Prijeđi na sadržaj

WannaCry

Izvor: Wikipedija
WannaCry
Druga imenaWannaCrypt (Vona kript),
WanaCrypt0r (Vona kript 0r),
Wanna Decryptor (Vona dekriptor),
WCRY (Dabl‍ju kraj)
Datummaj 2017.
Lokacijaširom svijeta
Tipsajber napad
Temaransomver koji enkriptuje hard disk i traži 300—600 $
UzrokEternalBlue eksploit (NSA)
UčesniciŠedou brokers
(engleski: The Shadow Brokers, TSB)
Ishodviše od 200.000 žrtava i preko 230.000 zaraženih računara[1][2]

WannaCry (tkđ. WannaCrypt,[3] WanaCrypt0r 2.0,[4][5] Wanna Decryptor[6]) ransomver je program koji napada Microsoft Windows.[7] U petak, 12. maja 2017. godine, desio se veliki sajber napad; sa preko 230.000 zaraženih računara u 150 zemalja; hakeri su tražili plaćanje u kriptovaluti bitkojn na 28 jezika.[8] Napad se širio na više načina, uključujući fišing imejlova[9] i preko nepečovanih sistema kao računarski crv. Evropol je opisao napad kao bez presedana po obimu.[10]

U napadu su stradali Telefonika i još nekoliko velikih kompanija u Španiji, te neki dijelovi britanske Nacionalne zdravstvene službe (NHS),[11] Fedeks, Nemačke železnice i LATAM erlajns.[12][13][14][15] Druge mete u najmanje 99 zemalja su takođe napadnute otprilike u isto vrijeme.[16][17]

WannaCry koristi EternalBlue eksploit, koji je razvila američka Nacionalna sigurnosna agencija (NSA),[18][19] da bi napao računare koji koriste operativne sisteme Majkrosoft vindous.[5][20] Iako je 14. marta 2017. izdat peč za sprečavanje osnovne ranjivosti za podržane sisteme (Vindous vista i kasniji operativni sistemi),[21] zakašnjenja u primjeni sigurnosnih apdejta i nedostatak podrške Majkrosofta za starije verzije Vindousa mogu da budu razlozi što je mnogo korisnika i dalje ugroženo.[22] Zbog obima napada, da bi se riješio problem nepodržanih sistema Vindous i u naporu da se zaustavi širenje ransomvera, Majkrosoft je poduzeo neobičan korak i izdao apdejte za sve starije nepodržane operativne sisteme — od Vindousa XP pa nadalje.[3][23]

Nedugo nakon što je napad počeo, istraživač je pronašao efektivan kil svič, kojim su sprečene mnoge infekcije i omogućeno više vremena za pečovanje sistema. Ovime je uveliko usporeno širenje. Kasnije je objavljeno da su detektovane nove verzije koje nemaju kil svič.[24][25][26] Stručnjaci za računarsku bezbjednost takođe upozoravaju na drugi talas napada zbog takvih varijanti, pogotovo na početku radne nedjelje.[24][25][27][28]

Pozadina

[uredi | uredi kod]

Navodnog infekcijskog vektora, EternalBlue, objavila je 14. aprila 2017. grupa hakera pod nazivom Šedou brokers (engleski: The Shadow Brokers).[29][30][31] uporedo s drugim alatima koje su navodno dobili curenjem informacija iz Ekvejšon grupa (engleski: Equation Group); za ovu grupu se smatra je dio Nacionalne sigurnosne agencije (NSA) Sjedinjenih Američkih Država.[32][33]

EternalBlue eksploatiše sigurnosni propust MS17-010[21] Majkrosoftove realizacije protokola SMB. Majkrosoft je skoro dva mjeseca ranije, 14. marta 2017, objavio savjetodavni izvještaj u kojem je, uporedo sa sigurnosnim pečom kojim je uklonjen propust koji omogućava rad ovog softvera, propust nazvao „kritičnim”.[21]

Napad

[uredi | uredi kod]
Prvobitno zaražene zemlje[10]

