Wyznaczanie trendów w nauce: Cyberatak blokuje ponad 200 000 komputerów w 150 krajach

Użytkownicy na całym świecie zostali odcięci od swoich komputerów, kiedy padli ofiarą programu ransomware oraz żądań zapłaty pod groźbą utraty swoich danych – tylko w piątek, 12 maja 2017 r., było ich 200 000.

W Zjednoczonym Królestwie trzeba było odwołać planowe zabiegi w kilku dużych szpitalach, podczas gdy informatycy starali się odzyskać kontrolę nad siecią komputerową służby zdrowia; z kolei we Francji, firma Renault musiała odesłać do domu 3500 pracowników, aby ograniczyć straty w jednej ze swoich kluczowych fabryk; a w Chinach zaatakowanych w poniedziałek, 15 maja, zostało ponad 30 000 komputerów.

Atak, którego pierwsze uderzenie nastąpiło w piątek, wprowadzał zamęt jeszcze w poniedziałek, kiedy pracownicy wracali na swoje miejsca pracy. Zanim jeszcze technicy na całym świecie zdążyli zabezpieczyć swoje sieci, już rozpoczęło się szukanie winnego. Kiedy ofiarą ataku padły systemy Microsoftu, spółka zaczęła obwiniać amerykańską Agencję Bezpieczeństwa Narodowego (NSA) za stworzenie programu typu exploit, który doprowadził do złamania zabezpieczeń.

Łom otwierający drzwi do systemu – nie ma czegoś takiego jak ujarzmiony exploit

Domniemywa się, że Stany Zjednoczone stworzyły exploit EternalBlue – narzędzie dające dostęp do komputerów pracujących z systemem operacyjnym Windows firmy Microsoft. Narzędzie – określone przez jednego z ekspertów mianem łomu – wypłynęło do sieci i zostało wykorzystane przez cyberprzestępców do przejęcia podatnych na zagrożenia komputerów na całym świecie. Przestępcy zażądali następnie od swoich ofiar równowartości 300 dolarów, w wirtualnej walucie bitcoin, za wykupienie danych.

W wywiadzie udzielonym brytyjskiemu dziennikowi Daily Telegraph, Sean Sullivan, doradca ds. bezpieczeństwa w F-Secure, firmie specjalizującej się w cyberzabezpieczeniach, stwierdził: „Shadow Brokers zdobyli narzędzie NSA, które odsłania słaby punkt systemów operacyjnych Microsoftu. Wyrzucili instrukcje, jak się przedostać. Ten exploit to łom otwierający drzwi, a program ransomware to granat wrzucany po ich otwarciu”.

Aktualizuj, w miarę możliwości, swoje poprawki zabezpieczeń

Choć kolejność zdarzeń, które doprowadziły do światowego ataku hakerskiego, nadal pozostaje niejasna, podobno NSA ostrzegła Microsoft, że jej narzędzie hakerskie zostało wykradzione i spółka wydała w marcu poprawkę. Jednakże systemy sprzed 2009 roku, takie jak nadal powszechnie stosowany Windows XP, nie zostały objęte poprawką. Nawet kiedy poprawka była dostępna, wielu użytkowników po prostu nie skorzystało z niej. Eksperci od cyberbezpieczeństwa mówią, że to złośliwe oprogramowanie mogło rozprzestrzeniać się za pośrednictwem komputerów z systemami Microsoft Windows bez poprawki zabezpieczeń. Zachęcają użytkowników do uruchamiania swoich komputerów wyłącznie w bezpiecznym trybie, zanim nie upewnią się, czy aktualizacja blokująca ransomware została zainstalowana.

Jednemu z ekspertów od cyberbezpieczeństwa, znanemu tylko jako MalwareTech na Twitterze, przypisuje się zatrzymanie ransomware, przynajmniej tymczasowo, za pomocą naciśnięcia cyfrowego wyłącznika bezpieczeństwa. Naukowiec, dwudziestodwulatek z południowo-zachodniej Anglii, pracownik zajmującej się zagrożeniami spółki wywiadowczej Kryptos Logic z Los Angeles, został pochwalony przez szefa europejskiego centrum Europolu ds. cyberprzestępczości, Stevena Wilsona. „Przyczynił się do znacznego spowolnienia dalszego rozprzestrzeniania się tego złośliwego oprogramowania” – wyjaśnia Wilson. MalwareTech napisał na Twitterze, że hakerzy mogą zaktualizować wirusa. „Wersja 1 WannaCrypt była do zatrzymania, ale wersja 2.0 najprawdopodobniej będzie wolna od tej wady” – napisał na Twitterze. „Będziecie bezpieczni tylko po natychmiastowym zainstalowaniu poprawki”.

Microsoft podjął nadzwyczajne działania i wydał w piątek poprawkę dla starszych wersji Windows, zatem teraz, nawet używając dalej XP, dla którego wsparcie techniczne zostało zakończone w 2014 roku, można się zabezpieczyć. Ochrona, pod warunkiem pobrania i zainstalowania poprawki, obejmie około 70 milionów komputerów na całym świecie, które nadal działają z systemem XP. Poprawka przeznaczona jest także dla Windows 8 i Windows Server 2003.

Globalny problem i pobudka

Według zespołu Malware Hunter Team, do piątkowego wieczora program ransomware rozprzestrzenił się w USA i Ameryce Południowej, choć najbardziej ucierpiały Europa i Rosja. Rosyjskie ministerstwo spraw wewnętrznych mówi o około 1000 zainfekowanych komputerów. Specjaliści z Kaspersky Lab odnotowali ponad 45 000 ataków w 74 krajach, m.in. w Zjednoczonym Królestwie, Rosji, Indiach, Chinach, Włoszech, Egipcie i na Ukrainie. W Hiszpanii zainfekowane zostały duże przedsiębiorstwa, np. operator telekomunikacyjny Telefónica.

Microsoft apeluje do rządów, aby uznały te ataki za pobudkę. Szef działu prawnego i korporacyjnego firmy Microsoft, Brad Smith, napisał: „Widzieliśmy, jak słabe punkty zgromadzone przez CIA pojawiły się na WikiLeaks, a teraz słaby punkt wykradziony z NSA stwarza problem dla klientów na całym świecie”. Według BBC Smith miał powiedzieć: „Ponieważ cyberprzestępcy stają się coraz bardziej wyspecjalizowani, klienci nie mają po prostu innego sposobu na chronienie się przed zagrożeniami, jak aktualizowanie swoich systemów”.

Odpowiedź UE na globalne zagrożenia cybernetyczne

Unia Europejska przeznacza ogromne nakłady inwestycyjne na badania nad bezpieczeństwem cybernetycznym: w ramach 7PR przyznano w latach 2007–2013 dofinansowanie w wysokości 334 mln EUR. Kolejne 160 mln EUR zapisanych jest w pierwszej puli programu „Horyzont 2020”, a 450 mln EUR zostanie zainwestowanych w kontraktowe partnerstwo publiczno-prywatne w dziedzinie bezpieczeństwa cybernetycznego w latach 2017–2020.

Więcej informacji o projektach finansowanych ze środków UE, poświęconych cyberbezpieczeństwu, znaleźć można w magazynie Results Pack pt. Bezpieczeństwo w cyberprzestrzeni: konkretne wyniki dzięki unijnym badaniom i innowacjom.

opublikowano: 2017-05-19
Komentarze


Polityka Prywatności