Atacul ransomware care a afectat peste 200.000 de calculatoare din intreaga lume pare sa-si fi domolit puternic viteza de raspandire, numarul de noi victime fiind de zece ori mai mic decat in ziua de maxim, vineri, a spus intr-un interviu pentru HotNews.ro, Costin Raiu de la Kasperky Lab. Deocamdata lucrurile sunt sub control, iar scenariul cel mai pesimist ar fi ca hackerii sa nu se multumeasca cu un ransomware, ci sa lanseze o arma cibernetica ce poate distruge tot ce se gaseste pe calculatoare victimelor, precedente existand. In orice caz, inca pot fi lansate atacuri prin modificari ale virusului WannaCry fiindca nu este foarte dificil. Costin Raiu este director global al echipei de Cercetare si Analiza (Director Global Research & Analysis Team).
Cand a inceput practic nebunia WannCry si ce s-a intamplat in ultimele ore? "Cred ca este fara indoiala unul dintre cele mai semnificative atacuri din ultimii zece ani si este cel mai mare atac ransomware din istorie", spune specialistul in securitate informatica.
"Tocmai analizam date noi pe care le-am primit si se pare ca atacul a fost lansat joi, pe data de 11 dimineata, daca nu cumva miercuri noaptea. Asta ma face sa cred ca a durat un timp pana sa ajunga la un punct critic si acel punct critic a fost atins vineri.. In timpul zilei de joi s-a raspandit, iar vineri au inceput aceste activari ransomware care de fapt au atras atentia".
Datele Kaspersky arata ca in prezent situatia este calma: de la ora 6.00 UTC (9, ora Romaniei) au aparut 500 de atacuri noi, numar foarte mic daca se tine cont ca vineri, in prima ora de monitorizare au fost 5.000 de victime. "Situatia pare sun control".
Ar mai putea veni al doilea "val" de atacuri, este atat de simplu de creat noi coduri? "Intr-adevar pare destul de simplu de facut. In week-end au aparut doua variante noi despre care cred ca sunt semnificative: una dintre ele are un kill switch diferit. Asa cum stiti, toate variantele de WannaCry au un kill switch care blocheaza raspandirea in momentul in care se pot conecta la internet la un anumit domeniu de control. In weekend asadar a aparut o varianta cu un nou kill switch, cu un domeniu nou de comanda si control, domeniu care a fost inregistrat rapid de cativa cercetatori si unul dintre colegii mei de breasla mi-a spus ca a blocat 10.000 de atacuri noi folosind acel "sample".
De ce a fost nevoie de un kill switch? Un scenariu este ca cei care au pornit totul voiau sa aiba o metoda de a opri "nebunia" daca scapa de sub control. O alta teorie este ca voiau sa fie siguri ca nu ruleaza intr-un "sandbox", pentru ca daca malware-ul ruleaza intr-un sandbox ii permite sa se conecteze si la domenii care nu exista.
Cum sta Romania comparativ cu alte tari? Daca la inceput de week-end era in top 10 al tarilor afecfate, dupa ce datele s-au uniformizat a cazut pe locul 29 spre final de week-end. "La inceput a fost lovita mai rapid poate si fiindca este foarte bine conectata la internet si stim ca acest malware se raspandeste prin internet si daca ai legaturi mai rapide vei fi lovit si mai rapid fata de alte tari"
Cum ar arata scenariul cel mai "negru? "Scenariul cel mai pesimist ar fi daca apare o varianta noua care nu mai poate fi oprita printr-un kill switch si o varianta care in loc sa cripteze datele, sa distruga calculatoarele: si sa "radă" toate informatiile de pe ele. Asa ceva s-ar incadra in definitia unei arme cibernetice, ceea ce ar fi mult mai grav decat un ransomware". Un exemplu din trecut este Shamoon, un virus care a lovit prima oara acum cinci ani si a revenit anul trecut, atacand mai ales compania saudita de energie Saudi Aramco careia i-au fost distruse peste 30.000 de calculatoare in 2012.
Se vorbeste mult despre o cheie de criptare, dar nu ar trebui sa speram prea multe. "Modul in care este implementata criptarea este destul de solid, am incercat sa gasim slabiciuni care ne-ar putea ajuta sa cream o unealta de curatare gratuita". Ce ar putea sa se intample? Depinde cat de vinovati si responsabili se simt autorii. Daca sunt panicati ca ii cauta agentiile de politie din toata lumea s-ar putea ca la un moment dat sa ofere gratuit varianta de criptare sau doar cheia "master" care ne-ar permite sa facem usor unealta de decriptare, mai spune Costin Raiu.
El nu exclude posibilitatea ca insisi autorii sa fie un pic uimiti si panicati de amploare si depinde mult ce vor face: fie vor sterge toate informatiile si vor disparea, lasand calculatoarele in pace, fie se vor apuca sa colecteze Bitcoinii si sa puna mesaje publice. In aceasta a doua varianta rsca enorm sa fie prinsi "Cum incep sa interactioneze pe internet cu utilizatorii, vor incepe sa lase urme".
