Την Παρασκευή 12 Μαΐου του 2017, το Internet χτυπήθηκε από μία τεράστια επίθεση malware. To malware στη συνέχεια εξαπλώθηκε σαν ανεξέλεγκτη πυρκαγιά σε ολόκληρο τον κόσμο και περισσότεροι από 200 χιλιάδες υπολογιστές μολύνθηκαν σε ολόκληρη την υδρόγειο.

Το περιβόητο κακόβουλο λογισμικό απέκτησε την ονομασία WannaCry, και είναι ένα θανάσιμο “ransomware” που κλειδώνει τον υπολογιστή σας, καθιστώντας όλα σας τα αρχεία απρόσιτα και κρυπτογραφημένα. Από το malware επηρεάστηκαν εταιρείες, οργανισμοί και άνθρωποι σε περισσότερες από 150 χώρες σε όλο τον κόσμο, όπως στο Ηνωμένο Βασίλειο, στην Ισπανία, στη Γερμανία, στην Ιαπωνία, στο Πακιστάν και στην Ινδία.

Το τεχνικό προσωπικό, σε όλες τις εταιρείες που επηρεάστηκαν εργάζεται μέρα και νύχτα προσπαθώντας να επανεγκαταστήσει λειτουργικά συστήματα και εφαρμογές ή να ανακτήσει δεδομένα. Ορισμένοι, κατάφεραν να ανακτήσουν τα δεδομένα τους, ωστόσο πολλοί από αυτούς εξακολουθούν να προσπαθούν να ανακτήσουν δεδομένα ώστε ο οργανισμός τους να λειτουργήσει ξανά στους κανονικούς ρυθμούς του. Αρκετοί οργανισμοί φαίνεται επίσης να κατέβαλαν το ποσό που ζητήθηκε ως λύτρα για να ανακτήσουν τα δεδομένα τους, επειδή δεν υπήρχε εκείνη την στιγμή κάποια άλλη βιώσιμη λύση.

Υπάρχουν πολλά ερωτήματα που μας απασχολούν σχετικά με το malware, όπως:

• Από πού προήλθε;
• Γιατί τα συστήματα ασφαλείας δεν κατάφεραν να το εμποδίσουν;
• Θα υπάρξει άλλη τέτοια επίθεση στο μέλλον;

Από πού προήλθε το WannaCry και πως λειτουργεί;

Σύμφωνα με πηγές, μία ομάδα hackers με την ονομασία The Shadow Brokers ενδέχεται να βρίσκεται πίσω από το τεράστιο χάος που προκλήθηκε. Οι εισβολείς κλείδωσαν δεδομένα από περισσότερους από 200 χιλιάδες υπολογιστές ζητώντας λύτρα σε bitcoins (αξίας περίπου $300 με $600) για να τα απελευθερώσουν. Η συγκεκριμένη μέθοδος πληρωμής επιλέχθηκε επειδή δεν είναι ανιχνεύσιμη.

Το malware έχει στόχο υπολογιστές με παλαιότερα λειτουργικά συστήματα όπως είναι τα Windows XP και Windows 7 που είναι ευάλωτα στο exploit με την ονομασία EternalBlue.  Σε σύγκριση με άλλους τύπους ransomware, αυτό που καθιστά το WannaCry μοναδικό και κάπως πιο τρομακτικό, είναι ότι δεν βασίζεται στην απόφαση του τελικού χρήστη να κάνει κλικ σε έναν σύνδεσμο ή να κάνει λήψη ενός αρχείου για να αποκτήσει πρόσβαση στο μηχάνημα. Αντ ‘αυτού, αξιοποιεί το παραπάνω exploit και μπορεί αυτόματα να εξαπλωθεί και σε άλλους υπολογιστές μηχανές (π.χ. εκείνες που είναι συνδεδεμένες στο ίδιο τοπικό δίκτυο). Μετά την επίθεση, η Microsoft διέθεσε κατεπειγόντως ένα patch για συστήματα XP (η επίσημη υποστήριξη του συγκεκριμένου λειτουργικού συστήματος έχει λήξει εδώ και καιρό), αλλά στο μεσοδιάστημα το malware είχε προλάβει να μολύνει εκατοντάδες χιλιάδες υπολογιστές, από μερικές από τις μεγαλύτερες εταιρείες και οργανισμούς στον κόσμο, όπως νοσοκομεία του Βρετανικού Συστήματος Υγείας, υπολογιστές της National Petroleum Company στην Κίνα καθώς και της εταιρείας Renault στη Γαλλία.

