WannaCrypt, WannaDecryptor, WannaCry – indiferent de modul în care este denumit, cel mai recent atac cibernetic global impresionează prin viteza spectaculoasă a propagării sale pe Internet. În dimineaţa zilei de vineri, 12 mai 2017, în jurul orei 8.00, un atac major de tip ransomware începe să afecteze mai multe companii şi organizaţii la nivel global. Printre cele mai importante ţinte vizate se află compania Telefonica din Spania, Serviciul Naţional de Sănătate din Marea Britanie, FedEx din Statele Unite ale Americii, precum şi compania Automobile Dacia şi Spitalul Judeţean de Urgenţă Bacău. Potrivit experţilor în securitate cibernetică, în primele 3 zile de la lansarea atacului, aplicaţia WannaCry a afectat cel puţin 200.000 de sisteme informatice, din peste 150 de ţări.
În mod obişnuit, o ameninţare cu ransomware nu se răspândeşte atât de rapid. Ameninţările de tipul WannaCry folosesc, pe post de vector de atac, ingineria socială sau e-mailul, bazându-se pe faptul că utilizatorii vor descărca sau vor executa un ataşament cu capabilităţi malware. Ceea ce particularizează acest atac este faptul că utilizează un artificiu prin care ecranul care apare afişat victimei nu conţine doar o imagine prin care este înştiinţat asupra infecţiei, ci şi un fişier executabil.
Cum se propagă WannaCry
WannaCry se răspândeşte asemenea unei aplicaţii de tip worm, având ca efecte compromiterea staţiilor gazdă (host), criptarea fişierelor stocate pe aceste staţii şi solicitarea de către atacatori a unei sume de bani (eng. ransom – răscumpărare) sub forma monedei virtuale Bitcoin, în schimbul realizării decriptării. De asemenea, această aplicaţie malware şterge orice copie a fişierelor de pe staţia victimă, în scopul îngreunării recuperării datelor.
Ulterior realizării criptării, aplicaţia malware afişează un ecran tipic aplicaţiilor ransomware, în care utilizatorul este informat că fişierele de pe staţia personală au fost criptate.
Aplicaţia WannaCry are suport pentru 28 de limbi şi criptează 179 de tipuri de fişiere, care capătă, ulterior criptării, extensia „.WNCRYT”. Victimelor li se solicită plata unei recompense în Bitcoin, în valoare de 300$ – 600$, care poate fi trimisă pe una dintre cele 4 adrese de Bitcoin folosite de atacatori. Cele 4 adrese sunt hard-codate în aplicaţia malware şi, asemeni tuturor adreselor de Bitcoin, sunt legate de conturi accesibile public, denumite wallets, care arată plăţile făcute de victimele atacului, în vederea obţinerii codului de decriptare al fişierelor proprii. În mod surprinzător, în primele 3 zile ale atacului WannaCry, totalul sumelor obţinute din recompense era doar de ordinul zecilor de mii de dolari (54.800$ la 15 mai 2017).
Aplicaţia criptează mai multe tipuri de fişiere, atât de pe discul staţiei infectate, cât şi de pe mediile de stocare mobile sau de pe share-urile de reţea mapate la nivelul staţiei. În realizarea criptării se foloseşte un algoritm de tip RSA 2048 biţi. Versiunea actuală a acestei familii ramsomware conţine, în partea de început a codului, o verificare asupra unui domeniu hard-codat. Dacă se primeşte răspuns pozitiv, atunci malware-ul îşi în- cheie execuţia, fără să cripteze fişiere. Aceasta este, cel mai probabil, o modalitate de a evita analiza într-un mediu de tip sandbox care rezolvă, de obicei, orice domeniu interogat. Sandbox este un mediu ce permite accesarea doar a anumitor resurse software şi hardware, cu scopul de a urmări funcţionalităţile codului malware şi de a stabili indicatorii de infectare specifici malware-ului respectiv.