Costin Raiu, Kaspersky Lab, despre atacul ransomware: Varianta cea mai pesimista ar fi sa apara o versiune care sa "radă" toate informatiile de pe calculatoare si astfel sa le distruga
Luni, 15 mai 2017, 15:22 Economie | IT
REFERINTE
Vladimir Putin neaga orice implicare in atacul cibernetic WannaCry
FOTO Cum arata si cum cere bani WannaCry, ransomware-ul care si-a inceput vineri atacul global
Kaspersky: Romania, pe locul 9 in topul tarilor lovite de WannaCry / Ministrul comunicatiilor: Romanii trebuie sa-si actualizeze urgent, acum, sistemele de operare
Catalin Cosoi, Bitdefender: Cel mai pesimist scenariu ar fi acela ca actori statali sa foloseasca vulnerabilitatea din Windows pentru a instala amenintari pe infrastructurile altor tari
FOTO Cum arata si cum cere bani WannaCry, ransomware-ul care si-a inceput vineri atacul global
Kaspersky: Romania, pe locul 9 in topul tarilor lovite de WannaCry / Ministrul comunicatiilor: Romanii trebuie sa-si actualizeze urgent, acum, sistemele de operare
Catalin Cosoi, Bitdefender: Cel mai pesimist scenariu ar fi acela ca actori statali sa foloseasca vulnerabilitatea din Windows pentru a instala amenintari pe infrastructurile altor tari
Citeste mai multe despre wannacry • costin raiu • atac cibernetic • kaspersky lab
8646 vizualizari
Acordul de liber schimb UE-SUA
Top 5 articole cele mai ...
Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.
asa ca totul e posibil, mai ales cand lucrezi la o firma acuzata ca lucreaza foarte strans cu guvernul rus, si are angajati fosti agenti KGB
care e posibil doar daca autorii au facut o eroare
care eroare trebuie gasita
dar nu inainte sa comentezi pe net
Ar putea domnul de la KL sa detalieze ???
Daca sunt radicali fanatici si l-au omorat deja, nu mai ai nicio sansa la nimic.
Cel mai sigur e să plătești întotdeauna orice cerere de recompensă, așa poți să fii sigur că ai și tu un scop în viață :)
Activam a tot comentatul windows update de azi.
tare ma tem ca hotul striga hotii..
Cel mai vechi sistem cu care-ți poți face treaba e tot ce ai nevoie.
Eu lucrez pe un laptop HP elitebook 8540p care era la moda in 2010 (7 ani) si merge brici windows 10, chiar am mai virtualizat 2-3 vm-uri pe el.
Sa fim seriosi. Update-uri nu faceti pentru ca va detecteaza crackul sau ati auzit pe nu stiu ce forum ca strica driverele :))
Daca ai date critice pentru care poti astepta luni de zile inteleg, altfel, cei mai multi vor da format oricum si vor recupera din backup (acolo unde exista).
Chiar avem un demo de browser hijack in timp ce victima browseaza pe HN pe http de pe un "free WiFi".
Ai datele criptate de hacheri? Suni la MS si iti ceri o copie a datelor.
--
Cred ca se uita foarte usor cum sta treaba.
Companii gen MS, GOOGL, APPL, FB s-au gandit ca nu ar fi rau sa stochezele datele utilizatorilor, pornind de la regimul voluntar (userul voluntar alege stocare / transmitere de informatii) si ajungand pana la nivel de sistem de operare keylogger (Windows 10, ChromeOS).
Practic, MS si Google reusesc printr-o simpla EULA ceea ce nu poate NSA legal - accesul la informatii (documente, date biometrice) printr-o simpla EULA.
Spunea avocatul MS ca guvernele nu ar trebui sa posede / dezvolte arme cibernetice.
Nici MS nu ar trebui sa fie interesat de ceea ce tastez eu. Nici Google sau Apple nu ar trebui sa fie interesati de numarul meu de telefon (autentificare in doi pasi), amprenta (fingerprint login), iris (autentificare prin scanare oculara).
Aceste companii sunt principala problema, fiindca in loc sa acopere si sa inchida gaurile de securitate, deschid altele sau devin mai puternice decat serviciile de informatii.
Referitor la balivernele cu update, eu am dezactivat Windows update la pc-urile din ograda (<10buc), in momentl in care m-am trezit dimineata cu windows 10 descarcat desi am specificat clar ca nu ma intereseaza acum si nici in viitor. De cine sa te feresti? De spamul si keyloggerele MS, de hyperlinkurile din documentele pdf (multumim Adobe ca ati stricat si formatul asta) sau de kiddies?
Stiu ca atacul de acum nu are neaparat legatura cu rusii, dar i se da prea multa credibilitate acestei firme care ar putea foarte bine fi reprezentanta puterii ruse in domeniu.