Η επίθεση δεν έχει τελειώσει ακόμα. Ένας ερευνητής από την εταιρεία Malware Tech ισχυρίστηκε ότι βρήκε κρυμμένο στον κώδικα του κακόβουλου λογισμικού έναν “kill switch” (έναν ας τον πούμε διακόπτη απενεργοποίησης) με αποτέλεσμα να καταφέρει να τον σταματήσει από το να εξαπλωθεί, αλλά από ότι φαίνεται το μόνο που επετεύχθη είναι να επιβραδύνει το malware. Σύμφωνα με γνωστές εταιρείες από τον χώρο της ασφάλειας πληροφορικής, μία νέα και ισχυρότερη έκδοση του λογισμικού εντοπίστηκε αμέσως αφότου έγιναν γνωστά τα νέα για τον “kill switch”. Αυτή η νέα έκδοση δεν μπορεί να εμποδιστεί ή να επιβραδυνθεί από τον “kill switch” και ένα νέο κύμα μόλυνσης αναμένεται να συνεχιστεί αυτή την εβδομάδα.

Πώς μπορείτε να προστατεύσετε τον εαυτό σας από το WannaCry;

Σε αυτή την περίπτωση, η πρόληψη είναι πραγματικά η καλύτερη επιλογή σας. Ένα κρίσιμο μέρος της πρόληψης είναι να ενημερώσετε άμεσα το σύστημά σας. Εάν ο υπολογιστής σας ή το σύστημα της επιχείρησης σας τρέχει πάνω σε κάποια παλαιότερη έκδοση των Windows, τότε κινδυνεύετε σοβαρά. Η ενημέρωση των συστημάτων σας με το patch που διέθεσε η Microsoft επιβάλλεται αν θέλετε να μειωθεί ο κίνδυνος για κρίσιμης σημασίας ευπάθειες και κενά ασφαλείας.

Επιπλέον, όπως αναφέρθηκε και παραπάνω, το χαρακτηριστικό που καθιστά το WannaCry ξεχωριστό σε σύγκριση με άλλα κακόβουλα προγράμματα είναι ότι μπορεί να εξαπλωθεί σε ένα τοπικό δίκτυο από μόνο του και χωρίς κάποια άλλη αλληλεπίδραση. Επομένως, αν ανακαλύψετε ότι ένα από τα συστήματα ή τους διακομιστές σας έχει μολυνθεί, ο μόνος τρόπος για να βεβαιωθείτε ότι δεν θα εξαπλωθεί περαιτέρω η μόλυνση είναι να αποσυνδέσετε το καλώδιο LAN ή να απενεργοποιήσετε την ασύρματη σύνδεση.

Παρόλο που τα μηνύματα ηλεκτρονικού “ψαρέματος” (phishing) δεν φαίνονται να παίζουν ρόλο στην εξάπλωση του ransomware WannaCry, θα πρέπει να είστε επιφυλακτικοί με ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και επισυναπτόμενα αρχεία. Ειδικά μάλιστα αυτή τη περίοδο, ορισμένοι απατεώνες και κακοποιοί, εκμεταλλευόμενοι την συγκυρία, ενδέχεται να προσπαθήσουν να εκμεταλλευτούν τον φόβο που υπάρχει για το WannaCry με στόχο να σας εξαπατήσουν για να κατεβάσετε ψεύτικες λύσεις αποκρυπτογράφησης.

Το ransomware είναι πολύ σοβαρή υπόθεση, και το WannaCry αποδεικνύει για ποιο λόγο στις μέρες μας μία πολυεπίπεδη στρατηγική ασφαλείας είναι τόσο σημαντική. Μία και μόνο ευπάθεια μπορεί να προκαλέσει σημαντικές ζημιές. Πρέπει να βεβαιωθείτε ότι έχετε την κατάλληλη άμυνα και συντήρηση στην εταιρεία σας για να αποφύγετε τέτοια προβλήματα.

Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.