Costin Raiu, Kaspersky Lab, despre atacul ransomware: Varianta cea mai pesimista ar fi sa apara o versiune care sa "radă" toate informatiile de pe calculatoare si astfel sa le distruga

de Vlad Barza     HotNews.ro
Luni, 15 mai 2017, 15:22 Economie | IT

Costin Raiu
Foto: Kaspersky
Atacul ransomware care a afectat peste 200.000 de calculatoare din intreaga lume pare sa-si fi domolit puternic viteza de raspandire, numarul de noi victime fiind de zece ori mai mic decat in ziua de maxim, vineri, a spus intr-un interviu pentru HotNews.ro, Costin Raiu de la Kasperky Lab. Deocamdata lucrurile sunt sub control, iar scenariul cel mai pesimist ar fi ca hackerii sa nu se multumeasca cu un ransomware, ci sa lanseze o arma cibernetica ce poate distruge tot ce se gaseste pe calculatoare victimelor, precedente existand. In orice caz, inca pot fi lansate atacuri prin modificari ale virusului WannaCry fiindca nu este foarte dificil. Costin Raiu este director global al echipei de Cercetare si Analiza (Director Global Research & Analysis Team).

Cand a inceput practic nebunia WannCry si ce s-a intamplat in ultimele ore?
"Cred ca este fara indoiala unul dintre cele mai semnificative atacuri din ultimii zece ani si este cel mai mare atac ransomware din istorie", spune specialistul in securitate informatica.

"Tocmai analizam date noi pe care le-am primit si se pare ca atacul a fost lansat joi, pe data de 11 dimineata, daca nu cumva miercuri noaptea. Asta ma face sa cred ca a durat un timp pana sa ajunga la un punct critic si acel punct critic a fost atins vineri.. In timpul zilei de joi s-a raspandit, iar vineri au inceput aceste activari ransomware care de fapt au atras atentia".

Datele Kaspersky arata ca in prezent situatia este calma: de la ora 6.00 UTC (9, ora Romaniei) au aparut 500 de atacuri noi, numar foarte mic daca se tine cont ca vineri, in prima ora de monitorizare au fost 5.000 de victime. "Situatia pare sun control".

Ar mai putea veni al doilea "val" de atacuri, este atat de simplu de creat noi coduri? "Intr-adevar pare destul de simplu de facut. In week-end au aparut doua variante noi despre care cred ca sunt semnificative: una dintre ele are un kill switch diferit. Asa cum stiti, toate variantele de WannaCry au un kill switch care blocheaza raspandirea in momentul in care se pot conecta la internet la un anumit domeniu de control. In weekend asadar a aparut o varianta cu un nou kill switch, cu un domeniu nou de comanda si control, domeniu care a fost inregistrat rapid de cativa cercetatori si unul dintre colegii mei de breasla mi-a spus ca a blocat 10.000 de atacuri noi folosind acel "sample".

De ce a fost nevoie de un kill switch? Un scenariu este ca cei care au pornit totul voiau sa aiba o metoda de a opri "nebunia" daca scapa de sub control. O alta teorie este ca voiau sa fie siguri ca nu ruleaza intr-un "sandbox", pentru ca daca malware-ul ruleaza intr-un sandbox ii permite sa se conecteze si la domenii care nu exista.

Cum sta Romania comparativ cu alte tari? Daca la inceput de week-end era in top 10 al tarilor afecfate, dupa ce datele s-au uniformizat a cazut pe locul 29 spre final de week-end. "La inceput a fost lovita mai rapid poate si fiindca este foarte bine conectata la internet si stim ca acest malware se raspandeste prin internet si daca ai legaturi mai rapide vei fi lovit si mai rapid fata de alte tari"

Cum ar arata scenariul cel mai "negru?
"Scenariul cel mai pesimist ar fi daca apare o varianta noua care nu mai poate fi oprita printr-un kill switch si o varianta care in loc sa cripteze datele, sa distruga calculatoarele: si sa "radă" toate informatiile de pe ele. Asa ceva s-ar incadra in definitia unei arme cibernetice, ceea ce ar fi mult mai grav decat un ransomware". Un exemplu din trecut este Shamoon, un virus care a lovit prima oara acum cinci ani si a revenit anul trecut, atacand mai ales compania saudita de energie Saudi Aramco careia i-au fost distruse peste 30.000 de calculatoare in 2012.

