Wannacry: Τι πραγματικά προκάλεσε μια από τις πιο μαζικές κυβερνοεπιθέσεις στην ιστορία

Την Παρασκευή 12 Μαΐου χτύπησε παγκόσμιος συναγερμός μετά τη μαζική επίθεση κυβερνο-εγκληματιών σε δεκάδες χιλιάδες υπολογιστές σε όλο τον κόσμο. Η επιχείρηση αυτή που ονομάστηκε Wannacry κλείδωνε αρχεία υπολογιστών σε ιδιώτες, εταιρείες και κρατικούς φορείς, ζητώντας έπειτα λύτρα σε bitcoins για να δώσουν ξανά πρόσβαση στους χρήστες.

Η Microsoft επιβεβαίωσε το συμβάν που χτύπησε συστήματα Windows υπενθυμίζοντας ότι τα εργαλεία ήταν προϊόν κλοπής από προγράμματα κυβερνο-πολέμου που ανέπτυξε η αμερικανική NSA, προσθέτοντας ότι ήδη από τον Μάρτιο υπήρχε διαθέσιμη μια αναβάθμιση ασφαλείας που δεν εγκαταστάθηκε σε εκατοντάδες χιλιάδες συστήματα σε όλο τον κόσμο.

Ο David Emm, Principal Security Researcher της Kaspersky Lab, και μια ομάδα ειδικών στα θέματα ασφάλειας της εταιρείας, απαντούν στο Fortune για τα εργαλεία των επιθέσεων, τους ανθρώπους που μπορεί να βρίσκονται από πίσω, αλλά και την όλο και αυξανόμενη τάση του επονομαζόμενου Ransomware, το οποίο τείνει να γίνει ένα από τα πλέον «διάσημα» όπλα στα χέρια των κυβερνο-εγκληματιών.

Τι ακριβώς συνέβη στις 12 Μαΐου;

Μέχρι σήμερα, δεν μπορέσαμε να βρούμε email που χρησιμοποιήθηκε ως «φορέας επίθεσης» για το Wannacry. Εξακολουθούμε να διερευνούμε στοιχεία που υποδεικνύουν ότι παραβιασμένες ιστοσελίδες χρησιμοποιήθηκαν ως μέσο επίθεσης σε κάποιους πελάτες. Μέχρι τώρα, μπορούμε να επιβεβαιώσουμε ότι οι χρήστες μας δέχονται επιθέσεις που χρησιμοποιούν μία εφαρμογή του διάσημου EternalBlue που εκμεταλλεύεται τις διαρροές που προήλθαν από την ομάδα Shadowbrokers τον Απρίλιο. Το exploit εγκαθιστά το DoublePulsar backdoor, κάτι το οποίο του δίνει περαιτέρω δύναμη για να «μολύνει» ένα σύστημα. Ακόμα κι αν το EternalBlue exploit αποτύχει στην πρώτη προσπάθεια, ο κώδικας της επίθεσης εξακολουθεί να προσπαθεί να ενδυναμώσει το DoublePulsar backdoor, που πιθανώς να έχει εγκατασταθεί σε κάποια προηγούμενη επίθεση. Ενδέχεται ο κύριος λόγος επιτυχίας του Wannacry να είναι το γεγονός ότι το EternalBlue exploit δουλεύει μέσω Διαδικτύου και δε χρειάζεται καμία αλληλεπίδραση με το χρήστη.

Ποιοι μπορεί να βρίσκονται πίσω από την κυβερνοεπίθεση;

Οι επιτιθέμενοι δεν άφησαν πολλές ενδείξεις για το ποιοι μπορεί να είναι. Ακόμα ερευνούμε διάφορους πιθανούς υποκινητές και μοιραζόμαστε όλες τις σχετικές πληροφορίες με τις νομικές υπηρεσίες. Προς το παρόν, δεν έχουμε παρατηρήσει κάποιο στοιχείο που δυνητικά συνδέει τους επιτιθέμενους με ήδη γνωστές ομάδες. Μερικές πρώιμες παραλλαγές του ransomware προγράμματος Wannacry φαίνεται να είχαν χρησιμοποιηθεί τον Μάρτιο του 2017, ίσως μερικές και τον Φεβρουάριο του 2017. Ερευνούμε ακόμα αυτές τις πρώιμες παραλλαγές, ψάχνοντάς τες για πιθανά στοιχεία.

