Aktualizacja: wymuszenie okupu na skalę globalną – przestępcy mają coraz łatwiejszy dostęp do niebezpiecznych narzędzi
Dotychczas atak potwierdzono właściwie w każdym sektorze gospodarki: w bankach, firmach telekomunikacyjnych, energetycznych, a także w szpitalach, środkach transportu, mediach oraz urzędach państwowych. Informacja o wymuszeniu okupu pojawiła się tez w bankomatach, stacjach benzynowych, czy sklepach. Tak zmasowany atak wywołał paraliż w wielu firmach, które utraciły dostęp do swoich danych, systemów i sieci.
Po wstępnym sukcesie firm bezpieczeństwa i badaczy, którzy zaczęli szukać możliwości ochrony przed atakiem i jeden z badaczy znalazł wyłącznik awaryjny – nazwę domeny, do której połączenie chroniło przed infekcją, powstały kolejne warianty oprogramowania nieposiadające tych cech. Jednocześnie po kilku dniach kampanii, nadal nie wiadomo kto stoi za atakiem, czy poza żądaniem okupu był jeszcze inny ukryty motyw tego działania, lub czy cała sprawa jest efektem ubocznym innego działania.
Atak pokazuje problem proliferacji narzędzi do hakingu i wpływ działań rządowych na biznes i społeczeństwo. WannaCry rozprzestrzenia się przez robaka wykorzystującego kod EternalBlue / Double Pulsar, który z dużym prawdopodobnie stanowi jedno z narzędzi stosowanych przez NSA, który ujawniła w Internecie grupa o nazwie Shadow Brokers (do dziś nie ma też jednoznacznej odpowiedzi, co do tożsamości członków grupy i motywów działania). Inny problemem to ciągle rosnąca automatyzacja samych narzędzi, a także mechanizmy podziemnej gospodarki, która zapewnia komercjalizację, a tym samym ich dostępność dla osób z pieniędzmi, ale często nieposiadających wiedzy o potencjalnych skutkach ubocznych działania takiego oprogramowania.
Jednak kryterium głównym tak dużej skali infekcji jest ignorancja i brak świadomości nas samych w zakresie podstawowych elementów bezpieczeństwa. Niestety, ciągle jeszcze powszechne jest myślenie, że ataki to science fiction, dotyczą firm gdzieś daleko od nas, w USA, czy Wielkiej Brytanii a nie nas samych. Ataki były nieuniknione i spodziewajmy się więcej, brak świadomości zarządów spółek, myślenie w kategoriach, że nie mieliśmy żadnego incydentu tego typu w przeszłości to, dlaczego teraz miałoby się to wydarzyć, tzw. pudełkowe security – np. regulator zaleca system ochrony danego typu więc firma kupuje system A „z półki” i oczywiście przedstawia to jako oznakę bezpieczeństwa (chociaż system nie realizuje żadnego celu). Ulegamy też często magii norm i certyfikatów, które na samym końcu okazują się tylko papierem. Inne kwestie, to brak strategii działania, nie mówiąc już o monitorowaniu bezpieczeństwa własnej infrastruktury lub regularnym testowaniu.
Marcin Ludwiszewski
lider obszaru cyberbezpieczeństwa w Deloitte