Ήταν θέμα λίγων εβδομάδων για να εξαπολύσει επίθεση με "εργαλεία" που πιστεύεται ότι ανήκαν στην Εθνική Υπηρεσία Ασφάλειας (NSA), μια σκοτεινή ομάδα hackers, που αυτοαποκαλούνται Shadow Brokers. Όμως τώρα γίνεται γνωστό ότι ένα από αυτά τα εργαλεία που διέρρευσαν από την NSA και ονομάζεται EternalBlue, εκμεταλλεύεται αδυναμίες των Windows και αποτελεί μια από τις μεθόδους που χρησιμοποιούν οι κακοποιοί για την ταχύτατη παγκόσμια μετάδοση ενός κακόβουλου λογισμικού με το όνομα WannaCry, που "αιχμαλωτίζει" υπολογιστές και ζητά λύτρα.
Ο ιός χτύπησε σκληρά νοσοκομεία στο Ηνωμένο Βασίλειο, όπου σύμφωνα με πολλές πηγές έγινε αιτία να κλείσουν ολόκληρες πτέρυγες σε αυτά, να μην γίνονται δεκτοί ασθενείς ή ακόμα σε αρκετές περιπτώσεις το βρετανικό σύστημα υγείας (NHS) λόγω των δυσλειτουργιών έδωσε άδεια στους εργαζομένους του. Το Barts Health ένα κεντρικό νοσηλευτικό ίδρυμα του Λονδίνου, συμβούλευσε τους ασθενείς να αναζητήσουν βοήθεια αλλού, ενώ εξέτρεψε τα ασθενοφόρα του σε άλλα νοσοκομεία. Την ίδια ώρα και άλλα νοσηλευτικά ιδρύματα του NHS δήλωσαν αδυναμία παροχής αρκετών υπηρεσιών και υποδοχής ασθενών. Στο Κόλτσεστερ στην κομητεία του Έσεξ, το τοπικό νοσοκομείο ανέστειλε τις περισσότερες δραστηριότητες του και δεχόταν μόνο τα πολύ βαριά περιστατικά που έχρηζαν άμεσης αντιμετώπισης.
Από την πλευρά του το NHS επιβεβαίωσε ότι 16 δομές του χτυπήθηκαν από τον ιό WannaCry.
Όμως η επιδημία του ιού WannaCry χτύπησε συστήματα και σε πολλές άλλες χώρες. Ο Jakub Kroustek, ερευνητής ασφαλείας για τις AVG και Avast, δήλωσε ότι μόλις σε μια ημέρα καταγράφηκαν 36.000 μολύνσεις υπολογιστών. Λίγο αργότερα η ρωσική εταιρία διαδικτυακής ασφάλειας Kaspersky, ανακοίνωσε 45.000 χτυπήματα σε 74 χώρες. Σύμφωνα με την ομάδα Malware Hunter, ο WannaCry διαδίδεται με "κολασμένη ταχύτητα". Σύμφωνα με τα στοιχεία της, η Ρωσία είναι η χώρα που έχει χτυπηθεί περισσότερο, ενώ πολύ σκληρά δοκιμάζεται και η Ισπανία, με τον τηλεπικοινωνιακό γίγαντα της Telefonica να αναφέρεται ότι έχει πέσει θύμα της επίθεσης.
Όπως αναφέρουν τα στοιχεία μιας άλλης, ανεξάρτητης ερευνητικής ομάδας διαδικτυακής ασφάλειας, της MalwareTech, έχει χτυπηθεί και ένας ικανός αριθμός επιχειρήσεων και οργανισμών στις ΗΠΑ. Σύμφωνα με την έρευνα της οι μολύνσεις στις ΗΠΑ φτάνουν τις 1.600, αριθμός πάντως μικρότερος από τις 11.200 στη Ρωσία και τις 6.500 στη Κίνα.
Οι hacker ζητάνε από τα θύματα τους να πληρώσουν ως και 300 δολάρια για να απεγκαταστήσουν το κακόβουλο λογισμικό από τους υπολογιστές, διαφορετικά όλα τα αρχεία που περιέχουν θα παραμείνουν κλειδωμένα, καθιστώντας, πρακτικά, τους υπολογιστές άχρηστους.
Η FedEx επιβεβαίωσε στο Forbes ότι ήταν μια από τις εταιρίες που έγιναν στόχος της επίθεσης επί αμερικανικού εδάφους: "Όπως αρκετές άλλες εταιρίες, η FedEx αντιμετωπίζει προβλήματα με κάποια συστήματα που τρέχουν Windows λόγω του κακόβουλου λογισμικού. Λαμβάνουμε μέτρα αποκατάστασης το ταχύτερο δυνατό. Εκφράζουμε τη λύπη μας για τα όποια προβλήματα δημιουργηθούν στους πελάτες".
Ο κίνδυνος του EternalBlue
Η χρήση από πλευράς της NSA του εργαλείου παρακολούθησης EternalBlue, επιβεβαιώθηκε από έναν ανεξάρτητο ερευνητή κακόβουλου λογισμικού, γνωστό ως Kafeine.