WannaCry je 12. maja 2017. počeo zaražavati računare širom svijeta.[34] Nakon što dobije pristup računarima, softver šifrira hard disk računara[35][36] i potom pokušava eksploatisati propust SMB da bi zarazio druge računare na internetu[37] ili na lokalnoj mreži.[38]

Sigurnosni previd u Vindousu nije propust nultog dana, već ga je Majkrosoft pečovao još 14. marta 2017.[21] Pečovan je protokol Server Message Block (SMB) koji koristi Vindous.[39] Majkrosoft je takođe apelirao da se prestane koristiti stari protokol SMB1 i da se umjesto njega koristi novi, sigurniji protokol SMB3.[40] Pogođene su organizacije koje nisu instalirale ovaj sigurnosni peč i zasad nema dokaza koji bi upućivali na to da su programeri ovog štetnog softvera namjerno ciljali ijednu od pogođenih organizacija.[39] Bilo koja organizacija koja i dalje koristi zastarjeli sistem Vindous XP[41] bila je naročito u opasnosti od infekcije budući da Majkrosoft nije bio objavio nijedan sigurnosni peč za ovu verziju sistema od aprila 2014,[42] ali je ipak napravio čudan izuzetak i objavio apdejte za sve starije nepodržane operativne sisteme — od Vindousa XP pa nadalje.[3][23]

Uticaj

[uredi | uredi kod]

Napad je uticao na mnoge bolnice Nacionalne zdravstvene službe (NHS) u Ujedinjenom Kraljevstvu.[43] Neke bolnice NHS morale su odbiti nekritične hitne slučajeve 12. maja, dok je vozačima pojedinih ambulantnih kola naređeno da izbjegavaju određene bolnice.[13][44] Još 2016. prijavljeno je da nekoliko hiljada računara u 42 zasebne ustanove NHS koristi Vindous XP.[41] Zaraženo je preko 1000 računara Ministarstva unutrašnjih poslova, Ministarstva za vanredne situacije te telekomunikacijske kompanije Megafon u Rusiji.[45]

Pogođene organizacije

[uredi | uredi kod]

Odgovor

[uredi | uredi kod]
  • U zlonamjerni softver ugrađena je funkcija za prisilno zaustavljanje rada (kil svič), što je omogućilo zaustavljanje prvobitne zaraze,[69] ali su u međuvremenu kreirane i varijanate bez kil sviča.[70]
  • Dana 13. maja 2017, objavljeno je da je Majkrosoft poduzeo poprilično neobičan korak obezbjeđivanjem sigurnosnog peča za Vindous XP, Vindous 8 i Vindous Server 2003, budući da je kompanija odavno prestala podržavati ove verzije.[3][71]

Reakcije

[uredi | uredi kod]
  • Britanska premijerka Tereza Mej izjavila je da se ovaj sajber napad, za koji se smatralo da je za cilj imao samo bolnice u Ujedinjenom Kraljevstvu, uveliko proširio i da sada obuhvata desetke zemalja.[72]

Povezano

[uredi | uredi kod]

