Přejít na obsah
Domů

WannaCry: globální ransomware útok z května 2017 — červ šifrující data

WannaCry — globální ransomwarový červ z května 2017: masivní šifrování dat, výpalné a miliardové škody. Přečtěte si příčiny, průběh a postupy ochrany.

Útok ransomwaru WannaCry byl červ, který v květnu 2017 napadl mnoho počítačů se systémem Windows po celém světě. Červ šířil malware, který zašifroval data v počítači uživatele (tj. zakódoval data v počítači uživatele do nesmyslných informací) a požadoval po postižených uživatelích, aby zaplatili 300 Bitcoinů do 3 dnů nebo 600 Bitcoinů do 7 dnů, než budou všechna data postiženého počítače zničena. Tento malware stál svět miliony až miliardy dolarů na opravu jejich serverů a počítačů.

Upřesnění k výkupnému: ve skutečnosti šlo o požadavek přibližně 300 USD placených v Bitcoinech (po 3 dnech se částka měla zvýšit na přibližně 600 USD v Bitcoinech). V některých popisech se tato částka mylně uvádí jako „300 Bitcoinů“ — to by ale představovalo mnohonásobně vyšší sumu.

Galerie obrázků

1 Obrázek

Jak WannaCry fungoval

WannaCry byl samonásobící (worm) ransomware. Šířil se zneužitím zranitelnosti v síťovém protokolu SMB (tzv. EternalBlue), kterou do médií prosákly nástroje vyvinuté americkou NSA. Po průniku do systému červ instaloval šifrovací komponentu, která zašifrovala uživatelská data a přejmenovala nebo doplnila soubory charakteristickými příponami (ve většině případů .WNCRY). Oběti dostaly výkupnou poznámku s instrukcemi, jak zaplatit výkupné pomocí Bitcoinů a jak obnovit soubory pomocí „WannaDecryptor“.

Průběh a zastavení šíření

WannaCry se velmi rychle rozšířil a zasáhl desítky tisíc až stovky tisíc počítačů v přes 150 zemích, včetně nemocnic (zejména britského NHS), telekomunikačních firem, výrobních společností a dalších organizací. Šíření významně zbrzdilo registrace tzv. „kill switch“ domény, kterou objevil bezpečnostní výzkumník známý jako MalwareTech (Marcus Hutchins). Po zaregistrování této domény se automaticky zabránilo dalšímu šíření červa.

Opravy, záplaty a odpovědnost

Microsoft vydal okamžité bezpečnostní aktualizace označené jako MS17-010, dokonce i pro některé již nepodporované verze Windows (např. Windows XP). Záplaty a deaktivace SMBv1 výrazně snížily šanci na opakování útoku stejného typu u systémů, které byly aktualizovány. Řada vyšetřování a analýz spojila kampaň s určitými hackerskými skupinami (např. skupinou Lazarus), americké úřady později označily za podezřelé zapojení KLDR, nicméně přesné motivace a vazby zůstávají předmětem mezinárodního zkoumání a soudních kroků.

Dopady

Ekonomické škody byly rozsáhlé — postižené organizace utrácely za obnovu systémů, odstranění malwaru, ztrátu provozu a další náklady. Kromě peněžních ztrát měly útoky i praktické dopady na pacienty, zákazníky a provoz organizací v postižených oblastech.

Prevence a doporučení

  • Pravidelně instalujte bezpečnostní aktualizace dodávané výrobcem (zejména záplaty pro SMB a kritické chyby).
  • Vypněte nebo omezte používání zastaralého protokolu SMBv1 tam, kde to lze.
  • Pravidelně zálohujte důležitá data a ověřujte možnost obnovení ze záloh (offline nebo na odděleném úložišti).
  • Segmentujte sítě, aby případný průlom neměl přímý dopad na celé prostředí organizace.
  • Používejte aktuální antivirové řešení a monitorování sítí pro včasné zjištění neobvyklé aktivity.
  • Školte uživatele o rizicích phishingu a podezřelých přílohích či odkazech.

WannaCry byl důraznou připomínkou, že i známé a opravené chyby mohou způsobit rozsáhlé škody, pokud nejsou aplikovány záplaty a pokud organizace nepraktikují základní zásady kybernetické hygieny.

 

Pozadí

Útok ransomwaru WannaCry začal 14. května 2017. Po zahájení útoku ransomwaru WannaCry zkoumaly společnosti a univerzity po celém světě způsoby, jak šíření tohoto malwaru eliminovat. Po čtyřech dnech se malware dále nešířil a nyní bylo snadné malware eliminovat.

Útok ransomwarem zahájil severokorejský počítačový hacker Park Jin-hyok. Americké ministerstvo spravedlnosti 6. září 2018 obvinilo Park Jin-hyoka z toho, že pomáhal vytvořit program pro ransomware WannaCry a že je také zodpovědný za hackerský útok na společnost Sony Pictures v roce 2014.

John C. Demers, vedoucí oddělení národní bezpečnosti ministerstva spravedlnosti, ve svém prohlášení uvedl:

"Tato obvinění budou signálem, že škodlivé aktéry vypátráme bez ohledu na to, jak a kde se skrývají."

Pan Park, který vystupoval také pod přezdívkou Pak Jin Hek, se pravděpodobně do americké soudní síně nepodívá. Spojené státy nemají se Severní Koreou žádné přímé formální vztahy a před obviněním s její výlučnou vládou nekomunikovaly.

 

Související články

Autor

AlegsaOnline.com WannaCry: globální ransomware útok z května 2017 — červ šifrující data

URL: https://cs.alegsaonline.com/art/106461

Sdílet

Zdroje