Ποιοι ήταν οι βασικοί στόχοι των επιθέσεων;

Στις περισσότερες περιπτώσεις «μολύνθηκαν» είτε υπολογιστές που ανήκουν σε συνηθισμένους υπαλλήλους, είτε μερικά μη κρίσιμα συστήματα που λειτουργούν σε παλαιότερο λειτουργικό σύστημα. Έχουμε μάθει επίσης από δημόσιες πηγές ότι μερικές τράπεζες στην Ασία αναγνώρισαν παραβιάσεις στα ATM τους. Δε μπορούμε να πούμε ότι αυτό το κακόβουλο λογισμικό στοχεύει κάποια συγκεκριμένη επιχείρηση. Επιτίθεται οπουδήποτε μπορεί! Γενικότερα, ενσωματώνεται σε λειτουργικά συστήματα που πολύ συχνά δεν είναι ανανεωμένα και μπορούν εύκολα να στοχοποιηθούν από κακόβουλα λογισμικά όπως το WannaCry. Αυτό συμβαίνει διότι η επιδημία αυτή είναι ένα καμπανάκι για τους οργανισμούς που διαχειρίζονται μεγάλα χαρτοφυλάκια ενσωματωμένων συστημάτων, όπως τράπεζες, λιανοπωλητές κ.α. Αυτά τα συστήματα πρέπει να διαχειρίζονται και να προστατεύονται καταλλήλως με ενδεδειγμένες λύσεις ασφάλειας.

Η Microsoft ανακοίνωσε μέσω του επικεφαλής του νομικού της τμήματος, Brad Smith ότι οι επιθέσεις εκτελέστηκαν με κλεμμένα εργαλεία από την NSA. Πώς μπορούμε να αντιμετωπίσουμε κάτι τέτοιο;

Η Kaspersky Lab υποστηρίζει το κάλεσμα για δράση του Brad Smith, σε κυβερνήσεις και βιομηχανίες από όλο τον κόσμο, ώστε να πραγματοποιηθούν κρίσιμα και σημαντικά βήματα για να συμβάλλουμε στη δημιουργία ενός καλύτερου ψηφιακού μέλλοντος για όλους μας. Πιστεύουμε ακράδαντα ότι ο κόσμος χρειάζεται μία παγκόσμια ψηφιακή σύμβαση που θα υποστηριχθεί με τη δημιουργία ενός ουδέτερου και αμερόληπτου παγκόσμιου ψηφιακού οργανισμού και υποστηρίζουμε σθεναρά ότι οι εταιρείες οφείλουν να δεσμευτούν ότι δεν θα διεξάγουν επιθετικές ψηφιακές δραστηριότητες και να προστατεύουν τους χρήστες τους από όλες τις ψηφιακές επιθέσεις. Για να καταφέρει να εδραιωθεί αυτός ο οργανισμός οι επιχειρήσεις οφείλουν να τον στηρίξουν σθεναρά και να του παρέχουν τα εχέγγυα, σταματώντας τις επιθετικές τους δραστηριότητες, αλλά και στοχεύοντας στην καλύτερη προστασία των χρηστών τους από ψηφιακές επιθέσεις.

Πρέπει να ανησυχούμε για παρόμοιες επιθέσεις τέτοιου βεληνεκούς στο μέλλον;

Κανείς δεν μπορεί να πει με βεβαιότητα ότι «τα χειρότερα έρχονται». Ωστόσο, είναι πιθανό ότι εξακολουθεί να υπάρχει σημαντικός αριθμός μη ελεγχόμενων συστημάτων, παρέχοντας περαιτέρω ευκαιρίες για διάδοση αυτού του κακόβουλου λογισμικού. Είναι επίσης πιθανό να δημιουργηθεί και άλλο κακόβουλο λογισμικό για να επωφεληθεί το ίδιο exploit.