Se vorbeste mult despre o cheie de criptare, dar nu ar trebui sa speram prea multe. "Modul in care este implementata criptarea este destul de solid, am incercat sa gasim slabiciuni care ne-ar putea ajuta sa cream o unealta de curatare gratuita". Ce ar putea sa se intample? Depinde cat de vinovati si responsabili se simt autorii. Daca sunt panicati ca ii cauta agentiile de politie din toata lumea s-ar putea ca la un moment dat sa ofere gratuit varianta de criptare sau doar cheia "master" care ne-ar permite sa facem usor unealta de decriptare, mai spune Costin Raiu.

El nu exclude posibilitatea ca insisi autorii sa fie un pic uimiti si panicati de amploare si depinde mult ce vor face: fie vor sterge toate informatiile si vor disparea, lasand calculatoarele in pace, fie se vor apuca sa colecteze Bitcoinii si sa puna mesaje publice. In aceasta a doua varianta rsca enorm sa fie prinsi "Cum incep sa interactioneze pe internet cu utilizatorii, vor incepe sa lase urme".


Citeste mai multe despre   










8517 vizualizari

  • -9 (29 voturi)    
    mda (Luni, 15 mai 2017, 15:27)

    SoulSearcher [utilizator]

    Dl. Costin, daca investigati e posibil ca sursa sa plece de la seful dumneavoastra, Dl. Kaspersky, care a primit si el ordin de la seful sau, adica Dl. Putin

    asa ca totul e posibil, mai ales cand lucrezi la o firma acuzata ca lucreaza foarte strans cu guvernul rus, si are angajati fosti agenti KGB
    • +1 (3 voturi)    
      ciudat ca ai primit minusuri (Marţi, 16 mai 2017, 10:39)

      andipetre [utilizator] i-a raspuns lui SoulSearcher

      se pare ca cititorii HN cad to mai mult spre sursa, adica spre stanga putinista care sponsorizeaza multe idei din presa romaneasca.
  • +9 (17 voturi)    
    dubios si curios (Luni, 15 mai 2017, 15:36)

    IancuJianu [utilizator]

    Cum de nu a venit K.L cu solutia in mai putin de o zi, ca in celelalte cazuri de "virusare internatioanala'...
    • +1 (7 voturi)    
      pentru ca criptografie (Luni, 15 mai 2017, 19:20)

      cteodor [utilizator] i-a raspuns lui IancuJianu

      pentru ca solutia implica gasirea unui atac criptografic
      care e posibil doar daca autorii au facut o eroare
      care eroare trebuie gasita
      dar nu inainte sa comentezi pe net
      • 0 (0 voturi)    
        alta era ideea (Marţi, 16 mai 2017, 7:25)

        IancuJianu [utilizator] i-a raspuns lui cteodor

        Adica cei care apar suspect de repede cu solutia pot fi si generatorii de virusi.
    • -2 (8 voturi)    
      Buna intrebare (Luni, 15 mai 2017, 21:36)

      K-Man [utilizator] i-a raspuns lui IancuJianu

      iar raspunsul: de data asta a venit dupa o zi Symantec Norton....ca baietii lucreaza in tandem..un virus noi un virus voi
  • +4 (14 voturi)    
    OMG (Luni, 15 mai 2017, 15:37)

    MamboNoFaiv [utilizator]

    daca 'rade' si pagefile.sys pe cuvintul meu ca ma opresc din ris
    • 0 (6 voturi)    
      pagefile.sys (Luni, 15 mai 2017, 18:32)

      alibaba_zeul_meu [utilizator] i-a raspuns lui MamboNoFaiv

      este fisierul in care windows face swap din memoria RAM atunci cand aceasta se supraincarca. O extensie a RAM-ului pe hard disk. Linux foloseste o partitie in locul unui fisier.
  • +5 (5 voturi)    
    Da, ar putea să dea și foc la casă dacă vrea :) (Luni, 15 mai 2017, 15:53)

    Harald [utilizator]

    Niciun hacker nu muncește pe degeaba. E exact ca și cum ți-ai face griji că o să treacă cineva să spargă toate vitrinele magazinelor din oraș. N-o să aibă timp de toate vitrinele, că mai are și altele de făcut în viața asta :)
  • +5 (9 voturi)    
    Chiar asa ? (Luni, 15 mai 2017, 15:58)

    Relaxat [utilizator]