Reference

[uredi | uredi kod]
  1. „Ransomware attack still looms in Australia as Government warns WannaCry threat not over”. Ransomware attack still looms in Australia as Government warns WannaCry threat not over. Pristupljeno 15. 5. 2017. 
  2. Cameron, Dell. „Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It”. Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It. Arhivirano iz originala na datum 2019-04-09. Pristupljeno 13. 5. 2017. 
  3. 3,0 3,1 3,2 3,3 MSRC Team. „Customer Guidance for WannaCrypt attacks”. Customer Guidance for WannaCrypt attacks. Microsoft. Pristupljeno 13. 5. 2017. 
  4. Kroustek, Jakub (12. 5. 2017). „Avast reports on WanaCrypt0r 2.0 ransomware that infected NHS and Telefonica.”. Avast reports on WanaCrypt0r 2.0 ransomware that infected NHS and Telefonica.. Avast Software, Inc. 
  5. 5,0 5,1 Fox-Brewster, Thomas. „An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak”. An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak. Pristupljeno 12. 5. 2017. 
  6. Woollaston, Victoria. „Wanna Decryptor: what is the 'atom bomb of ransomware' behind the NHS attack?”. Wanna Decryptor: what is the 'atom bomb of ransomware' behind the NHS attack?. Pristupljeno 13. 5. 2017. 
  7. The GenX Times Team. „WannaCry Ransomware attack computers worldwide, using NSA exploit codenamed Eternalblue”. WannaCry Ransomware attack computers worldwide, using NSA exploit codenamed Eternalblue. Pristupljeno 13. 5. 2017. 
  8. „WannaCry Infecting More Than 230,000 Computers In 99 Countries”. WannaCry Infecting More Than 230,000 Computers In 99 Countries. Eyerys. 12. 5. 2017. 
  9. Gayle, Damien; Topping, Alexandra; Sample, Ian; Marsh, Sarah; Dodd, Vikram (13. 5. 2017). „NHS seeks to recover from global cyber-attack as security concerns resurface”. NHS seeks to recover from global cyber-attack as security concerns resurface. Pristupljeno 14. 5. 2017. »One NHS worker, who asked to remain anonymous, said the attack began at about 12.30pm and appeared to have been the result of phishing. 'The computers were affected after someone opened an email attachment.'« 
  10. 10,0 10,1 „Cyber-attack: Europol says it was unprecedented in scale”. Cyber-attack: Europol says it was unprecedented in scale. 13. 5. 2017. Pristupljeno 13. 5. 2017. 
  11. 11,0 11,1 11,2 Marsh, Sarah (12. 5. 2017). „The NHS trusts hit by malware – full list”. The NHS trusts hit by malware – full list. London. Pristupljeno 12. 5. 2017. 
  12. S.A.P., El Mercurio (12. 5. 2017). „Hackeo mundial a empresas: Confirman 150 detecciones de virus en Chile y Gobierno monitorea efectos”. Hackeo mundial a empresas: Confirman 150 detecciones de virus en Chile y Gobierno monitorea efectos. Pristupljeno 14. 5. 2017. 
  13. 13,0 13,1 13,2 13,3 „NHS cyber-attack: GPs and hospitals hit by ransomware”. NHS cyber-attack: GPs and hospitals hit by ransomware. 12. 5. 2017. Pristupljeno 12. 5. 2017. 
  14. Hern, Alex; Gibbs, Samuel (12. 5. 2017). „What is 'WanaCrypt0r 2.0' ransomware and why is it attacking the NHS?”. What is 'WanaCrypt0r 2.0' ransomware and why is it attacking the NHS?. London. ISSN 0261-3077. Pristupljeno 12. 5. 2017. 
  15. „Statement on reported NHS cyber attack”. Statement on reported NHS cyber attack. digital.nhs.uk. Pristupljeno 12. 5. 2017. 
  16. Cox, Joseph (12. 5. 2017.). „A Massive Ransomware 'Explosion' Is Hitting Targets All Over the World”. A Massive Ransomware 'Explosion' Is Hitting Targets All Over the World. Motherboard. Arhivirano iz originala na datum 2017-05-18. Pristupljeno 12. 5. 2017. 
