Cyberatak na skalę globalną - paraliż wielu instytucji [AKT. 3]

Aktualizacja 3 [15.05.2017]: Ponad 200 tysięcy komputerów w ponad 150 krajach – tak teraz brzmią oficjalne statystyki piątkowego cyberataku z wykorzystaniem złośliwego oprogramowania typu ransomware o nazwie WannaCry. Informację tę podał szef Europolu, a liczby mogą jeszcze się zwiększyć.

Swoją skuteczność atak zawdzięcza przede wszystkim temu, że wykorzystuje luki w (głównie starszych) systemach i rozprzestrzenia się przez sieć. Innymi słowy, nie ma nawet konieczności uruchamiania zainfekowanych plików. Przypominamy też, że najskuteczniejszymi metodami „bronienia się” są: częste kopie zapasowe i bieżące aktualizowanie systemu.

Prawie pewne jest już także, że cyberprzestępcy wykorzystali narzędzia opracowane przez NSA. Brad Smith z Microsoftu porównał tę sytuację do „wykradzenia Tomahawka armii Stanów Zjednoczonych” i raz jeszcze zaapelował, by wszyscy, a szczególnie najważniejsze organy państwowe lepiej dbały o bezpieczeństwo.

Eksperci opisują ten atak jako największy od 10 lat, jak również największy w historii z wykorzystaniem ransomware. 

13.05.2017:

Aktualizacja 2 [godz. 12.45]: Listę ofiar uzupełniają szpitale, szkoły i uniwersytety w Azji. Cyberatak nie spowodował tam jednak żadnych poważniejszych szkód. Pojawiły się również nowe doniesienia z Rosji: atak został wymierzony w kilka spośród tamtejszych banków oraz w Koleje Rosyjskie – te instytucje skutecznie jednak się przed nim obroniły. 

Także na ekranach komputerów niemieckich kolei (Deutsche Bahn) pojawiły się komunikaty z żądaniem okupu. O problemach z funkcjonowaniem informują też fabryki samochodowe: Renault we Francji i Słowenii oraz Nissan w brytyjskim Sunderland. Nadal nie mamy informacji kto stoi za atakiem i jakie są jego dalsze plany.

Aktualizacja [godz. 11.15]: Jak informuje Guardian, liczba krajów, w których doszło do ataków za pomocą WannaCry wzrosła już do 99. Intel dodaje, że liczba komputerów to już 123 tysiące. Jest jednak także dobra wiadomość: fala została częściowo wstrzymana – tak długo, jak atakujący będą wykorzystywali obecną wersję oprogramowania, nie powinno być więcej infekcji. 

Wiemy jednak, że niektóre ofiary zapłaciły okup i niewykluczone, że zrobić będzie to musiała także część brytyjskich szpitali, bo „istnieje ryzyko, że kopie zapasowe nie były kompletne”, jak informuje przedstawiciel NHS.

News [godz. 10.15]: Szpitale w Wielkiej Brytanii, sieć telefoniczna w Hiszpanii, wewnętrzne sieci MSW i Komitetu Śledczego w Rosji, a także liczne komputery w kilkudziesięciu krajach świata, między innymi we Francji, Włoszech, Japonii, Tajwanie, Indiach, Stanach Zjednoczonych, państwach Bliskiego Wschodu i Ameryki Południowej, jak i w Polsce. Liczba ofiar ogromnego piątkowego ataku przeprowadzonego przez bliżej nieznanych cyberprzestępców może wynosić kilkadziesiąt tysięcy.

To może brzmieć jak scenariusz filmu sci-fi, ale piątkowy cyberatak na skalę globalną jest faktem. Wiele instytucji na kilku kontynentach zostało sparaliżowanych przez złośliwe oprogramowanie typu ransomware wstrzyknięte w ich systemy. Program o nazwie „WannaCry” (znany też jak WannaCrypt0r i WCry) blokuje dostęp do plików na komputerze, a w zamian za ich odblokowanie żąda wpłacenia około 300 dolarów w kryptowalucie bitcoin (od każdego urządzenia).

