Balandžio mėnesį programišiai, vadinantys save „Shadow Brokers“, teigė pavogę NSA sukurtus įrankius ir paviešino juos internete. „Microsoft“ sureagavo į saugumo spragas ir kovo mėnesį išleido atnaujinimą, tačiau daug sistemų visgi dar nebuvo atnaujintos.
Kaip veikia kenkėjiška programa?
Atrodo, kad infekcija plinta per „kirminą“ – programą, kuri savarankiškai plinta tarp kompiuterių. Kitaip nei daugelis kitų kenkėjiškų programų, ši gali pati save platinti tinkle. Kitoms paprastai reikia, kad vartotojas atsidarytų užkrėstą failą.
Kai „WannaCry“ pavaidinta programa patenka į organizacijos vidų, ji sumedžioja pažeidžiamus kompiuterius ir juos visus užkrečia.
Programai patekus į kompiuterį, užrakinami visi jame esantys duomenys. Vartotojas gauna pranešimą ir instrukcijas, kaip sumokėti išpirką, kad atgautų užblokuotą informaciją. Ją sumokėti reikalaujama per 6 valandas, o kas porą valandų kaina kyla. Išpirkos pradinė suma yra apie 300 JAV dolerių.
„Microsoft“ penktadienį paskelbė, kad jų inžinieriai pridėjo papildomą apsaugą nuo „WannaCrypt“. Taip pat teikiama pagalba jų programinės įrangos vartotojams, nukentėjusiems nuo programišių.
Kokio dydžio ataka įvykdyta?
Pranešimai apie kibernetinę ataką pasirodė iš mažiausiai 99 valstybių, tarp jų – JAV, Jungtinė Karalystė, Kinija, Rusija, Ispanija, Italija. Taip pat – ir Lietuva. Nuo programišių galėjo nukentėti bent 40 adresatų.
Kibernetinio saugumo firma „Avast“ teigia, kad buvo mažiausiai 75 tūkst. įsilaužimų, po kurių pareikalauta išpirkos. „Tai yra be galo daug“, – sakė firmos atstovas.
Ekspertai teigia, kad atakos tikriausiai yra susijusios, tačiau mano, kad tai tikriausiai nebuvo koordinuoti išpuoliai prieš konkrečius taikinius.
Po prasidėjusių atakų internetinės piniginės, per kurias galima įsigyti bitkoinų, sulaukė nemažo pinigų srauto.
Kas buvo atakuoti?
Jungtinėje Karalystėje stipriai nukentėjo gydymo įstaigos – buvo įsilaužta į sveikatos apsaugos sistemas. Nebuvo galima vykdyti planuotų operacijų, apžiūrų, nebuvo galima pasiekti pacientų asmens sveikatos istorijų.
Panašu, kad daugiausia atakų sulaukė Rusija. Nukentėjo ir šalies Vidaus reikalų ministerija – ji pranešė, kad buvo įsilaužta į „Microsoft“ įrangą naudojančius kompiuterius.
Socialiniuose tinkluose plito žmonių nuotraukos, kuriose – „nulaužti“ traukinio bilietų pardavimo automatas Vokietijoje, Italijos universiteto kompiuterių laboratorijos įranga.
Nemažai pranešimų apie ataką sulaukta iš Ispanijos – įskaitant ir telekomunikacijų milžinę „Telefonica“. Nukentėjo ir Portugalijos „Telecom“, pristatymo kompanija „FedEx“, Švedijos savivaldybių kompiuteriai, antras didžiausias mobiliojo ryšio tinklas Rusijoje „Megafon“, Prancūzijos automobilių gamintojai „Renault“.
Kas stovi už atakos?
Kai kurie ekspertai mano, kad išpuolis galėjo būti surengtas taip, kad būtų pasinaudota saugumo spraga „Microsoft“ sistemose, kurią buvo pastebėjusi NSA.
NSA sukurtus įrankius pavogė programišių grupuotė, pavadinimu „The Shadow Brokers“, kuri vėliau mėgino parduoti juos internetiniame aukcione. Galiausiai ji juos nemokamai paviešino, o balandžio 8 d. paskelbė ir slaptažodį, reikalingą įrankiams atrakinti.
Programišiai sakė, kad slaptažodį jie paskelbė kaip protestą dėl JAV prezidento Donaldo Trumpo.
Tuo metu kai kurie kibernetinio saugumo ekspertai sakė, kad paviešintos kenkėjiškos programos buvo tikros, tačiau jau pasenusios.
„Microsoft“ kovo mėnesį išleido sistemos atnaujinimą, tačiau daug kompiuterių dar galėjo nespėti jo įdiegti.
„Netyčinis didvyris“
Šeštadienį vienas kibernetinio saugumo tyrėjas naujienų agentūrai AFP sakė atsitiktinai aptikęs „išjungimo mygtuką“, galintį užkirsti kelią virusui toliau plisti.
Tyrėjas, prisistatęs „Twitter“ vartotoju @MalwareTechBlog, nurodė, kad atsitiktinai buvo nustatyta, jog užregistravus žalingos programos naudojamą domeno pavadinimą virusas toliau nebeplinta. Vis dėlto jau užkrėstiems kompiuteriams ši priemonė nepadeda, teigė netyčiniu didvyriu vadinamas asmuo.
Tačiau @MalwareTechBlog perspėjo, kad „krizė dar nesibaigė“, nes viruso kūrėjai „gali bet kada pakeisti kodą ir vėl mėginti“.
„Tai neabejotinai bauginama“, – sakė JAV saugumo konsultacinės bendrovės „Denim Group“ analitikas Johnas Dicksonas.
Pasak J.Dicksono, pati žalinga programa, išnaudojanti operacinės sistemos „Windows“ saugumo spragą, nėra nauja, bet dėl pridėto išpirkos reikalaujančio „užtaiso“ ji tapo itin pavojinga.
„Stebiu, kiek visa tai išplis ir kada įsikiš vyriausybės“, – pridūrė jis.