    Autorul sugereaza ca cei cu datele criptate sunt norocosi ca nu li s-au sters datele de tot ? Este o sugestie sa plateasca decriptarea ?.
    Ar putea domnul de la KL sa detalieze ???
    • +1 (5 voturi)    
      paralela (Luni, 15 mai 2017, 19:24)

      cteodor [utilizator] i-a raspuns lui Relaxat

      Daca teroristii iti rapesc ce-ai mai drag, exista inca varianta sa platesti inainte sa-l lichideze.
      Daca sunt radicali fanatici si l-au omorat deja, nu mai ai nicio sansa la nimic.
      • +5 (5 voturi)    
        Dacă plătești o dată, ai să plătești mereu (Marţi, 16 mai 2017, 0:24)

        Harald [utilizator] i-a raspuns lui cteodor

        În România mi-a spus o dată un reprezentant al unei naționalități conlocuitoare că ”dacă n-ar exista apa, aerul și fraierul, ar fi imposibil de trăit” :)

        Cel mai sigur e să plătești întotdeauna orice cerere de recompensă, așa poți să fii sigur că ai și tu un scop în viață :)
  • +1 (1 vot)    
    backup update (Luni, 15 mai 2017, 16:24)

    gradrian [utilizator]

    Pe analiza adresei unde se cer respectivii bani (wikipedia wannacry) intr-adevar s-au adunat 20000$ pana acum (blockhain viewer). Usor ciudat ca prima livrare s-a facut pe 2017-05-12 12:33:55 iar urmatoarele abia dupa ora 18.
    Activam a tot comentatul windows update de azi.
  • -4 (16 voturi)    
    "Atacul" si obligativitatea updatarii (Luni, 15 mai 2017, 16:29)

    jackalphonse [utilizator]

    Pare mai degraba un atac care sa oblige utilizatorii sa si actualizeze sistemul de operare si sa si cumpere daca au piratate...
    tare ma tem ca hotul striga hotii..
    • +3 (7 voturi)    
      Nu cred (Luni, 15 mai 2017, 17:11)

      Opus Dei [anonim] i-a raspuns lui jackalphonse

      Update - urile se fac lunar si sunt gratis, chiar la cei care nu au copie legalizata de Windows. Dar exista si multi care se feresc sa faca update, din motive obscure.
      • +1 (5 voturi)    
        nu toti isi permit... (Luni, 15 mai 2017, 18:01)

        IancuJianu [utilizator] i-a raspuns lui Opus Dei

        mai sint si oameni care nu-si permit sa cumpere ultima varianta de software si hardware care sa-l "duca"...
        • -2 (6 voturi)    
          Banii dați pe hardware sunt bani aruncați (Luni, 15 mai 2017, 19:55)

          Harald [utilizator] i-a raspuns lui IancuJianu

          Nu e bine să cumperi ”ultima” (cea mai recentă) variantă de software. Sigur nu are ”bolile copilăriei” rezolvate și mai și necesită resurse hardware strigătoare la cer :)

          Cel mai vechi sistem cu care-ți poți face treaba e tot ce ai nevoie.
        • 0 (0 voturi)    
          ce hardware (Marţi, 16 mai 2017, 7:28)

          toxx [utilizator] i-a raspuns lui IancuJianu

          amice ? Win 10 merge si pe ragalii de acum 10 ani, se misca chiar mai bine decat windows 7.
          Eu lucrez pe un laptop HP elitebook 8540p care era la moda in 2010 (7 ani) si merge brici windows 10, chiar am mai virtualizat 2-3 vm-uri pe el.

          Sa fim seriosi. Update-uri nu faceti pentru ca va detecteaza crackul sau ati auzit pe nu stiu ce forum ca strica driverele :))
  • +5 (7 voturi)    
    Stergerea datelor (Luni, 15 mai 2017, 17:19)

    banel [utilizator]

    Nu vad cum asta e un scenariu mult mai rau decat criptarea cata vreme nu exista optiuni de decriptare.

    Daca ai date critice pentru care poti astepta luni de zile inteleg, altfel, cei mai multi vor da format oricum si vor recupera din backup (acolo unde exista).
  • +2 (2 voturi)    
    Varianta cea mai pesimista... (Luni, 15 mai 2017, 17:27)

    muma_padurii [utilizator]

    ... ar fi sa ti se insurubeze o lepra din asta in sistem, si dupa ce faci back-upul periodic sa se activeze ; iar dupa ce curati si ii dai un restore, se activeaza din nou -- haha, de mai poti recupera poze, muzica si documente (daca nu le-ai stocat pe dvd-uri, stickuri sau diskuri adiacente , ceea ce ridica pretul si timpul acordat vietii virtuale considerabil) ...
    • 0 (4 voturi)    
      De ce nu faci tu back-up pe alt hard-disk? (Luni, 15 mai 2017, 19:58)

