Komentarze ekspertów

Od wirusa NSA do ransomware: WannaCry zerwał się ze smyczy

Ray Pompon | F5 Networks
Od wirusa NSA do ransomware: WannaCry zerwał się ze smyczy
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Ponad dekadę temu, pionier badań nad wirusami komputerowymi dr Peter Tippett stworzył pojęcie "katastrofy wirusowej". Oznacza ono moment, w którym ponad 25 urządzeń w sieci zostaje zainfekowanych, co powoduje całkowite wyłączenie sieci. WannaCry, nowy wirus typu ransomware, który do czasu zapłacenia okupu blokuje wszystkie pliki na zainfekowanym komputerze, najwyraźniej doprowadził do stanu "katastrofy wirusowej" całe sekcje krytycznej infrastruktury. Szpitale w Wielkiej Brytanii jako pierwsze odczuły skutki ataku. Istnieje ryzyko, że z powodu ich zamknięcia zdrowie pacjentów zostało zagrożone. Jeżeli ktoś umrze z tego powodu, będziemy mieli do czynienia z morderstwem za pomocą szkodliwego oprogramowania. To zmieni zasady gry w zakresie bezpieczeństwa.

Wirus korzysta ze stworzonego przez amerykańską Agencję Bezpieczeństwa Narodowego (NSA) i wykorzystuje błędy oprogramowania (ang. exploit) kodu MS17-010, znanego także jako „EternalBlue”. Upubliczniony przez grupę hakerów Shadow Brokers program posłużył do przebicia się do poszczególnych sieci. Wirus atakował służący do wymiany plików protokół Server Message Block (SMB), który często jest otwarty, co przyczyniło się do szybkiego rozprzestrzeniania się ataku.

Jak pokazały przypadki wirusa ransomware Cerberus i ataku na framework Apache Struts, cyberprzestępcy nie tracą czasu i cały czas udoskonalają swoje niszczycielskie programy. Gdy tylko znajdzie się nowa luka, można się spodziewać znanego już wcześniej ataku, w którym wykorzystany zostanie nowy sposób włamania.

Oczywistą radą jest aktualizowanie i łatanie oprogramowania, ale większość instytucji doskonale o tym wie i prawdopodobnie pracowały już nad usunięciem luk. Więcej czasu na reakcję mogą dać dodatkowe warstwy ochronne, które zablokują zarówno ruch z internetu, jak i ten wewnątrz sieci. Pomóc może blokowanie lub ograniczenie portów TCP 22, 23, 3389, 139 i 145 oraz UDP 137 i 138. Warto się również upewnić, czy kopie zapasowe są dokładne i kompletne.

Sprawa szybko się rozwija i w ciągu najbliższych dni prawdopodobnie usłyszymy więcej interesujących i strasznych rzeczy. Oby wszyscy poszkodowani przetrwali najgorsze i wyszli z tej sytuacji silniejsi.

Ray Pompon

Principal Threat Research Evangelist

F5 Networks