  17. 17,0 17,1 Larson, Selena (12. 5. 2017). „Massive ransomware attack hits 99 countries”. Massive ransomware attack hits 99 countries. Pristupljeno 12. 5. 2017. 
  18. „NHS cyber attack: Edward Snowden says NSA should have prevented cyber attack”. NHS cyber attack: Edward Snowden says NSA should have prevented cyber attack. The Independent. Pristupljeno 13. 5. 2017. 
  19. „NHS cyber attack: Everything you need to know about 'biggest ransomware' offensive in history”. NHS cyber attack: Everything you need to know about 'biggest ransomware' offensive in history. The Daily Telegraph. Pristupljeno 13. 5. 2017. 
  20. Larson, Selena (12. 5. 2017). „Massive ransomware attack hits 74 countries”. Massive ransomware attack hits 74 countries. CNNMoney. Pristupljeno 12. 5. 2017. 
  21. 21,0 21,1 21,2 21,3 „Microsoft Security Bulletin MS17-010 – Critical”. Microsoft Security Bulletin MS17-010 – Critical. technet.microsoft.com. Pristupljeno 13. 5. 2017. 
  22. Leyden, John (12. 5. 2017). „WanaCrypt ransomware snatches NSA exploit, fscks over Telefónica, other orgs in Spain”. WanaCrypt ransomware snatches NSA exploit, fscks over Telefónica, other orgs in Spain. tweet_btn(). Pristupljeno 12. 5. 2017. 
  23. 23,0 23,1 Surur (13. 5. 2017). „Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003”. Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003. Pristupljeno 13. 5. 2017. 
  24. 24,0 24,1 Khandelwal, Swati. „It’s Not Over, WannaCry 2.0 Ransomware Just Arrived With No 'Kill-Switch'”. It’s Not Over, WannaCry 2.0 Ransomware Just Arrived With No 'Kill-Switch'. Pristupljeno 14. 5. 2017. 
  25. 25,0 25,1 „Erpressungssoftware: Experten fürchten neue "WannaCry"-Attacken – SPIEGEL ONLINE – Netzwelt”. Erpressungssoftware: Experten fürchten neue "WannaCry"-Attacken – SPIEGEL ONLINE – Netzwelt. SPIEGEL ONLINE. Pristupljeno 14. 5. 2017. 
  26. Shieber, Jonathan. „Companies, governments brace for a second round of cyberattacks in WannaCry’s wake”. Companies, governments brace for a second round of cyberattacks in WannaCry’s wake. TechCrunch. Pristupljeno 14. 5. 2017. 
  27. Chan, Sewell; Scott, Mark (14. 5. 2017). „Cyberattack’s Impact Could Worsen in ‘Second Wave’ of Ransomware”. Cyberattack’s Impact Could Worsen in ‘Second Wave’ of Ransomware. The New York Times. Pristupljeno 14. 5. 2017. 
  28. „Warning: Blockbuster 'WannaCry' malware could just be getting started”. Warning: Blockbuster 'WannaCry' malware could just be getting started. NBC News. Pristupljeno 14. 5. 2017. 
  29. Menn, Joseph (17. 2. 2015). „Russian researchers expose breakthrough U.S. spying program”. Russian researchers expose breakthrough U.S. spying program. Reuters. Arhivirano iz originala na datum 2015-09-24. Pristupljeno 24. 11. 2015. 
  30. „NSA-leaking Shadow Brokers just dumped its most damaging release yet”. NSA-leaking Shadow Brokers just dumped its most damaging release yet. Pristupljeno 15. 4. 2017. 
  31. „misterch0c”. misterch0c. GitHub. Pristupljeno 15. 4. 2017. 
  32. Fox-Brewster, Thomas (16. 2. 2015). „Equation = NSA? Researchers Uncloak Huge 'American Cyber Arsenal'”. Equation = NSA? Researchers Uncloak Huge 'American Cyber Arsenal'. Forbes. Pristupljeno 24. 11. 2015. 
  33. „Latest Shadow Brokers dump — owning SWIFT Alliance Access, Cisco and Windows”. Latest Shadow Brokers dump — owning SWIFT Alliance Access, Cisco and Windows. Medium. 14. 4. 2017. Pristupljeno 15. 4. 2017. 
  34. Newman, Lily Hay. „The Ransomware Meltdown Experts Warned About Is Here”. The Ransomware Meltdown Experts Warned About Is Here. Wired.com. Pristupljeno 13. 5. 2017. 
