Ce am învățat din atacul cibernetic WannaCry

de: Dan Demeter
22 05. 2017

WannaCry este, fără îndoială, cuvântul ultimei perioade. Toată lumea a auzit de acest atac cibernetic și apar, în continuare, numeroase întrebări și ipoteze: ce poți să faci ca să te aperi, cine e în spatele lui sau ce urmăresc, de fapt, atacatorii?

Vestea bună este că cei care și-au instalat actualizarea pentru vulnerabilitatea Microsoft Windows EternalBlue, disponibilă din 14 martie 2017, sunt protejați în acest caz. Oricât ar încerca cineva să atace de la distanță computerul, nu va avea cum să intre, pentru că “poarta” deschisă de EternalBlue este închisă.

Etapele WannaCry au fost detecția vulnerabilității Windows, pătrunderea în sistem și instalarea componentei de criptare, într-un mod complet automat, fără nicio intervenție (greșită) din partea utilizatorului. WannaCry este un malware de tip “vierme” care, odată pătruns într-un computer, va încerca să infecteze și alte calculatoare din rețea, afectate de aceeași vulnerabilitate. Dacă le identifică, malware-ul criptează fișierele de pe acestea: documente office, video-uri, fotografii, arhive – practic, cam toate fișierele utilizate zi de zi. După aceea, urmează mesajul de răscumpărare: inițial, au cerut echivalentul în dolari a 300 de bitcoin, apoi miza a crescut la 600 de dolari. În plus, pentru a crea o presiune suplimentară, au adăugat informația că după trei zile suma va crește, iar după șapte niciun fișier nu va mai putea fi decriptat.

Sunt câteva elemente surprinzătoare la acest atac: în primul rând, faptul că autorii l-au lansat joi, după cum indică datele noastre, cu primele semne clare de infectare vineri după amiază, a limitat mult pagubele la companii, în special. Mulți dintre angajați își închiseseră deja calculatoarele și le deconectaseră de la rețea. Altfel ar fi stat lucrurile dacă vârful atacului ar fi fost luni dimineața. În al doilea rând, sistemul de plată a răscumpărării era unul manual și nu automat, cum se întâmplă de regulă.

De asemenea, interesant este că primele variante aveau acel “kill switch”, prin care verificau un anumit domeniu de Internet înainte de a porni procedura de criptare. Dacă acel domeniu nu exista (nu era înregistrat), criptarea începea. Dacă primeau un răspuns – ceea ce s-a întâmplat după ce un cercetător englez l-a înregistrat  – opreau orice acțiune. Motivul pentru care au lăsat acel kill switch nu este foarte clar, dar este posibil să-și fi lăsat o portiță de scăpare, pentru situația în care lucrurile ar fi scăpat de sub control și nu ar mai fi putut opri atacul. O altă ipoteză este aceea că autorii au vrut să facă mai dificilă analiza malware-ului, în cazul în care ar fi fost analizat automat.

Analiza noastră privind originea WannaCry pare să confirme ipoteza cercetătorului de la Google, care arată legătura dintre WannaCry și malware-ul atribuit grupului Lazarus, care și-a câștigat faima prin atacul din 2014 asupra Sony Pictures și jaful de la Banca Centrală din Bangladesh, din 2016. Bineînțeles, nu excludem nici ipoteza unui indiciu fals, lăsat special pentru a induce cercetătorii în eroare, iar analiza din perioada următoare va ajuta la clarificarea situației. Mobilul acestui atac, la fel ca al majorității din categoria ransomware, pare să fie câștigul financiar. Până în acest moment, atacatorii au reușit să obțină echivalentul a 45.000 de dolari în bitcoin, care nu este o sumă spectaculoasă, pentru un atac de amploare.

Ce am învățat din WannaCry

După un astfel de caz, cel mai important este să învățăm din el, pentru ca data viitoare – din păcate, va exista în mod sigur o dată viitoare – să fim mai pregătiți.

Prin urmare, este foarte important să folosim o soluție de securitate eficientă și să o menținem actualizată și cu toate funcțiile importante activate, pentru a fi capabilă să recunoască cele mai noi tipuri de malware.

În plus, toate programele folosite (de la sistemul de operare, la browser-ul web, până la editorul de documente) trebuie să aibă actualizările la zi.

De asemenea, copiile de backup, păstrate pe un hard separat, trebuie să devină un obicei pentru toată lumea.

Nu în ultimul rând, atenția este la fel de importantă: WannaCry nu profită de neatenția utilizatorilor care dau click pe tot felul de link-uri suspecte, dar alte tipuri de malware fac cu siguranță acest lucru.