Companii si institutii publice din intreaga lume au fost lovite in ultimele 24 de ore de amenintarea cibernetica de tip ransomware WannaCryptor, care cripteaza datele utilizatorilor si apoi solicita recompensa. Conceptul nu este nou, dar este special faptul ca amenintarea se propaga automat si de la calculatoarele infectate ale unei firme mici poate ajunge sa infecteze calculatoarele unei corporatii cu care aceasta firma are legaturi de afaceri, explica pentru HotNews.ro, Liviu Arsene, Senior eThreat Analyst la Bitdefender, El mai spune ca nici momentul ales, vineri spre sambata, nu este o intamplare, iar intregul incident arata ca firmele trebuie sa-si faca back-up pentru date si sa actualizeze sistemul de operare.
Au fost afectate calculatoare din aproximativ 100 de tari, dar special este ca printre entitatile afectate se numara spitale din Regatul Unit, companii telecom din Spania, dar si uzine auto, inclusiv uzina Dacia de la Mioveni si uzina Nissan din Marea Britanie. Putem banui ca momentul din saptamana nu a fost ales intentionat: sambata IT-isti care ar putea sa intervina prompt sunt liberi.
Ransomware exista de ani buni si n-ar fi ceva iesit din comun, insa noutatea uriasului atac cibrnetic tine de modul in care amenintarea se raspandeste: daca pana acum se raspandea prin e-mail-uri cu atasament infectat sau prin link-uri dubioase, acum s-a gasit o modalitate de a o propaga automat in retele, explica Liviu Arsene.
Se exploateaza o vulnerabilitate de Windows si poti sa executi ceva pe calculatorul unei victime, fara ca victima sa-si dea seama. Vulnerabilitatea a fost "reparata" de Microsoft in martie, dar sunt milioane de calculatoare la care nu s-au facut update-uri la sistemul de operare.
Un grup de hackeri a pus aceasta vulnerabilitate pe internet si ei au sustinut ca ea a fost gasita de NSA si folosita de agentie pentru a avea acces in diverse infrastructuri. Cel putin asa se presupune. "Dupa ce a fost gasita online, putem banui ca cineva s-a gandit sa o foloseasca si el, mai ales ca e o vulnerabilitate ce poate fi folosita de la distanta, de oriunde", spune reprezentantul Bitdefender.
Partea infioratoare este ca e suficient ca un calculator dintr-o retea sa se infecteze, pentru ca amenintarea si ransomware-ul sa infecteze si sa se transmita automat in toate calculatoarele din reteaua respectiva.
"De aceea s-a infectat atat de multa lume intr-un timp atat de scurt. De exemplu daca un furnizor mic de servicii cu 10 calculatoare are si acces la infrastructura unei companii mai mari careia ii da servicii si cu care este conectat prin VPN, infectarea se poate duce si in firma mare, daca initial a fost infectata si firma mica", explica specialistul de la Bitdefender. In compania mare infectia se transmite prin VPN chiar daca acolo nimeni nu a gresit cu nimic si asa s-au infectat si spitalele din Marea Britanie. "Ganditi-va ca doctorii acceseaza datele pacientilor de oriunde ar fi si era suficient sa se infecteze terminalul unui singur doctor, ca toate celelalte terminale sa se infecteze".
Atacatorii cer recompensa pentru a decripta datele, insa este o idee proasta sa platesti, din doua motive: nu ai garantia ca ti se va da cheia de criptare si daca le dai bani, modelul lor de business infractional este validat si vor fi incurajati sa ceara tot mai mult.
Ce poti sa faci daca ai fost afectat? Tratezi incidentul ca si cand ti-ai fi pierdut hard-disk-urile si incerci sa ti le recuperezi dntr-un back-up, (daca il ai!) sau iti asumi ca datele sunt pierdute si te descurci fara ele, explica Liviu Arsene.
Multe companii nu au back-up, dar cu ocazia acestui incident, chiar daca nu au fost afectate, ar trebui sa-si faca. "Toti specialistii din securitate spun de ani de zile ca trebuie sa existe solutii de back-up, iar sistemul de operare trebuie actualizat, pentru ca daca Windows-ul era la zi, nu se intampla".
Ce ar putea urma? Ar fi de asteptat ca foarte multi sa faca update-uri si sa apara un "tool" de decriptare pentru cei care au fost afectati si cu siguranta vor mai aparea astfel de incidente. Insa nu este prima oara cand se intampla asta: acum aproape un deceniu "viermele" Conficker a afectat sute de mii de calculatoare in cateva ore.
Liviu Arsene spune ca nu trebuie sa presupunem ca atacul a fost pus la cale de un stat sau de o grupare sofisticata, chiar daca a afectat atat de multe tari. "Au exploatat o vulnerabilitate de Windows documentata de NSA si puteau prin ea sa puna orice pe calculatoarele pe care le-au infectat, insa au ales sa puna ransomware, o amenintare extrem de vizibila" Acest tool era gratuit pe internet si era suficient doar ca cineva sa-l puna pe internet cu ransomware.
Marea problema este ca amenintarea se propaga automat si este un efect de cascada, de avalansa. Cu cat ai infectat mai multe calculatoare, cu atat vor fi infectate si mai multe. Nici macar aceste tinte, companii care au fost afectate, nu au fost alese intentionat, ci pur si simplu a fost efectul de cascada, fiind foarte multe sisteme legate intre ele. Practic s-au propagat dintr-unul, in altul, explica oficialul companiei.
Nu ar fi exclus nici ca amenintarea sa fi aparut special vineri spre sambata, cand nici nu prea sunt IT-isti la birou si nici ca cei care au pornit sa nu fi anticipat ca totul va capata asa amploate,
13
4
