50 Największych Banków w Polsce 2017: Ransomware w natarciu!

Igor Lagenda

Pierwszy o akcji hakerów poinformował w internecie brytyjski „Guardian”, który podał, że szpitale w całej Anglii zostały jednocześnie zaatakowane przez szkodliwe oprogramowanie, co doprowadziło do odesłania wielu pacjentów wymagających natychmiastowej pomocy lekarskiej. W niektórych placówkach nie działały ani lokalne sieci informatyczne, ani telefoniczne. Lekarzom wydano polecenie wyłączenia służbowych komputerów. W tym samym czasie zaczęły spływać informacje z innych krajów. Okazało się, że ucierpiał także hiszpański gigant telekomunikacyjny Telefonica, niemieckie koleje Deutsche Bahn, amerykańskie przedsiębiorstwo spedycyjne FedEx, ministerstwo spraw wewnętrznych i bank centralny Rosji, kilka uniwersytetów w Chinach, fabryki samochodów Renault i Nissana oraz szwedzkie samorządy.

Bo Windows był za stary…

Szybko ustalono, że do ataku użyto ransomware WanaCrypt0r 2.0, który wykorzystał dziurę w systemie Windows. Złośliwe oprogramowanie szyfrowało pliki na twardych dyskach komputerów, uniemożliwiając korzystanie z nich, a na ekranach wyświetlał się komunikat z żądaniami hakerów. W zamian za odblokowanie komputerów żądali równowartości kilkuset dolarów w bitcoinach. Smaczku całej sprawie dodaje fakt, że hakerzy posłużyli się programem stworzonym w amerykańskiej Agencji Bezpieczeństwa Narodowego, który w kwietniu został wykradziony i udostępniony w sieci. Z analizy ekspertów, która pojawiła się pod koniec maja, wynika, że przestępcy mogli pochodzić z południowej części Chin kontynentalnych, Hongkongu, Tajwanu lub Singapuru. Wcześniej podejrzewano, że za atakiem stoją hakerzy z Korei Północnej. Analitycy z Kaspersky Lab, którzy przeanalizowali dane dotyczące ataku, poinformowali, że systemy ochrony wykorzystywane w rozwiązaniach firmy wykryły przynajmniej 45 tys. prób infekcji w 74 krajach, z czego najwięcej w Rosji. Szkodliwe oprogramowanie zastosowane w ataku wykorzystało lukę w systemach Windows, która została opisana i usunięta w biuletynie MS17-010 opublikowanym przez Microsoft. Narzędzie wykorzystane w ataku – „Eternal Blue” – zostało ujawnione w zestawie informacji opublikowanych przez grupę Shadowbrokers 14 kwietnia tego roku.

Po zainfekowaniu systemu atakujący instalowali szkodliwy moduł (rootkit), który pozwalał na pobieranie oprogramowania kodującego dane ofiary. Po zakończeniu szyfrowania wyświetlał się komunikat o konieczności zapłaty za odszyfrowanie danych. Wartość okupu rosła z czasem.

Na lawinowo napływające informacje o atakach cybernetycznych 13 maja zareagował Europol, który ogłosił, że wszczyna śledztwo. Europejskie Centrum ds. Walki z Cyberprzestępczością (EC3), komórka europejskiej policji, podało, że ataki miały bezprecedensową skalę i będą wymagały kompleksowego i międzynarodowego śledztwa, które zidentyfikuje sprawców.

Ransomware na propsie

O tym, że złośliwe kody wymuszające okupy za przejęcie kontroli nad komputerem robią furorę wśród cyberprzestępców, analitycy wielu instytucji zajmujących się bezpieczeństwem w sieci informują od co najmniej dwóch lat. Trend Micro opublikował w kwietniu roczny raport „2016 Security Roundup: A Record Year for Enterprise Threats”, który pokazuje, że ubiegły rok minął pod znakiem wymuszeń online. Na całym świecie wykryto ponad miliard ataków typu ransomware. Liczba tych nadużyć w Polsce to 4% wszystkich ataków w regionie EMEA.

Cyberprzestępcy coraz częściej inicjowali ataki typu ransomware i BEC (Business Email Compromise), aby wymusić okup od przedsiębiorstw. Liczba nowych rodzin oprogramowania ransomware wzrosła o 748%, a straty poniesione przez firmy wskutek takich ataków na całym świecie osiągnęły miliard dolarów.

W 2016 r. firma Trend Micro wraz z zespołem Zero Day Initiative (...