Ce sisteme informatice sunt atacate de WannaCry
Potrivit experţilor în securitate cibernetică, analiza tehnică a atacului din 12 mai 2017 a arătat că următoarele sisteme de operare pot fi afectate, în cazul în care acestea nu au efectuat la zi actualizările de securitate: Microsoft Windows Vista SP2; Microsoft Windows Server 2008 SP2 şi SP1 R2; Microsoft Windows 7; Microsoft Windows 8.1; Microsoft Windows RT 8.1; Microsoft Windows Server 2012 şi R2; Microsoft Windows 10; Microsoft Windows Server 2016; Microsoft Windows XP şi Microsoft Windows Server 2003.
Autorii aplicaţiei ransomware folosesc o vulnerabilitate (CVE-2017- 0145) din protocolul SMBv1, pentru care compania Microsoft a emis un patch în luna martie 2017. Fără instalarea acestui patch al Microsoft, atacatorii pot exploata un backdoor pentru răspândirea aplicaţiei WannaCry. Un exploit SMB (Server Message Block – reprezintă un protocol de reţea) pentru această vulnerabilitate, denumit ETERNALBLUE, a fost făcut public în aprilie 2017, de către un grup cunoscut sub numele de The Shadow Brokers, în cadrul unei colecţii de fişiere cuprinzând unelte ofensive sustrase de la o altă grupare, cunoscută ca Equation Group, despre care s-a afirmat în mass media că ar avea legături cu NSA.
Unele dintre exploit-urile care au drept ţintă sistemele de operare Windows au fost eliminate prin actualizările realizate în cadrul Microsoft Security Bulletin, pe 14 martie 2017, cu o lună înainte de apariţia scurgerii de informaţii făcută public de grupul de hackeri.
După obţinerea de la distanţă a controlului asupra calculatorului victimei cu privilegii de sistem, atacatorul poate răspândi aplicaţia malware prin reţeaua locală, acţionând asupra tuturor sistemelor vulnerabile pentru care nu a fost instalat patch-ul de securitate.
Cum ne protejăm împotriva ransomware
Cea mai eficientă modalitate de a ne apăra de un atac similar WannaCry este realizarea unui backup periodic al tuturor fişierelor de pe computerul personal pe un mediu de stocare separat. Astfel ne putem asigura că nu pierdem definitiv fişiere importante într-un atac de acest gen.
De asemenea, este foarte important să fim precauţi în deschiderea oricărui e-mail, indiferent cât de cunoscut pare să fie expeditorul. Cel mai adesea, e-mailurile de tip phishing sunt o replică foarte fidelă a mesajelor autentice şi mizează pe lipsa de atenţie din partea victimelor.
Un alt mod de protecţie este evitarea instalării unor aplicaţii nesigure sau accesarea unor site-uri care lansează reclame maliţioase. Accesarea oricărui link poate conduce la infectarea computerului personal şi la pierderea fişierelor stocate.
Însă cel mai important este să utilizăm sisteme de operare actualizate la zi şi un program antivirus care poate scana fişierele înaintea descărcării şi instalării pe computerul personal. În acest fel putem reduce semnificativ şansele hackerilor de a instala în secret aplicaţii maliţioase prin care să îşi deruleze ulterior atacul. Iar dacă suntem, în cele din urmă, victime ale unui atac de tip ransomware, este indicat să nu plătim răscumpărarea, pentru că nu ne garantează recuperarea fişierelor, ci doar încurajează acest gen de activitate infracţională. Remediul poate fi restaurarea fişierelor din backup, dacă acesta există, sau apelarea la unul dintre instrumentele de decriptare disponibile, prin care putem recupera parţial fişierele criptate prin ransomware.
Abstract
In the morning of May12th, a major ransomware attack has hit several companies and organizations worldwide. Among the most important ones, Spain’s Telefonica, UK’s National Health Service, FedEx, as well as the Romanian company Automobile Dacia. According to cybersecurity experts, WannaCry affected at least 200.000 IT systems in over 150 countries.
Usually, such a ransomware attack does not spread so fast. Threats such as WannaCry make use of social engineering and e-mail phishing. Surprisingly, the attack has gathered only a limited amount of money, with just over 50.000 USD in the first three days since its launch.
Autor: Mihai Dinescu
