WannaCry

WannaCry
Datum12. maj 2017 - početak
MjestoŠirom svijeta
TemaCyber-napad
UčesniciNepoznato
IshodZaraženo više od 70.000 računara[1]

WannaCry, također poznat po imenu WanaCrypt0r 2.0,[2] jest ransomware (ucjenjivački softver, vrsta zlonamjernog softvera). Koristio se u masivnom cyber-napadu u maju 2017. kojim je zaraženo 75.000 računara u 99 zemalja.

Napad je pogodio Telefóniku i nekoliko drugih većih kompanija u Španiji, dijelove britanske Nacionalne zdravstvene službe (NHS),[3] FedEx i Deutsche Bahn.[4][5][6] Druge mete napada u najmanje 99 zemalja prijavile su da su napadnute otprilike u isto vrijeme.[7][8] Rusko Ministarstvo unutrašnjih poslova, Ministarstvo vanrednih situacija i telekomunikacijska kompanija MegaFon prijavili su da je zaraženo preko 1000 računara.[9]

Smatra se da softver koristi exploit pod nazivom EternalBlue koji je navodno razvila američka Agencija za nacionalnu bezbjednost (NSA) da bi napala računare koji koriste operativni sistem Microsoft Windows.[2][10] Iako je 14. marta 2017. objavljena sigurnosna zakrpa kojom je uklonjen propust koji omogućava rad ovog softvera,[11] spor proces i/ili odgađanje instaliranja sigurnosnih ažuriranja ostavilo je neke korisnike i organizacije ranjivim.[12]

Pozadina

[uredi | uredi izvor]

Navodnog infekcijskog vektora, EternalBlue, objavila je grupa hakera pod nazivom The Shadow Brokers 14. aprila 2017.[13][14][15] uporedo s drugim alatima koje su navodno dobili curenjem informacija iz Equation Groupa; za ovu grupu se smatra je dio Agencije za nacionalnu bezbjednost Sjedinjenih Američkih Država (NSA).[16][17]

EternalBlue eksploatiše sigurnosni propust MS17-010[11] Microsoftove realizacije protokola SMB. Microsoft je skoro dva mjeseca ranije, 14. marta 2017, objavio savjetodavni izvještaj u kojem je, uporedo sa sigurnosnom zakrpom kojom je uklonjen propust koji omogućava rad ovog softvera, propust naglasio "kritičnim".[11]

WannaCry je 12. maja 2017. počeo zaražavati računare širom svijeta.[18] Nakon što dobije pristup računarima, softver šifrira tvrdi disk računara[19][20] i potom pokušava eksploatisati propust u SMB-u da bi zarazio druge računare na internetu[21] ili na lokalnoj mreži.[22]

Sigurnosni previd u Windowsu nije propust nultog dana, već ga je Microsoft zakrpio još 14. marta 2017.[11] Zakrpljen je protokol Server Message Block (SMB) koji Windows koristi.[23] Microsoft je također apelirao da se prestane koristiti stari protokol SMB1, već da se koristi novi, sigurniji protokol SMB3.[24] Pogođene su organizacije koje nisu instalirale ovu sigurnosnu zakrpu i zasad nema dokaza koji bi upućivali na to da su programeri ovog zlonamjernog softvera namjerno ciljali ijednu od pogođenih organizacija.[23] Bila koja organizacija koja i dalje koristi zastarjeli sistem Windows XP[25] naročito je u opasnosti od infekcije budući da Microsoft nije objavio nijednu sigurnostu zakrpu za taj sistem od aprila 2014.[26]

Utjecaj

[uredi | uredi izvor]

Napad je utjecao na mnoge bolnice Nacionalne zdravstvene službe (NHS-a) u Ujedinjenom Kraljevstvu.[27] Neke usluge HNS-a morale su odvratiti nekritične hitne slučajeve 12. maja, dok je vozačima pojedinih ambulantnih kola naređeno da izbjegavaju određene bolnice.[4][28] Još 2016. prijavljeno je da nekoliko hiljada računara u 42 zasebnih ustanova HNS-a koristi Windows XP.[25] Zaraženo je preko 1000 računara ruskog Ministarstva unutrašnjih poslova, Ministarstva vanrednih situacija i telekomunikacijske kompanija MegaFon.[9]

Odaziv

[uredi | uredi izvor]
  • U zlonamjerni softver ugrađena je funkcija za prisilno zaustavljanje rada ("kill switch") što je omogućilo zaustavljanje prvobitne zaraze,[29] ali se očekuje stvaranje varijanata bez te funkcije.[30]
  • Dana 13. maja 2017. objavljeno je da je Microsoft poduzeo nevjerovatno neobičan korak obezbjeđivanjem sigurnosne zakrpe za Windows XP, Windows 8 i Windows Server 2003 budući da je kompanija odavno prestala podržavati ove verzije.[31][32]

Reakcije

[uredi | uredi izvor]
  • Britanska premijerka Theresa May izjavila je da se ovaj cyber-napad, za koji se smatralo da je ciljao samo bolnice u Ujedinjenom Kraljevstvu, uveliko proširio i da sad obuhvata desetke zemalja.[33]

Također pogledajte

[uredi | uredi izvor]

