Costin Raiu, Kaspersky Lab, despre atacul ransomware: Varianta cea mai pesimista ar fi sa apara o versiune care sa "radă" toate informatiile de pe calculatoare si astfel sa le distruga

Luni, 15 mai 2017, 15:22 Economie | IT

Atacul ransomware care a afectat peste 200.000 de calculatoare din intreaga lume pare sa-si fi domolit puternic viteza de raspandire, numarul de noi victime fiind de zece ori mai mic decat in ziua de maxim, vineri, a spus intr-un interviu pentru HotNews.ro, Costin Raiu de la Kasperky Lab. Deocamdata lucrurile sunt sub control, iar scenariul cel mai pesimist ar fi ca hackerii sa nu se multumeasca cu un ransomware, ci sa lanseze o arma cibernetica ce poate distruge tot ce se gaseste pe calculatoare victimelor, precedente existand. In orice caz, inca pot fi lansate atacuri prin modificari ale virusului WannaCry fiindca nu este foarte dificil. Costin Raiu este director global al echipei de Cercetare si Analiza (Director Global Research & Analysis Team).

Cand a inceput practic nebunia WannCry si ce s-a intamplat in ultimele ore? "Cred ca este fara indoiala unul dintre cele mai semnificative atacuri din ultimii zece ani si este cel mai mare atac ransomware din istorie", spune specialistul in securitate informatica.

"Tocmai analizam date noi pe care le-am primit si se pare ca atacul a fost lansat joi, pe data de 11 dimineata, daca nu cumva miercuri noaptea. Asta ma face sa cred ca a durat un timp pana sa ajunga la un punct critic si acel punct critic a fost atins vineri.. In timpul zilei de joi s-a raspandit, iar vineri au inceput aceste activari ransomware care de fapt au atras atentia".

Datele Kaspersky arata ca in prezent situatia este calma: de la ora 6.00 UTC (9, ora Romaniei) au aparut 500 de atacuri noi, numar foarte mic daca se tine cont ca vineri, in prima ora de monitorizare au fost 5.000 de victime. "Situatia pare sun control".

Ar mai putea veni al doilea "val" de atacuri, este atat de simplu de creat noi coduri? "Intr-adevar pare destul de simplu de facut. In week-end au aparut doua variante noi despre care cred ca sunt semnificative: una dintre ele are un kill switch diferit. Asa cum stiti, toate variantele de WannaCry au un kill switch care blocheaza raspandirea in momentul in care se pot conecta la internet la un anumit domeniu de control. In weekend asadar a aparut o varianta cu un nou kill switch, cu un domeniu nou de comanda si control, domeniu care a fost inregistrat rapid de cativa cercetatori si unul dintre colegii mei de breasla mi-a spus ca a blocat 10.000 de atacuri noi folosind acel "sample".

De ce a fost nevoie de un kill switch? Un scenariu este ca cei care au pornit totul voiau sa aiba o metoda de a opri "nebunia" daca scapa de sub control. O alta teorie este ca voiau sa fie siguri ca nu ruleaza intr-un "sandbox", pentru ca daca malware-ul ruleaza intr-un sandbox ii permite sa se conecteze si la domenii care nu exista.

Cum sta Romania comparativ cu alte tari? Daca la inceput de week-end era in top 10 al tarilor afecfate, dupa ce datele s-au uniformizat a cazut pe locul 29 spre final de week-end. "La inceput a fost lovita mai rapid poate si fiindca este foarte bine conectata la internet si stim ca acest malware se raspandeste prin internet si daca ai legaturi mai rapide vei fi lovit si mai rapid fata de alte tari"

Cum ar arata scenariul cel mai "negru? "Scenariul cel mai pesimist ar fi daca apare o varianta noua care nu mai poate fi oprita printr-un kill switch si o varianta care in loc sa cripteze datele, sa distruga calculatoarele: si sa "radă" toate informatiile de pe ele. Asa ceva s-ar incadra in definitia unei arme cibernetice, ceea ce ar fi mult mai grav decat un ransomware". Un exemplu din trecut este Shamoon, un virus care a lovit prima oara acum cinci ani si a revenit anul trecut, atacand mai ales compania saudita de energie Saudi Aramco careia i-au fost distruse peste 30.000 de calculatoare in 2012.

Se vorbeste mult despre o cheie de criptare, dar nu ar trebui sa speram prea multe. "Modul in care este implementata criptarea este destul de solid, am incercat sa gasim slabiciuni care ne-ar putea ajuta sa cream o unealta de curatare gratuita". Ce ar putea sa se intample? Depinde cat de vinovati si responsabili se simt autorii. Daca sunt panicati ca ii cauta agentiile de politie din toata lumea s-ar putea ca la un moment dat sa ofere gratuit varianta de criptare sau doar cheia "master" care ne-ar permite sa facem usor unealta de decriptare, mai spune Costin Raiu.

El nu exclude posibilitatea ca insisi autorii sa fie un pic uimiti si panicati de amploare si depinde mult ce vor face: fie vor sterge toate informatiile si vor disparea, lasand calculatoarele in pace, fie se vor apuca sa colecteze Bitcoinii si sa puna mesaje publice. In aceasta a doua varianta rsca enorm sa fie prinsi "Cum incep sa interactioneze pe internet cu utilizatorii, vor incepe sa lase urme".