  35. „Russian-linked cyber gang blamed for NHS computer hack using bug stolen from US spy agency”. Russian-linked cyber gang blamed for NHS computer hack using bug stolen from US spy agency. Pristupljeno 12. 5. 2017. 
  36. Bilefsky, Dan; Perlroth, Nicole (12. 5. 2017). „Hackers Hit Dozens of Countries Exploiting Stolen N.S.A. Tool”. Hackers Hit Dozens of Countries Exploiting Stolen N.S.A. Tool. ISSN 0362-4331. Pristupljeno 12. 5. 2017. 
  37. Clark, Zammis. „The worm that spreads WanaCrypt0r”. The worm that spreads WanaCrypt0r. malwarebytes.com. Pristupljeno 13. 5. 2017. 
  38. Samani, Raj. „An Analysis of the WANNACRY Ransomware outbreak”. An Analysis of the WANNACRY Ransomware outbreak. McAfee. Pristupljeno 13. 5. 2017. 
  39. 39,0 39,1 „WannaCry Ransomware Attack Hits Victims With Microsoft SMB Exploit”. WannaCry Ransomware Attack Hits Victims With Microsoft SMB Exploit. Pristupljeno 13. 5. 2017. 
  40. „The Deprecation of SMB1 – You should be planning to get rid of this old SMB dialect”. The Deprecation of SMB1 – You should be planning to get rid of this old SMB dialect. Pristupljeno 13. 5. 2017. 
  41. 41,0 41,1 „NHS Hospitals Are Running Thousands of Computers on Unsupported Windows XP”. NHS Hospitals Are Running Thousands of Computers on Unsupported Windows XP. Motherboard. Pristupljeno 13. 5. 2017. 
  42. „Windows XP End of Support”. Windows XP End of Support. www.microsoft.com. Pristupljeno 13. 5. 2017. 
  43. „Global cyberattack strikes dozens of countries, cripples U.K. hospitals”. Global cyberattack strikes dozens of countries, cripples U.K. hospitals. cbsnews.com. Pristupljeno 13. 5. 2017. 
  44. Wong, Julia Carrie; Solon, Olivia (12. 5. 2017). „Massive ransomware cyber-attack hits 74 countries around the world”. Massive ransomware cyber-attack hits 74 countries around the world. Pristupljeno 12. 5. 2017. 
  45. „Ransomware virus plagues 75k computers across 99 countries”. Ransomware virus plagues 75k computers across 99 countries. Pristupljeno 12. 5. 2017. 
  46. 46,0 46,1 „WannaCry no Brasil e no mundo”. WannaCry no Brasil e no mundo. O Povo. 13. 5. 2017. Pristupljeno 13. 5. 2017. 
  47. „LATAM Airlines también está alerta por ataque informático”. LATAM Airlines también está alerta por ataque informático. Fayerwayer. Pristupljeno 13. 5. 2017. 
  48. „France’s Renault hit in worldwide ‘ransomware’ cyber attack”. France’s Renault hit in worldwide ‘ransomware’ cyber attack. france24.com. 13. 5. 2017. Pristupljeno 13. 5. 2017. 
  49. „Parkeerbedrijf Q-Park getroffen door ransomware-aanval”. Parkeerbedrijf Q-Park getroffen door ransomware-aanval. Nu.nl. 13. 5. 2017. 
  50. „Andhra police computers hit by cyberattack”. Andhra police computers hit by cyberattack. Times of India. 13. 5. 2017. Pristupljeno 13. 5. 2017. 
  51. 51,0 51,1 51,2 51,3 „Global cyber attack: A look at some prominent victims”. Global cyber attack: A look at some prominent victims. elperiodico.com. 13. 5. 2017. Pristupljeno 14. 5. 2017. 
  52. „Il virus Wannacry arrivato a Milano: colpiti computer dell'università Bicocca”. Il virus Wannacry arrivato a Milano: colpiti computer dell'università Bicocca. repubblica.it. 12. 5. 2017. Pristupljeno 13. 5. 2017. 
  53. „Ontario health ministry on high alert amid global cyberattack – Toronto Star”. Ontario health ministry on high alert amid global cyberattack – Toronto Star. thestar.com. 
  54. „Bank of China ATMs Go Dark As Ransomware Attack Cripples China | Zero Hedge”. Bank of China ATMs Go Dark As Ransomware Attack Cripples China | Zero Hedge. www.zerohedge.com. 13. 5. 2017. Pristupljeno 14. 5. 2017. 
