Когато WannaCry плъзна по света, пощадени нямаше (източник: CCO Public Domain)
Преди 2 години по света плъзна епидемия от рансъмуер. WannaCry се разпространяваше като горски пожар и криптира стотици хиляди компютри в повече от 150 страни – само за няколко часа. Това беше първият случай, в който рансъмуер – злонамерен софтуер, който криптира файловете на потребителя и изисква откуп във вид на криптовалута – се разпростря по целия свят в рамките на координирана кибератака. Днес това може да се повтори. Над милион компютри по света са уязвими.
Когато WannaCry плъзна по света, пощадени нямаше. Засегнати бяха индивидуални потребители, болници, правителства, железопътни мрежи и, разбира се, всякакви частни компании. Светът осъзна силата на зловредния код по болезнен начин.
Изследователите по сигурността бързо разбраха, че злонамереният софтуер се разпространява като компютърен червей, из компютри и мрежи, използвайки протокола SMB на Windows. Скоро подозренията попаднаха върху набор от класифицирани хакерски инструменти, разработени от Агенцията за национална сигурност на САЩ. Въпросните бяха откраднати и публикувани седмици по-рано – и всеки можеше да ги свали и да ги използва.
„Проблемът е съвсем реален“, каза Кевин Бомонт, изследовател по сигурността в САЩ. „Лайното ще падне във вентилатора и то в голям мащаб“ (да извиним цветистия изказ на изследователя).
Непозната хакерска група, за която по-късно бе съобщено, че е от Северна Корея, бе взела публикуваните кибер-оръжия на АНС и е започнала атаката си – вероятно без да съзнава колко далеч ще стигне хакването. Хакерите използваха една „задна вратичка“ на АНС, наречена DoublePulsar, за да създадат „постоянна вратичка“, използвана за разпространението на WannaCry. В комбинация с една уязвимост, известна като EternalBlue, рансъмуерът се разпространи бързо.
Microsoft, която вече знаеше за кражбата на хакерските инструменти, насочени към операционната й система, бе пуснала „кръпки“. Но потребителите и компаниите нерядко се бавят в инсталирането на пачовете.
Само за няколко часа рансъмуерът причини щети в размери на милиарди. Биткойн портфейлите, свързани с рансъмуера, се запълвана бързо от жертвите, желаещи да възстановят своите файлове.
Маркус Хътчинс – инженер и специалист по т. нар. обратен инженеринг и изследовател по сигурността – бил на почивка по време на началото на атаката. Извикали го спешно на помощ. Използвайки данни от своята система за проследяване на злонамерен софтуер, той открил това, което по-късно се оказва убийството на WannaCry – име на домейн, вградено в кода, което, след като се регистрирал, довело до намаляване на броя на заразените компютри. Хътчинс бе приветстван като герой заради спирането на разпространението на рансъмуера.
Последва бурен политически дебат за виновниците за проблема, за надеждността на държавните разузнавателни служби, за опазването на секретните кибер-инструменти за наблюдение и шпионаж и т.н.
Месец по-късно светът посрещна втори кръг от кибератаки – NotPetya. Започна да се настанява усещането, че тези проблеми се превръщат в норма. Новият рансъмуер, за който изследователите после откриха „лек“, използваше същите уязвимости и средства – DoublePulsar и EternalBlue, за да атакува логистични гиганти, супермаркети, рекламни агенции и др.
Според най-нови данни, към момента има около 1,7 милиона потребителски устройства, свързани към интернет, които все още имат тези уязвимости. Данните, генерирани от Shodan – търсачка за открити бази данни и устройства – определят броя им на „над милион“. Но това са само устройствата, свързани директно към интернет; потенциално има още още милиони устройства „зад“ тези, които са видими. Тоест, броят на уязвимите устройства вероятно е значително по-висок.
WannaCry не е напълно изчезнал, той продължава да се разпространява и сегиз-тогиз все още заразява компютри. Според Бомон, рансъмуерът остава до голяма степен „импотентен“, неспособен да се разгърне и да криптиране на данни – „поради причини, които остават загадка“.
Но разкритите кибер-инструменти на американската АНС, които бяха пуснати на свобода и могат да заразяват уязвимите компютри, навярно все още „живеят“ някъде. Те могат да се използват за доставяне на всякакви видове зловреден софтуер – и ще имат нови жертви.
А мотиви за това не липсват. Достатъчно много са мераклиите да добиват криптовалути и да трупат пари от все по-мощните системи с големи количества процесорна мощ. Достатъчно много са и злите гении, които имат причина да впрегнат мрежи от хиляди компютри да провеждат разпределени атаки тип „отказ на услуга“, събаряйки своите мишени с порой от огромно количество интернет трафик.
При наличието на милиони „незакърпени“ компютри по света това означава, че милиони са все още в риск. Възможността за бъдещи щети е съвсем реална. Две години след WannaCry трябва всички да са наясно, че подобна картина вещае сринати системи, загубени данни и загубени пари.
“WannaCry не е напълно изчезнал, той продължава да се разпространява и сегиз-тогиз” ????
Хех, “злите генни”