Заради безбедносните пропусти кои ги објавија Shadow Brokers на крајот на минатата недела бевме сведоци на еден од најголемите сајбер напади во светот. Процените се дека од петок до крајот на викендот се заразени над 200.000 компјутери во 150 држави. Оваа бројка дополнително ќе порасне денес, кога дел од корисниците ќе ги вклучат своите компјутери.
Малициозниот софтвер во првиот бран зарази над 75.000 компјутери во над 100 држави. Сите нападнати компјутери се соочија со ransomware – ист екран и порака за плаќање на 300 долари во биткоин, во следните 3 дена, во спротивно податоците ќе бидат избришани.
Цел на нападите се компјутери во Европа, иако ова можеби е единствено поради периодот во кој започнаа нападите. Почетокот соодветствува со перодот кога компаниите работат во Европа, па малициозниот код полесно се распространува. Нападот го користи EthernalBlue пропустот кој го споделија The Shadow Brokers.
Дел од компаниите кои имаа проблем се: телеком операторот Telefonica во Шпанија; Националната здравствена агенција во Британија; FedEx во САД; Renault во Франција и Министерството за внатрешни работи во Русија. Инциденти се пријавни и во Норвешка, Австралија, Бразил, Шведска. Најчеста цел на хакерите беа компјутери во Русија, Украина и Тајван, јави Avast.
Она што е карактеристично за овие напади е опсегот на нападите. Вообичаено цели на ransomware беа случајни, а нападнатите компјутери се бројат во стотици или илјади. Овојпат цел на нападите се пофокусирани, па така бројот на инфицирани уреди за само неколку часа надмина бројка од 50.000. Проблем со овој напад е и што не е познат почетокот на инфицирањето на системите. Засега се шпекулира дека првата зараза е преку „фишинг“-измама, по што се заразуваат и останатите компјутери во системот. Втора можност е компјутерите да се инфицираат преку SMB-пропуст.
Кога е во мрежата „црвот“ скенира по сите IP-адреси за да пронајде и други компјутери подложни на нападот, вели Ars Technica.
Досега нападите со ransomware се пренесуваа случајно. Некој ќе кликне на линк или ќе отвори реклама. Вака нападите се шират бавно, за неколку месеци ќе се заразат неколку илјади компјутери. Со WannaCry ситуацијата е поинаква, по првата зараза малициозниот код поради искористените пропусти речиси веднаш ги заразува сите компјутери на мрежата.
Нападите успорија кога еден 22 годишен безбедносен експерт вработен во Kryptos logic, пронајде пропуст во кодот. „Kill switch“ кој го забави ширењето на малициозниот софтвер беше нерегистриран домен. Доменот се користеше како „прекинувач“ на нападот. Кодот се обидува да пристапи до него и доколку не постои нападот продолжува. Доколку пристапи успешно, нападите престануваат. Дваесет и две годишниот експерт од Англија го регистрираше доменот и со тоа им стави крај на нападите. Сепак тој предупреди дека хакерите ќе видат дека има пропуст и ќе го променат кодот и нападот ќе продолжи.
„Ова не е крај на нападите. Напаѓачите ќе сфатат како сме го запреле, ќе хо променат кодот и ќе продолжат повторно. Активирајте ја надградбата на Window, надградете и рестартирајте“, вели MalwareTech за Guardian.
Version 1 of WannaCrypt was stoppable but version 2.0 will likely remove the flaw. You’re only safe if you patch ASAP.
— MalwareTech (@MalwareTechBlog) May 14, 2017
Нападите би можеле да продолжат веќе денес, со повторниот почеток на работната недела. Поради ова сите кои се можна цел на овој напад треба веднаш да го надградат оперативниот ситем. Сите кои не можат да надградат треба веднаш да го блокираат пристапот до портите 138, 139 и 445, како и деактивирање на верзијата 1 на Server Message Block протоколот.
„Во моментов сме соочени со закана која може да ескалира. Бројките растат, загрижен сум дека ова ќе продолжи кога луѓето ќе се вратат на работа и ќе ги вклучат компјутерите во понеделник изутрина“, вели Роб Вејнврајт од Еуропол за BBC.
Со слично мислење е и човекот кој го запре првиот напад, анонимниот безбедносен експерт зад псевдонимот Malware Tech.
„Го спречивме овој напад, но наскоро ќе следи уште еден кој нема да може да го запреме. Има многу пари во ова. Немаат причина да престанат. Напдите ќе продолжат можеби не викендот, но најверојатно веќе од понеделник“.
#WannaCry #ransomware If you can’t patch, disable SMBv1 –
Microsoft support:https://t.co/5hYgOfGzUG pic.twitter.com/dld06sYQDn— Patrick Coomans (@patrickcoomans) May 13, 2017
Опасностите од нападот беа толкави што Microsoft издаде безбедносна закрпа за три оперативни системи за кои претходно беше откажана поддршката. Корисниците на Windows XP, Windows 8 и Windows Server 2003 треба веднаш да го надградат оперативниот систем. Ова важи и за сите корисници кои користат поддржана верзија, но не ја инстaлирале надградбата MS17-010.
Што да направите?
- Најдобро е веднаш да се префрлите на актуелната верзија на оперативниот систем или во моментов Windows 10 Creators Update.
- Ова секако не е можност за сите, останатите треба да ја надградат верзиајта на оперативниот систем на безбедна. Дури и за неподдржаните верзии Microsoft издаде закрпа.
- Ако претходните две не се опција, блокирајте го пристапот до портите 138, 139 и 445, и деактивирајте ја верзијата 1 на Server Message Block протоколот.
- Направете бекап на сите поважни податоци
- Внимателно со отворањето на сомнителни имејл пораки
Иако станува збор за најголемиот ransomware напад досега, заработката од исплатата на откупнината е изненадувачки мала. Анализата на Брајан Кребс вели дека исплатата е само околу 26.000 долари. Оваа бројка најверојатно ќе се промени со крајниот рок кога дел од жртвите ќе започнат да исплаќаат откупнина.
Here is a video showing a machine on the left infected with MS17-010 worm, spreading WCry ransomware to machine on the right in real time. pic.twitter.com/cOIC06Wygf
— Hacker Fantastic (@hackerfantastic) May 13, 2017
[…] Ако има навистина голем пропуст прилично е веројатно дека Microsoft ќе издаде безбедносни закрпи и за постарите верзии на оперативните системи. Компанијата ова го правеше и во минатото, па нема причина да престане да го прави во иднина. Ова на пример беше случај со WannaCry пропустот во 2017 година. […]
[…] со споделување на нови фајлови. Ransomware епидемијата на WannaCry ја предизвикаа токму овие […]
[…] IT.mk – подетална анализа […]
[…] во над 150 држави и стотици компании беа дел од најголемиот ransomware напад. Досега никој не презема одговорност за нападите, а […]
Windows 7 si e perfectly fine vo momentov so site Security upgrades, nikade ne e spomnat vo napadite