Μιλώντας στο Forbes, o Kafeine δήλωσε ότι δεν ήταν σίγουρος ότι η εκμετάλλευση του κενού ασφαλείας ήταν η πρωταρχική μέθοδος μόλυνσης του κακόβουλου λογισμικού, αλλά πιστεύει μετά βεβαιότητας ότι υπήρξε εκμετάλλευση του ως έναν βαθμό. Σε άλλη περίπτωση, ο Βρετανός ερευνητής ασφαλείας, Kevin Beaumont, σε μήνυμα του στο twitter ανέφερε ότι ο WannaCry χρησιμοποιούσε το εργαλείο της NSA, το οποίο εκμεταλλευόταν το τρωτό σημείο των Windows- που είναι γνωστό ως MS17-010. Στο τρωτό σημείο των Widows εστιάζουν και Ισπανοί ερευνητές ασφαλείας για την εξάπλωση του ιού- με την Microsoft πλέον να έχει "μπάλωσει" το κενό ασφαλείας.
Όπως είχε αναφέρει στο παρελθόν το Forbes, Ρώσοι εγκληματίες του κυβερνοχώρου είχαν εξετάσει την προοπτική για μια επίθεση με το λογισμικό που είχαν καταφέρει να υποκλέψουν οι Shadow Brokers. Αυτό συμπεριλάμβανε και την πιθανή χρήση του EternalBlue.
"Το MS17-010 ήταν ο καλύτερος υποψήφιος για αυτή την επίθεση με σκοπό τα λύτρα", δήλωσε ο Matthew Hickey, συνιδρυτής της βρετανικής εταιρίας διαδικτυακής ασφάλειας Hacker House. Συνέκρινε δε αυτή την επίθεση, με το μαζικό χτύπημα του ιού Conficker, που είχε μολύνει με μεγάλη ταχύτητα υπολογιστές σε όλο τον πλανήτη.
Αυτό που προκαλεί αναστάτωση είναι το γεγονός ότι αν τελικά χρησιμοποιήθηκε το MS17-010 ως πύλη για τη επίθεση, σημαίνει ότι παρότι το πρόβλημα είχε γνωστοποιηθεί και η Microsoft το έφτιαξε τον Μάρτιο, πολλοί δεν είχαν κάνει την απαραίτητη αναβάθμιση. "Είναι έκπληξη ότι ο κόσμος δεν κάνει τις αναβαθμίσεις; Όχι πράγματι", προσθέτει ο Hickey. "Το πρόβλημα του MS17-010 θα χρησιμοποιηθεί ευρύτατα για τέτοιους λόγους. Και πραγματικά είμαι έκπληκτος που δεν συνέβη νωρίτερα", συμπλήρωσε.
"Το συμβάν δείχνει ανάγλυφα τι μπορεί να συμβεί αν τα εργαλεία της NSA δημοσιοποιηθούν. Επανειλημμένος έχω τονίσει ότι δεν πρέπει να υποβαθμίζουμε τη σημασία αυτών των εργαλείων. Είναι κατηγορίας όπλου και είναι διαθέσιμα για εύκολη χρήση. Επιθέσεις σαν αυτή στο NHS αποτελούν έναν εύκολο τρόπο για κεφαλαιοποιούν οι εγκληματίες τη δράση τους", αναφέρει ο Bρετανός ειδικός ασφαλείας.
Κακόβουλο λογισμικό λύτρων κατηγορίας όπλου μαζικής καταστροφής
Σύμφωνα με τον Adam Meyers, αντιπρόεδρο της CrowdStrike's, η αρχική διάδοση του WannaCry έγινε μέσω spam mail, που αφορούσαν ψεύτικα τιμολόγια, προφορές εργασίας και διάφορα σχετικά που αποστέλλονται σε τυχαίες διευθύνσεις ηλεκτρονικού ταχυδρομείου. Μέσα σε αυτά τα υπήρχε ένα αρχείο .zip και από τη στιγμή που κάποιος το κλίκαρε, μολυνόταν ο υπολογιστής με τον ιό WannaCry.
Όμως η πιο ανησυχητική παράμετρος του WannaCry, είναι η χρήση του EternalBlue ως "σκουλήκι". "Είναι ένα όπλο μαζικής καταστροφής στον τομέα του κακόβουλου λογισμικού που ζητά λύτρα. Από την στιγμή που θα εγκατασταθεί σε έναν υπολογιστή που δεν έχει την αναβάθμιση ασφαλείας, διαδίδεται ταχύτατα", δήλωσε στο Forbes ο Meyers. "Πηγαίνει σε οικονομικές εταιρίες, σε ενεργειακές εταιρίες, στο σύστημα υγείας. Επεκτείνεται παντού".
Με δεδομένο ότι το κακόβουλο λογισμικό ψάχνει σε όλο το internet για ευάλωτους υπολογιστές και τουλάχιστον 150.000 χτυπήθηκαν από τις αρχές του μήνα λόγω του τρωτού σημείου των Windows, η μόλυνση από τον WannaCry αναμένεται να λάβει μεγαλύτερες διαστάσεις.
Του Thomas Fox-Brewster
Δεν υπάρχουν σχόλια
Δημοσίευση σχολίου