśli chodzi o wartość uzyskanych okupów to w pierwszych dniach nie była ona imponująca. Według danych zaprezentowanych przez Sophos, w pierwszych trzech dniach cyberprzestępcy zarobili zaledwie ok. 50 tys. USD, a na wpłacenie okupu zdecydowało się 181 firm.

Czy można się obronić przed atakiem

Obrona przed WannaCry: działania doraźne sugerowane przez specjalistów

• Zainstalować opublikowaną w marcu 2017 roku przez Microsoft poprawkę oprogramowania SMB (Server Message Block) blokującą atak WannaCry. https://technet.microsoft.com/en-us/library/security/ms17-010.aspx .

• Jeśli nie została ona jeszcze przetestowana pod kątem zgodności z wykorzystywanym w firmie oprogramowaniem, należy wyłączyć usługę SMB1 (Server Message Block 1) obsługującą współdzielenie plików w sieci LAN.

• Można też zamknąć porty 139 i 445 wykorzystywane przez SMB.

Czy można zatrzymać propagację takiego szkodliwego kodu? W przypadku WannaCry okazało się, że jest to możliwe, bo oprogramowanie zawiera mechanizm blokujący jego rozprzestrzenianie się, a mianowicie sprawdza czy można uzyskać dostęp do pewnej określonej domeny. Jeśli domena ta jest niezarejestrowana WannaCry propaguje się bez przeszkód, ale jeśli uzyska dostęp, czyli domena została zarejestrowana, to przerywa aktywność.

W pierwszej fazie ataku miał miejsce przypadek spowolnienia propagacji WannaCry. Jeden z niezależnych analityków bezpieczeństwa, po wykryciu w kodzie nazwy niezarejestrowanej domeny, postanowił ją zarejestrować by lepiej śledzić i analizować działania cyberprzestępców. Okazało się, że spowodowało to na pewien czas zatrzymanie rozprzestrzeniania się złośliwego kodu.

Nie jest to niestety metoda uniwersalna, bo cyberprzestępcy aktywnie monitorujący działanie WannaCry szybko zorientowali się o co chodzi i zmodyfikowali parametry oprogramowania.

Jak można się zabezpieczyć przed innymi podobnymi atakami

• Należy rozważyć możliwość zwiększenia segmentacji sieci. Jeśli w systemie pojawi się tego typu zagrożenie jego propagacja w sieci LAN zostanie ograniczona do pojedynczego segmentu.

• Warto zainstalować i tak skonfigurować narzędzia do aktualizacji systemów i aplikacji by pojawiające się zestawy poprawek bezpieczeństwa były instalowane tak szybko jak to tylko możliwe.

• Uprawnienia użytkowników i ich dostęp do aplikacji powinien być starannie przeanalizowany i skonfigurowany na najniższym akceptowalnym poziomie.

Jak zwykle specjaliści przypominają, że ważna jest edukacja użytkowników oraz szybkie instalowanie pojawiających się poprawek związanych z bezpieczeństwem oprogramowania.

Ale edukacja użytkowników i inwestycje w zabezpieczenia systemu IT nigdy nie dadzą 100-procentowej gwarancji, że firma lub instytucja będzie odporna na kolejny atak ransomware, choć na pewno zmniejszy się prawdopodobieństwo, że odniesie on sukces.

Podobnie jest z aktualizacjami. Z jednej strony trudno oczekiwać by każda luka została załatana szybciej niż wykorzystają ją cyberprzestępcy. Z drugiej, zmiany w oprogramowaniu często muszą być testowane, bo jeśli spowodują awarię systemu produkcyjnego to jakie jest znaczenie tego, że został zabezpieczony?

Niewątpliwie jednak warto pamiętać o podstawowych zasadach i metodach zwiększenia poziomu bezpieczeństwa takich jak choćby zaprezentowane w dołączonej obok ramce.

Warto też zapoznać się z rekomendacjami, których wersję zmodyfikowaną po ataku przez WannaCry, opublikowała organizacja US CERT (Computer Emergency Readiness Team). Zaktualizowany zestaw porad dotyczących ochrony przed ransomware można znaleźć na stronie tej organizacji.

Być może zasadniczo zmieni się sposób w jaki korzystamy z internetu i popularnych aplikacji. Takie standardowe i powszechnie wykorzystywane funkcje jak możliwość bezpośredniego przesyłania i otwierania linków lub załączników mogą zostać wyeliminowane.

Oprócz tego, wśród specjalistów od bezpieczeństwa pojawiają się sugestie, że być może warto by zmodyfikować sposób w jaki korzystamy z internetu i technicznie wyeliminować możliwość przesyłania i otwierania linków oraz załączników. Byłaby to zmiana rewolucyjna wymagająca zasadniczej modyfikacji dotychczasowych przyzwyczajeń. Koncepcja taka istotnie utrudniłaby możliwość rozpowszechniania szkodliwych kodów, ale jednocześnie znacznie zmniejszyła komfort korzystania z internetu. Wymagałaby też opracowania nowych, bezpiecznych metod wymiany informacji.