Probabil cel mai cunoscut atac cibernetic din istorie, WannaCry, a produs pagube semnificative la nivel mondial, reuşind în numai patru zile de activitate să afecteze sute de mii de computere din 150 de ţări şi să producă o gaură în bugetul organizaţiilor cu infrastructură critică de aproximativ 8 miliarde de dolari. Chiar şi după an de la reprezentaţia mondială a capacităţilor sale, WannaCry se situa încă în topul celor mai răspândite familii de cryptolockers, după cum reiese dintr-un raport trimestrial publicat în 2018 de către experţii Kaspersky.

96 - 200.000 - 150
Numerele de mai sus pot duce cu gândul la vreun cod maliţios sau la vreo combinaţie pentru deblocarea vreunui dispozitiv... În realitate, acestea caracterizează cel mai bine atacul ransomware WannaCry din 2017. Astfel, pe durata a patru zile (96 de ore), "epidemia" WannaCry a afectat peste 200.000 de computere din 150 de ţări. Organizaţiile care deţineau infrastructură critică au fost ţintite direct de acest virus. În urma atacurilor, mai multe spitale şi companii de producţie au fost nevoite să-şi întrerupă activitatea.

Conform specialiştilor de la Kaspersky, atacul WannaCry, "detonat" pe 12 mai 2017, a folosit exploit-uri din arsenalul
Equation Group (precum Eternal Blue), publicate de Shadow Brokers.

"Ransomware-ul WannaCry era capabil să se răspândească rapid în reţele conectate la Internet şi cele locale - doar în prima zi de atac se extinsese deja în 74 de ţări. Diferenţa esenţială faţă de majoritatea cryptor-ilor este că, în cazul WannaCry, nu este nevoie ca utilizatorul să facă vreo greşeală - să dea click pe un link sau pe o anexă de e-mail - pentru ca infectarea dispozitivului să fie declanşată. Acest lucru a fost posibil, pentru că au folosit exploit-ul EternalBlue, bazat pe o vulnerabilitate pe care Microsoft a rezolvat-o pe 14 martie 2017 cu actualizarea MS17-010. Exploit-ul le permitea să controleze de la distanţă computerele utilizatorilor care nu făcuseră încă update-ul", au explicat experţii de la Kaspersky pentru AGERPRES.

Întreg procesul de infectare s-a derulat în două etape, şi anume prin exploit-ul care avea ca scop să se răspândească, respectiv printr-u cryptor descărcat în computer după ce fusese deja infectat. Partea foarte periculoasă a atacului nu ţinea neapărat de faptul că putea fi infectat un singur computer, ci că odată ce reuşea intrarea într-un PC, WannaCry putea să viruseze întreaga reţea şi să cripteze toate computerele care făceau parte din aceasta, ceea ce a permis răspândirea rapidă.

Extensia fişierelor criptate era .WCRY, iar răscumpărarea solicitată se ridica iniţial la valoarea de 300 de dolari, iar ulterior la 600 de dolari, sub ameninţarea că după trei zile suma va creşte. Mai mult, atacatorii îi avertizau pe cei vizaţi că, după şapte zile de la cererea de răscumpărare, fişierele vor deveni imposibil de decriptat.

WannaCry, pus în dificultate de o pagină de Internet capcană
Un cercetător cunoscut sub numele Malwaretech a reuşit, însă, să suspende procesul de infectare prin înregistrarea unui domeniu cu un nume lung şi fără sens. "Într-adevăr, unele versiuni ale WannaCry s-au adresat acelui domeniu şi, dacă nu primeau un răspuns pozitiv, instalau cryptor-ul şi lansau procedura ştiută. Dacă exista un răspuns (adică, dacă domeniul era înregistrat), atunci malware-ul îşi oprea activitatea. După ce a găsit referinţa la acest domeniu în codul troianului, cercetătorul a înregistrat domeniul, suspendând astfel atacul. Ulterior, domeniul a fost accesat de zeci de mii de ori, ceea ce înseamnă că zeci de mii de computere au fost cruţate", scriu specialiştii Kaspersky.

