Od 12 maja 2017 roku obserwujemy jeden z najbardziej spektakularnych ataków typu ransomware (WannaCry) w historii. W ciągu pierwszych 2 dni kampanii przestępcom udało się zaszyfrować dane na ponad 200.000 komputerów na całym świecie.

Dlaczego atak był/jest tak skuteczny?

Skuteczność ataku WannaCry wynika ze sposobu dalszego rozprzestrzeniania się infekcji (tzw. Lateral Movement). Atak ten opiera się na wykorzystaniu podatności systemów operacyjnych Windows. Autorzy ataku WannaCry wykorzystali wspomnianą podatność do dalszego infekowania komputerów, czyli szyfrowania danych na kolejnych stacjach w sieci ofiary.

Etapy ataku WannaCry

  • Przestępcy wysyłali spreparowaną wiadomość e-mail ze złośliwym adresem URL (w dalszym etapie ze złośliwym załącznikiem), po otwarciu którego następowała infekcja pierwszej ofiary,
  • W kolejnym kroku komputer ofiary propagował infekcję komunikując się ze wszystkimi hostami w sieci lokalnej – bez potrzeby jakiejkolwiek interakcji z innymi użytkownikami zarażane były wszystkie komputery, na których występowała opisana podatność systemu Windows,
  • Każdy zainfekowany komputer podejmował kolejne próby dalszych infekcji. Ze względu na wykorzystanie podatności SMB komputer mógł zostać zainfekowany nawet poprzez zwykłe podłączenie do otwartej sieci WiFi, w której znajdował się już zarażony komputer.

Wystarczył jeden komputer w sieci by zainfekować wszystkie kolejne. Ten fakt doprowadził do unieruchomienia całych instytucji, fabryk czy urzędów.

W przypadku tego konkretnego ataku przestępcom chodziło o wyłudzenie pieniędzy w zamian za odszyfrowanie komputera ofiary. Przy użyciu tych samych narzędzi i wykorzystaniu tych samych podatności autorzy mogliby równie skutecznie wykraść dane z każdego zainfekowanego komputera zamiast szyfrować jego zawartość. Skala wycieku byłaby niewyobrażalna.

Atak WannaCry obnażył luki w bardzo ważnych elementach systemu bezpieczeństwa wielu organizacji. Ochrona przed atakami tego typu powinna być oparta na systemach analizy dynamicznej, dzięki którym możliwe jest wykrycie i ochrona przed zagrożeniami, które wykorzystują znane i nieznane podatności systemów operacyjnych i aplikacji.

Artykuł sponsorowany przez firmę DIM System Sp. z o.o.

Related Post