Internet

articolul anterior articolul urmator

Coşmarul atacului cibernetic global nu s-a încheiat: a apărut Wannacry 2.0

59
14 May 2017 11:41:33
Cristian Unteanu

„Hacker News“, sub semnătura lui Swati Khandelwal, a adus în urmă cu foarte puţin timp anunţul de care se temeau toţi experţii în probleme de război cibernetic: chiar dacă tânărul analist britanic a reuşit, printr-un miracol, să oprească primul val de atacuri, grupul de hackeri la originea acţiunii criminale care a afectat peste o sută de ţări din lume a lansat noua versiune WannaCry, care nu are o funcţionalitate de tip „kill-switch“.

Numărul de computere infectate a crescut continuu pe plan mondial, chiar după ce, în cazul primei variante, fusese activată funcţionalitatea „switch-kill”: de la 100.000, sunt raportate acum 213.000 de cazuri, iar acum „această nouă versiune poate să să afecteze alte sute de mii de computere”. Reamintim informaţia pe care o dădeam ieri, acum confirmată şi de cei de la „Hacker News, anume că WannaCry este un „malware pentru răscumpărare” cu capacitate de răspândire extrem de mare care foloseşte o vulnerabilitate din sistemul Microsoft care nu a fost actualizat la timp (adică în ultimele trei zile şi acţionează ulterior ca un „vierme” pentru a afecta alte şi alte sisteme vulnerabile din reţeaua internă. Vulnerabilitatea respectivă a fost identificată ca fiind EternalBlue, un ansamblu de unelte la îndemâna hackerilor despre care se spune că ar fi fost creat de NSA şi după aceea furat în urmă cu o lună de zile de un grup de hackeri autointitulat Shadow Brokers.

Cercetătorul britanic, identificat drept MalwareTech a oprit în mod accidental răspândirea globală a lui WannaCry prin înregistrarea unui nume de domeniu ascuns în malware, dar asta nu repară conţinutul deja afectat de atacul informatic. Acest domeniu avea misiunea de a permite propagarea lui WannaCry şi răspândirea lui ca vierme” informatic, dar Malware Tech a înregistrat domeniul respectiv şi a creat o aşa-numită sinkhole” - tactică folosită pentru a redirecţiona traficul de la domeniile infectate înspre un sistem auto-controlat. Dar dacă credeţi că activarea acelui switch kill a reuşit să stopeze complet infecţia, vă înşelaţi, asta deoarece imediat după ce atacatorii au realizat că au o problemă, au revenit.

Iar Costin Raiu, directorul echipei de cercetare globală şi analiză de sistem de la Kaspersky, a conformat apariţia versiunii WannaCry 2.0 în care nu mai există funcţia kill-switch.

Pentru cei de la Hacker News, Matthew Hickey, expert în probleme de securitate şi co-fondator al Hacker House, declara că:

„Următoarele atacuri sunt inevitabile... Vom vedea un număr de variante ale acestui atac în următoarele săptămâni şi luni”.

Aveţi aici şi aici două demonstraţii video lămuritoare asupra modului în care se efectuează un asemenea atac.

Am şi o veste foarte bună pentru dumneavoastă, venită prin intermediul celor de la EUROPOL care sfătuiesc pe toată lumea să acceseze site-ul nomoreransom.org/, dezvoltat de poliţia olandeză şi pus gratuit la dispoziţia publicului, efectuând operaţiunile necesare de devirusare. Pentru mai multă siguranţă, opţional, vă dau şi ce indică cei la Hacker News:

@TheHackersNews

Quick Tip to stop #WannaCry (for all Windows users, even if you have installed the updates, Just disable SMB if not in use)

Dincolo de aceste acţiuni imediate, problema care rămâne - şi este teribil de importantă - este corecta identificare a vulnerabilităţilor viitoare care există pe două niveluri.

Pe de o parte, aşa cum cerea ieri Edward Snowden, trebuie lămurit imediat dacă, într-adevăr, există (sau poate exista) o confirmare a faptului că avem de-a face cu un virus militar creat în laboratoarele serviciilor de informaţii americane sau achiziţionat de acestea, făcând parte dintr-o „trusă profesionistă de scule” în care s-ar mai putea afla şi alte variante ale virusului. Aceasta ar putea permite să se estimeze în mod corect viitoarele posibile ţinte ale atacurilor. Foarte important, deoarece pare din ce în ce mai evident că aici avem o creaţie informatică de nivel superior, foarte aproape de ceea ce figurează descris în manualele de specialitate ca „arsenal” de care dispun acum marile puteri în eventualitatea declanşării unui război cibernetic. Spre o asemenea variantă trimite o caracteristică specială a acestui atac de acum, anume capacitatea sa extraordinară de răspândire dar şi posibilitatea de a fi transformat şi devulnerabilizat în spaţiul a câteva ore de către utilizatorii săi...

În al doilea rând, va trebui ca ancheta internaţională începută acum şi la care participă mai multe servicii de informaţii din întreaga lume, să determine cu precizie dacă este vorba doar despre o echipă de hackeri foarte bine pregătiţi şi care acţionează în formula specifică unei reţele de crimă organizată sau dacă este vorba despre cu totul şi cu totul despre altceva. În acest caz, există supoziţia rezonabilă că ar putea fi vorba despre o serie de atacuri cu un singur virus dintr-o eventuală „cutie cu scule” complexă furată din arsenalele profesioniste pentru a se testa rezilienţa sistemelor naţionale de protecţie, dar şi a cea a unor unităţi componente ale reţelelor de infrastructuri critice naţionale.  