  55. „Instituto Nacional de Salud, entre víctimas de ciberataque mundial”. Instituto Nacional de Salud, entre víctimas de ciberataque mundial. 13. 5. 2017. 
  56. Balogh, Csaba (12. 5. 2017). „Ideért a baj: Magyarországra is elért az óriási kibertámadás”. Ideért a baj: Magyarországra is elért az óriási kibertámadás. Pristupljeno 13. 5. 2017. 
  57. „Weltweite Cyberattacke trifft Computer der Deutschen Bahn”. Weltweite Cyberattacke trifft Computer der Deutschen Bahn. faz.net. 13. 5. 2017. Pristupljeno 13. 5. 2017. 
  58. „PT Portugal alvo de ataque informático internacional”. PT Portugal alvo de ataque informático internacional. Observador. 12. 5. 2017. Pristupljeno 13. 5. 2017. 
  59. „Atacul cibernetic global a afectat și Uzina Dacia de la Mioveni. Renault a anunțat că a oprit producția și în Franța”. Atacul cibernetic global a afectat și Uzina Dacia de la Mioveni. Renault a anunțat că a oprit producția și în Franța. 13. 5. 2017. 
  60. „UPDATE. Atac cibernetic la MAE. Cine sunt hackerii de elită care au falsificat o adresă NATO”. UPDATE. Atac cibernetic la MAE. Cine sunt hackerii de elită care au falsificat o adresă NATO. 12. 5. 2017. 
  61. „Massive cyber attack creates chaos around the world”. Massive cyber attack creates chaos around the world. news.com.au. Pristupljeno 13. 5. 2017. 
  62. „Researcher 'accidentally' stops spread of unprecedented global cyberattack”. Researcher 'accidentally' stops spread of unprecedented global cyberattack. ABC News. Pristupljeno 13. 5. 2017. 
  63. „Kompьюterы RŽD podverglisь hakerskoй atake i zaraženы virusom”. Kompьюterы RŽD podverglisь hakerskoй atake i zaraženы virusom. Radio Liberty. Pristupljeno 13. 5. 2017. 
  64. Amjad Shacker [AmjadShacker] (14. 5. 2017). „⁥⁥”. ⁥⁥ (tvit). 
  65. „What is Wannacry and how can it be stopped?”. What is Wannacry and how can it be stopped?. Ft.com. 12. 5. 2017. Pristupljeno 13. 5. 2017. 
  66. 66,0 66,1 „Un ataque informático masivo con 'ransomware' afecta a medio mundo”. Un ataque informático masivo con 'ransomware' afecta a medio mundo. elperiodico.com. 12. 5. 2017. Pristupljeno 13. 5. 2017. 
  67. „เซิร์ฟเวอร์เกม Blade & Soul ของ Garena ประเทศไทยถูก WannaCrypt โจมตี”. เซิร์ฟเวอร์เกม Blade & Soul ของ Garena ประเทศไทยถูก WannaCrypt โจมตี. blognone.com. 13. 5. 2017. Pristupljeno 14. 5. 2017. 
  68. 68,0 68,1 „"Cyber-attack that crippled NHS systems hits Nissan car factory in Sunderland and Renault in France"”. "Cyber-attack that crippled NHS systems hits Nissan car factory in Sunderland and Renault in France". The Independent. 13. 5. 2017. Pristupljeno 13. 5. 2017. 
  69. Solon, Olivia (13. 5. 2017). „'Accidental hero' finds kill switch to stop spread of ransomware cyber-attack”. 'Accidental hero' finds kill switch to stop spread of ransomware cyber-attack. Pristupljeno 13. 5. 2017. 
  70. Kan, Micael. „A 'kill switch' is slowing the spread of WannaCry ransomware”. A 'kill switch' is slowing the spread of WannaCry ransomware. PC World. Pristupljeno 13. 5. 2017. 
  71. Surur (13. 5. 2017). „Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003”. Microsoft release Wannacrypt patch for unsupported Windows XP, Windows 8 and Windows Server 2003. Pristupljeno 13. 5. 2017. 
  72. Smith-Spark, Laura; Veselinovic, Milena; McGann, Hilary. „UK prime minister: Ransomware attack is global”. UK prime minister: Ransomware attack is global. CNN. Pristupljeno 13. 5. 2017. 

Vanjske veze

[uredi | uredi kod]