Ransomware o nazwie WannaCry od początku wykrycia w ostatni piątek rozprzestrzenił się na ponad 200 tys. komputerów w ponad 150 krajach na całym świecie (informacja Szefa Europolu). 

Dotychczas atak potwierdzono właściwie w każdym sektorze gospodarki: w bankach, firmach telekomunikacyjnych – Telefonica w Hiszpanii, energetycznych, a także w szpitalach, środkach transportu, mediach oraz urzędach państwowych. Informacja o wymuszeniu okupu pojawiła się też w bankomatach, stacjach benzynowych czy sklepach. Tak zmasowany atak wywołał paraliż w wielu firmach, które utraciły dostęp do swoich danych, systemów i sieci.

Zaistniałą sytuację komentuje Marcin Ludwiszewski, lider obszaru cyberbezpieczeństwa w Deloitte:

Po wstępnym sukcesie firm bezpieczeństwa i badaczy, którzy zaczęli szukać możliwości ochrony przed atakiem i jeden z badaczy znalazł wyłącznik awaryjny – nazwę domeny, do której połączenie chroniło przed infekcją, powstały kolejne warianty oprogramowania nieposiadające tych cech. Jednocześnie po kilku dniach kampanii, nadal nie wiadomo kto stoi za atakiem, czy poza żądaniem okupu był jeszcze inny ukryty motyw tego działania, lub czy cała sprawa jest efektem ubocznym innego działania.

Atak pokazuje problem proliferacji narzędzi do hakingu i wpływ działań rządowych na biznes i społeczeństwo. WannaCry rozprzestrzenia się przez robaka wykorzystującego kod EternalBlue / Double Pulsar, który z dużym prawdopodobnie stanowi jedno z narzędzi stosowanych przez NSA, który ujawniła w Internecie grupa o nazwie Shadow Brokers (do dziś nie ma też jednoznacznej odpowiedzi, co do tożsamości członków grupy i motywów działania). Inny problem to ciągle rosnąca automatyzacja samych narzędzi, a także mechanizmy podziemnej gospodarki, która zapewnia komercjalizację, a tym samym ich dostępność dla osób z pieniędzmi, ale często nieposiadających wiedzy o potencjalnych skutkach ubocznych działania takiego oprogramowania.

Jednak kryterium głównym tak dużej skali infekcji jest ignorancja i brak świadomości nas samych w zakresie podstawowych elementów bezpieczeństwa. Niestety, ciągle jeszcze powszechne jest myślenie, że ataki to science fiction, dotyczą firm gdzieś daleko od nas, w USA, czy Wielkiej Brytanii a nie nas samych. Ataki były nieuniknione i spodziewajmy się ich więcej, a brak świadomości zarządów spółek, myślenie w kategoriach, że nie mieliśmy żadnego incydentu tego typu w przeszłości, to dlaczego teraz miałoby się to wydarzyć, tzw. pudełkowe security – np. regulator zaleca system ochrony danego typu więc firma kupuje system A „z półki” i oczywiście przedstawia to jako oznakę bezpieczeństwa (chociaż system nie realizuje żadnego celu) – tylko temu sprzyja.

Ulegamy też często magii norm i certyfikatów, które na samym końcu okazują się jedynie papierem. Inne kwestie, to brak strategii działania, nie mówiąc już o monitorowaniu bezpieczeństwa własnej infrastruktury lub regularnym testowaniu.

Deloitte nie jest jednak jedyną firmą, której specjaliści analizują i komentują piątkowy atak. Wszystkich zainteresowanych, zachęcamy do śledzenia bloga Cisco Talos – organizacji analitycznej, która na bieżąco monitoruje światową sieć w poszukiwaniu najnowszych zagrożeń: http://blog.talosintelligence.com/2017/05/wannacry.html

ZOSTAW ODPOWIEDŹ