Αν οι οργανισμοί επιδιορθώνουν τα συστήματά τους, θα πρέπει τώρα να είναι σε θέση να προστατευθούν από επιθέσεις με βάση τα exploits που δημοσίευσε η Shadow Brokers. Δυστυχώς, γνωρίζουμε ότι το patching δεν συμβαίνει τόσο τακτικά ούτε τόσο δογματικά, όπως θα έπρεπε. Είναι επομένως πιθανό ότι οποιαδήποτε από αυτά τα exploits θα μπορούσαν να αξιοποιηθούν από εγκληματίες για να ξεκινήσουν επιθέσεις.

Τα τελευταία χρόνια έχουμε δει τις επιθέσεις ransomware να πολλαπλασιάζονται. Γιατί συμβαίνει αυτό;

Ο λόγος που οι ransomware επιθέσεις εναντίον των επιχειρήσεων αυξάνονται είναι επειδή οι ψηφιακοί εγκληματίες γνωρίζουν ότι οι οργανισμοί είναι πιο πιθανό να πληρώσουν λύτρα, καθώς τα δεδομένα που κρατούνται «αιχμάλωτα» είναι τόσο ευαίσθητα και ζωτικής σημασίας για την εύρυθμη λειτουργία των επιχειρήσεων τους. Επιπλέον, καθώς οι ψηφιακοί εγκληματίες συνειδητοποιούν ότι τα θύματα είναι συχνά πρόθυμα να πληρώσουν για την απελευθέρωση των αρχείων τους, η επικράτηση και η επιτήδευση των ransomware, καθώς και οι παραλλαγές τους βρίσκονται σε άνθηση.

Ακόμα, το 2016 έφερε στην επιφάνεια την επέκταση του επιχειρηματικού μοντέλου “Ransomware-as-a-Service”, που απευθύνεται πλέον σε εγκληματίες που δεν έχουν τις ικανότητες, τους πόρους ή τη διάθεση να αναπτύξουν το δικό τους το πρόγραμμα. Οι προγραμματιστές προσφέρουν το κακόβουλο προϊόν τους «κατά παραγγελία», πουλώντας αποκλειστικά τροποποιημένες εκδόσεις σε πελάτες, οι οποίοι στη συνέχεια τις διανέμουν μέσω spam και ιστοσελίδων, πληρώνοντας μια προμήθεια στο δημιουργό, ο οποίος είναι και ο κύριος χρηματοδοτικός δικαιούχος.

Τι μας συμβουλεύει η Kaspersky για αυτήν την πρόκληση;

Το κακόβουλο λογισμικό μπορεί να εξαπλωθεί κυρίως μέσω εξαπάτησης των ανθρώπων ώστε να εγκαταστήσουν κώδικα. Επομένως, τα συστήματα επιδιόρθωσης είναι ζωτικής σημασίας, καθώς μειώνουν την έκθεσή σας στην επίθεση. Αλλά είναι επίσης απαραίτητο να διασφαλιστεί ότι τα συστήματα προστατεύονται χρησιμοποιώντας λογισμικό διαδικτυακής ασφάλειας. Εκτός αυτού, η εκπαίδευση του προσωπικού είναι επίσης ζωτικής σημασίας. Τέλος, η καλή διαχείριση δικτύου θα συμβάλει επίσης στη μείωση του σκοπού οποιασδήποτε επίθεσης, δηλ. να μην εκχωρείτε αυτόματα δικαιώματα διαχειριστή στους υπολογιστές, να ταξινομείτε διαφορετικά τα τμήματα του δικτύου και να περιορίζετε την πρόσβαση σε δεδομένα μόνο σε όσους τη χρειάζονται.