Reference

[uredi | uredi izvor]
  1. ^ Cameron, Dell. "Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It". Pristupljeno 13. 5. 2017.
  2. ^ a b Fox-Brewster, Thomas. "An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak". Forbes. Pristupljeno 12. 5. 2017.
  3. ^ Marsh, Sarah (12. 5. 2017). "The NHS trusts hit by malware – full list". Pristupljeno 12. 5. 2017 – preko The Guardian.
  4. ^ a b "NHS cyber-attack: GPs and hospitals hit by ransomware". BBC News (jezik: engleski). 12. 5. 2017. Pristupljeno 12. 5. 2017.
  5. ^ Hern, Alex; Gibbs, Samuel (12. 5. 2017). "What is 'WanaCrypt0r 2.0' ransomware and why is it attacking the NHS?". The Guardian (jezik: engleski). ISSN 0261-3077. Pristupljeno 12. 5. 2017.
  6. ^ "Statement on reported NHS cyber attack". digital.nhs.uk (jezik: engleski). Pristupljeno 12. 5. 2017.
  7. ^ Cox, Joseph (12. 5. 2017). "A Massive Ransomware 'Explosion' Is Hitting Targets All Over the World". Motherboard (jezik: engleski). Pristupljeno 12. 5. 2017.
  8. ^ Larson, Selena (12. 5. 2017). "Massive ransomware attack hits 99 countries". CNN. Pristupljeno 12. 5. 2017.
  9. ^ a b "Ransomware virus plagues 75k computers across 99 countries". RT International (jezik: engleski). Pristupljeno 12. 5. 2017.
  10. ^ Larson, Selena (12. 5. 2017). "Massive ransomware attack hits 74 countries". CNNMoney. Pristupljeno 12. 5. 2017.
  11. ^ a b c d "Microsoft Security Bulletin MS17-010 – Critical". technet.microsoft.com. Pristupljeno 13. 5. 2017.
  12. ^ 15:58, 12 May 2017 at; tweet_btn(), John Leyden. "WanaCrypt ransomware snatches NSA exploit, fscks over Telefónica, other orgs in Spain". theregister.co.uk. Pristupljeno 12. 5. 2017.CS1 održavanje: numerička imena: authors list (link)
  13. ^ Menn, Joseph (17. 2. 2015). "Russian researchers expose breakthrough U.S. spying program". Reuters. Arhivirano s originala, 24. 9. 2015. Pristupljeno 24. 11. 2015.
  14. ^ "NSA-leaking Shadow Brokers just dumped its most damaging release yet". Ars Technica (jezik: engleski). Pristupljeno 15. 4. 2017.
  15. ^ "misterch0c". GitHub (jezik: engleski). Pristupljeno 15. 4. 2017. Referenca sadrži prazan nepoznati parametar: |dead-url= (pomoć)
  16. ^ Fox-Brewster, Thomas (16. 2. 2015). "Equation = NSA? Researchers Uncloak Huge 'American Cyber Arsenal'". Forbes. Pristupljeno 24. 11. 2015.
  17. ^ "Latest Shadow Brokers dump — owning SWIFT Alliance Access, Cisco and Windows". Medium. 14. 4. 2017. Pristupljeno 15. 4. 2017.
  18. ^ Newman, Lily Hay. "The Ransomware Meltdown Experts Warned About Is Here". Wired.com. Pristupljeno 13. 5. 2017.
  19. ^ "Russian-linked cyber gang blamed for NHS computer hack using bug stolen from US spy agency". The Telegraph (jezik: engleski). Pristupljeno 12. 5. 2017.
  20. ^ Bilefsky, Dan; Perlroth, Nicole (12. 5. 2017). "Hackers Hit Dozens of Countries Exploiting Stolen N.S.A. Tool". The New York Times. ISSN 0362-4331. Pristupljeno 12. 5. 2017.
  21. ^ Clark, Zammis. "The worm that spreads WanaCrypt0r". Malwarebytes Labs. malwarebytes.com. Pristupljeno 13. 5. 2017.
  22. ^ Samani, Raj. "An Analysis of the WANNACRY Ransomware outbreak". McAfee. Arhivirano s originala, 13. 5. 2017. Pristupljeno 13. 5. 2017.
  23. ^ a b "WannaCry Ransomware Attack Hits Victims With Microsoft SMB Exploit". eWeek. Pristupljeno 13. 5. 2017.
  24. ^ "The Deprecation of SMB1 – You should be planning to get rid of this old SMB dialect". Pristupljeno 13. 5. 2017.
  25. ^ a b "NHS Hospitals Are Running Thousands of Computers on Unsupported Windows XP". Motherboard. Pristupljeno 13. 5. 2017.
  26. ^ "Windows XP End of Support". www.microsoft.com. Pristupljeno 13. 5. 2017.
  27. ^ "Global cyberattack strikes dozens of countries, cripples U.K. hospitals". cbsnews.com. Pristupljeno 13. 5. 2017.
  28. ^ Wong, Julia Carrie; Solon, Olivia (12. 5. 2017). "Massive ransomware cyber-attack hits 74 countries around the world". Pristupljeno 12. 5. 2017 – preko The Guardian.
  29. ^ Solon, Olivia (13. 5. 2017). "'Accidental hero' finds kill switch to stop spread of ransomware cyber-attack". the guardian. Pristupljeno 13. 5. 2017.
  30. ^ Kan, Micael. "A 'kill switch' is slowing the spread of WannaCry ransomware". PC World. Pristupljeno 13. 5. 2017.
  31. ^ Surur (13. 5. 2017). "Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003". Pristupljeno 13. 5. 2017.
  32. ^ MSRC Team. "Customer Guidance for WannaCrypt attacks". Microsoft. Pristupljeno 13. 5. 2017.
  33. ^ CNN, Laura Smith-Spark, Milena Veselinovic and Hilary McGann. "UK prime minister: Ransomware attack is global". CNN. Pristupljeno 13. 5. 2017.