Referitor la strategia la care a apelat Malwaretech, una dintre teoriile care circulă în breasla specialiştilor în securitate cibernetică este că acea funcţionalitate a fost încorporată în WannaCry pe post de "întrerupător", în cazul în care ceva mergea prost. O altă teorie, îmbrăţişată chiar de către cercetătorul care a înregistrat domeniul, este aceea că a fost o modalitate de a complica analiza comportamentului malware. "Mediile de testare utilizate în cercetare sunt deseori concepute astfel încât orice domeniu să dea un răspuns pozitiv; în astfel de cazuri, troianul nu s-ar manifesta în mediul de testare", potrivit acestuia.

Experţii în securitate informatică ai Bitdefender estimau că, în 2018, numărul de vulnerabilităţi dezvoltate de către agenţiile guvernamentale care ajung pe mâna răufăcătorilor va creşte, în timp ce modul în care funcţionează ransomware, ameninţare ce blochează accesul la datele utilizatorilor şi le solicită acestora bani, se va schimba fundamental. Astfel, predicţiile arătau că majoritatea ameninţărilor vor avea capacitatea de a se multiplica de la un computer la altul, fără implicarea utilizatorului, pentru a cauza pagube cât mai mari, la fel ca în cazul WannaCry.

Organizaţiile mondiale, în faţa agresiunii WannaCry
Data de 12 mai 2017 va rămâne cu siguranţă în istoria celor mai importante atacuri cibernetice petrecute la nivel european. şi nu numai. A fost ziua în care în Marea Britanie au fost blocate computere la numeroase spitale, iar în Spania un atac similar a fost semnalat la mari companii spaniole, printre care Telefonica. La scurt timp după declanşarea atacului Wannacry, specialişti din Franţa au descoperit o modalitate de a recupera gratuit cheile de criptare secrete utilizate de WannaCry, care funcţionează pe sistemele de operare Windows XP, Windows 7, Windows Vista şi Windows Server 2003 şi 2008.

"Valul de ransomware" a fost unul agresiv şi a atins organizaţii din Australia, Belgia, Franţa, Germania, Italia şi Mexic.

Nici România nu a fost ferită de acest carambol cibernetic, o serie de instituţii fiind afectate. Fenomenul Wannacry a ţinut pentru câteva zile prima pagină a mass-media. După analize efectuate de către experţii în domeniu a fost elaborată o serie de sfaturi pentru protejarea utilizatorilor, atât persoane fizice, cât şi juridice, de acest ransomware.

Datele publicate de către specialiştii Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT-RO), la patru zile de la declanşarea atacului cibernetic, au dezvăluit faptul că un număr de 326 de adrese IP publice din România au fost afectate de virusul ransomware WannaCry, pe listă găsindu-se companii ce activează în sectoarele energetic, transporturi, telecom sau auto, dar şi şase instituţii publice. La acel moment, instituţia informa că primise trei notificări de incidente cauzate de WannaCry, dintre care două de la instituţii publice şi una de la o companie privată.

La nivel mondial, pagubele produse de WannaCry sunt estimate la o sumă cuprinsă între 4 şi 8 miliarde de dolari.

Un lucru foarte interesant este că, la un an şi jumătate după izbucnirea atacurilor, în trimestrul III din 2018 WannaCry era încă în topul celor mai răspândite familii de cryptolockers, atacând peste 74.000 de utilizatori unici din toată lumea, conform datelor Kaspersky. De aici şi concluzia că, deşi trecuse multă vreme de la patch-ul publicat de Microsoft, succesul atacatorilor arată că existau încă numeroase computere care nu dăduseră curs notificărilor de a face update la sistemul de operare.

Rapid, eficient şi agresiv - astfel poate fi caracterizat WannaCry, troianul care a făcut să tremure zeci de mii de utilizatori din întreaga lume. Previziunile analiştilor din domeniu arată că, în continuare, peisajul global al ameninţărilor informatice va consta, în mare parte, din ransomware, troieni bancari şi mineri de monedă virtuală (fişiere care folosesc puterea de procesare a computerelor infectate pentru a genera sume de bani). Diferit va fi, însă, modul de acţiune al fiecărui atac, iar WannaCry a demonstrat să totul e posibil... AGERPRES/(AS - autor: Daniel Badea, editor: Mariana Nica, editor online: Simona Aruştei)