      Harald [utilizator] i-a raspuns lui muma_padurii

      Pe care în mod obișnuit îl ții într-un sertar și îl conectezi la sistem doar cât faci back-up. În set-top-box-uri se găsesc hard-disk-uri gratis.
      • 0 (0 voturi)    
        nu ma refeream la modurile de stocare (Miercuri, 17 mai 2017, 2:31)

        muma_padurii [utilizator] i-a raspuns lui Harald

        ci la ce poti include intr-un back-up fara sa iti dai seama: un malware foarte sofisticat si vitriolic
  • +10 (10 voturi)    
    securitate (Luni, 15 mai 2017, 18:22)

    Walking_dead [utilizator]

    Cel mai multi imi place ca HN da pe banda rulanta articole despre securitate in timp ce ei sunt inca pe http.
    • +3 (3 voturi)    
      modpoints++ (Luni, 15 mai 2017, 19:18)

      cteodor [utilizator] i-a raspuns lui Walking_dead

      Foarte buna observatia! :-)
      Chiar avem un demo de browser hijack in timp ce victima browseaza pe HN pe http de pe un "free WiFi".
  • +2 (2 voturi)    
    Pai atunci nu mai e ransomware (Luni, 15 mai 2017, 21:57)

    Alex735 [utilizator]

    Daca "rade" tot. Ideea e sa-ti ceara bani...
  • +5 (9 voturi)    
    Kaspersky ???? (Luni, 15 mai 2017, 22:52)

    EdrinEd [anonim]

    E o firma care deja e recunoscuta ca fiind unealta malware a Moscovei pe plan mondial . De altfel saptamana trecuta in cadrul interpelarilor serviciilor secrete americane in Comisiile Senatului s-a precizat asta .
    • +5 (5 voturi)    
      În România face campanii de PR (Marţi, 16 mai 2017, 0:18)

      Harald [utilizator] i-a raspuns lui EdrinEd

      și are și susținători dezinteresați :)
  • +3 (3 voturi)    
    Solutii :) (Marţi, 16 mai 2017, 7:03)

    feisbuk [utilizator]

    Cea mai simpla solutie este instalarea default a Windows 10. Orice instrument ransomware isi pierde substanta.

    Ai datele criptate de hacheri? Suni la MS si iti ceri o copie a datelor.

    --
    Cred ca se uita foarte usor cum sta treaba.
    Companii gen MS, GOOGL, APPL, FB s-au gandit ca nu ar fi rau sa stochezele datele utilizatorilor, pornind de la regimul voluntar (userul voluntar alege stocare / transmitere de informatii) si ajungand pana la nivel de sistem de operare keylogger (Windows 10, ChromeOS).

    Practic, MS si Google reusesc printr-o simpla EULA ceea ce nu poate NSA legal - accesul la informatii (documente, date biometrice) printr-o simpla EULA.

    Spunea avocatul MS ca guvernele nu ar trebui sa posede / dezvolte arme cibernetice.

    Nici MS nu ar trebui sa fie interesat de ceea ce tastez eu. Nici Google sau Apple nu ar trebui sa fie interesati de numarul meu de telefon (autentificare in doi pasi), amprenta (fingerprint login), iris (autentificare prin scanare oculara).


    Aceste companii sunt principala problema, fiindca in loc sa acopere si sa inchida gaurile de securitate, deschid altele sau devin mai puternice decat serviciile de informatii.


    Referitor la balivernele cu update, eu am dezactivat Windows update la pc-urile din ograda (<10buc), in momentl in care m-am trezit dimineata cu windows 10 descarcat desi am specificat clar ca nu ma intereseaza acum si nici in viitor. De cine sa te feresti? De spamul si keyloggerele MS, de hyperlinkurile din documentele pdf (multumim Adobe ca ati stricat si formatul asta) sau de kiddies?
  • +5 (5 voturi)    
    in contextul implicarii rusilor in mult atacuri... (Marţi, 16 mai 2017, 10:20)

    andipetre [utilizator]

    ... mai putem avea incredere in Kaspersky?

    Stiu ca atacul de acum nu are neaparat legatura cu rusii, dar i se da prea multa credibilitate acestei firme care ar putea foarte bine fi reprezentanta puterii ruse in domeniu.


Abonare la comentarii cu RSS



ESRI

Top 5 articole cele mai ...



Hotnews
Agenţii de ştiri

Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.
hosted by
powered by
developed by
mobile version
Miercuri