#nhscyberattack pic.twitter.com/SovgQejl3X

— gigi.h (@fendifille) 12 maja 2017

Dziesiątki tysięcy ofiar cyberataku WannaCry

Dokładna liczba ofiar cyberprzestępców nie jest znana, ale Quartz napisał już o 45 tysiącach potwierdzonych przypadków w 74 krajach. Wśród nich znajduje się co najmniej 16 szpitali w Wielkiej Brytanii, które w wyniku ataku utraciły częściowo dostęp do informacji medycznych swoich pacjentów, przez co ci musieli oni zostać przeniesieni do innych placówek w kraju. Dane pacjentów najprawdopodobniej są bezpieczne. 

Identyczne ataki zostały wycelowane w hiszpańską sieć komórkową Telefónica oraz firmy energetyczne Iberdrola i Gas Natural, rosyjską sieć wewnętrzną MSW i Komitetu Śledczego, amerykańską firmę kurierską FedEx i wiele innych urządzeń w licznych firmach.

Szczegóły na temat tego cyberataku nie są jeszcze znane, ale dochodzenie trwa. Eksperci ds. cyberbezpieczeńśtwa twierdzą, że WannaCry wykorzystuje lukę w zabezpieczeniach systemu Windows, o której poinformowała anonimowa grupa Shadow Brokers. Według przekazanych przez nią informacji, z narzędzi wykorzystujących ten błąd korzystali wcześniej specjaliści amerykańskiej NSA, czyli Agencji Bezpieczeństwa Narodowego.

Microsoft załatał lukę, nawet na Windows XP

Microsoft udostępnił w marcu łatkę dla tej luki i wydał teraz oświadczenie, w którym zapewnia, że „osoby, które używają bezpłatnego oprogramowania antywirusowego Microsoft i korzystają z usługi Windows Update, są chronione”. Przynajmniej dopóki korzystają z nowych (to znaczy: wspieranych) systemów tego producenta. 

Co jednak ciekawe, Microsoft zerwał ze swoją polityką i w odpowiedzi na masowy atak wydał dzisiaj łatkę chroniącą przed „WannaCry” także dla niewspieranych systemów Windows XP, Windows Server 2003, Windows Vista i Windows 8 (jest dostępna tutaj).

Coraz więcej ataków ransomware

Piątkowy globalny cyberatak opiera się na złośliwym oprogramowaniu typu ransomware. Działa ono tak, że pliki na komputerze są szyfrowane i tylko wpłacenie okupu na konta cyberprzestępców pozwala odblokować do nich dostęp. Gdy użytkownik uruchamia zainfekowany komputer, jego oczom ukazuje się komunikat z wszystkimi informacjami, potrzebnymi do wykonania takiej transakcji.

Jeszcze do niedawna ataki z wykorzystaniem ransomware były marginalnym problemem. Z kwartału na kwartał jednak ich liczba rośnie. W pierwszym kwartale 2016 roku odnotowano ich około 30 milionów, a w trzech ostatnich miesiącach tego samego roku już ponad 250 milionów. Zdecydowanie więc jest to coraz większy problem, z którym jednak trudno efektywnie walczyć (jedyne możliwości obrony to: jak najczęstsze aktualizacje i wykonywanie na bieżąco kopii zapasowych).

Piątkowy cyberatak był jednak jak dotąd jednym z największych, bo objął swoim zasięgiem kilkadziesiąt państw na wielu kontynentach, a ponadto wycelowany został w kluczowe sieci – szpitale, sieci telefoniczne itp. To tylko jeszcze jeden przykład na to, jak bardzo jesteśmy dzisiaj uzależnieni od technologii i jak ważne jest, by zadbać o odpowiednie zabezpieczenie tych najważniejszych spośród nich.

Źródło: Quartz, Engadget, Guardian, BBC, MalwareHunterTeam. Grafika na wejscie: geralt/Pixabay