Există un argument solid în favoarea acestei a doua variante. Până acum, în urma valului de atacuri cu prima variantă WannaCry, cu peste 100.000 de cazuri de computere afectate, au fost înregistrate mai puţin de 100 de plăţi efectuate pe adresele indicate de jackeri, asta reprezentând un total de 26.090 $. Sumă absolut ridicolă în comparaţie cu potenţialul atacurilor. Numai că pagubele reale sunt altundeva şi încă imposibil de estimat, deoarece nimeni încă nu a contabilizat costurile produse de imobilizarea, întreruperea provizorie sau chiar blocarea activităţii desfăşurate în unităţi reprezentative din zona infrastructurilor critice, esenţiale pentru securitatea economică sau/şi cea naţională, cum ar fi sistemul de sănătate din Marea Britanie, companii telefonice, întreprinderi sau multinaţionale.

Din punctul meu de vedere, aici a fost interesul major pe care, pentru cei care le-au gândit şi efectuat, la-u reprezentat aceste atacuri coordonate la nivel global . Este, cred, o operaţiune de tip terorist de nouă generaţie şi ar trebui tratată ca atare. Aşa cum ar trebui înţeles şi avertismentul subsecvent al acestor atacuri, iată în valuri continue: sistemele de securitate cibernetică se dovedesc permeabile sau, cel puţin, au falii identificate şi catalogate cu atenţie în perspectiva unor acţiuni viitoare îndreptate către ceea ce înseamnă reţelele esenţiale de supravieţuire fizică a civilizaţiei noastre.

Adauga Comentariu

Pentru a comenta, alege una din optiunile de mai jos

Varianta 1

Autentificare cu contul adevarul.ro
Creeare cont

Varianta 2

Autentificare cu contul de Facebook
Logare cu pseudonim

59 Comentarii

gyll
14.05.2017, 12:47:44

Ori și ce boală își are leacul. Sunt curios pănă la urmă cum se va temina. Cel mai interesant este de aflat locul de unde a pornit atacul și cine este”maurul” de serviciu. Am o bănuială dar aștept ce vor zice cei în drept să o facă. Dacă o vor face vreodată.

+3 (3 voturi)
Silviu Vasile Dumitrescu
14.05.2017, 13:07:59

@ gyll :: Era totuşi o problemă, dacă lăsai propoziţiile în continuare, una după alta? Şi de ce să aştepţi, spune de-acum ce bănuială ai? @C. Unteanu :: "Old good school"... „Buna şcoală veche”. Cine ştie să facă o documentare serioasă şi să pună un text în pagină. Macăr dacă cei de acum ar vrea să înveţe ceva. Doar vor să li se dea direct joburile, atribuţiile, prerogativele, ba chiar toată autoritatea. Ba mai au şi tupeul nesmiţit să pretindă că ceilalţi trebuie să se dea la o parte. Mucoşilor, diks, ...pricks, învăţaţi mai întâi cum se face treaba. Mulţi nu ştiţi nici măcar ABC-ul „meseriei”, jurnalistic, informatic, informativ, contra.... Şi totuşi ieri se anunţase că a fost revendicat de SpamTech din India. În sfârşit... Oriunde vezi un nor mare de praf, iar datele care se contrazic în timp real, unele după altele, şi nimic nu se leagă în imaginea de ansamblu, atunci nu te poate duce gândul în altă parte decât la marii maeştri ai diversiunii, ai planurilor de oglinzi paralele, care începe să gliseze, deplaseze, rotească, apropie, depărteze, iar mai nou, cu tehnica actuală, au început să şi deformeze. Cine pe lumea asta sunt în stare să mintă mai bine minciuna minciunii, în timp ce încearcă să te convingă că toate versiunile au fost reale?! Deci se lămureşte că răsplata a fost doar un pretext, primul înveliş de acoperire, eventual distragere de atenţie pentru a câştiga timp iniţial. Apoi încă de la început mi s-a părut suspect că cele mai multe victime declarate, raportate, ale atacurilor erau entităţi dintrun singur anumit stat. Ca o paranteză să luăm doar ultimele cazuri de exemplu, accidente aviatice bizare, avionul lovit la frontiera dintre două state apropiate, unde nu se ştie nici astăzi cui aparţinea lansatorul de la sol care a lansat racheta, şi de ce parte a frontierei respective se afla în momentul în care a lovit. Mai este alt accident, explozie la bord, prezentat ca „atentat terorist”, ca în final să se afle de o turistă egipteană, care a luat explozibilul nedetectabil, la bord, disimulat întrun cadou pe care un partener recent de relaţii amoroase i-l dăduse la plecare, să îl transporte în ţară. Partenerul s-a dovedit ulterior, a fi agent al ţării care a reclamat atacul „terorist”. S-o mai spun şi p-asta, cu toată părerea de rău. Nu l-am condamnat pe Snowden, i-am înţeles procesul de conştiinţă, nu l-am acuzat nici unde s-a stabilit în final, are libertatea de alegere... De acum însă, îl suspectez nu neapărat de participare directă (cu toate că teoretic, poate fi şi asta o pistă...), ci de contribuţie la întreţinerea şi elaborarea norului de fum. Omul se ştie că stă întrun apartament luxos în Moscova, a cărui întreţinere pretinde că o plăteşte din conferinţe, discursuri. Foarte posibil. Sunt convins că mulţi, din toată lumea ar plăti bani grei să-l audă vorbind indiferent de subiect. Dar dacă vorbeşte, conferenţiază în Rusia, înseamnă că este lăsat s-o facă şi să ajungă acolo, iar aceia sunt lăsaţi să-l invite. Dacă vorbeşte prin diverse mijloace de comunicaţie, în lumea largă, şi asta tot la fel, înseamnă că i se permite conectarea. Pe orice variantă, concluzia este că trebuie să fie o notă de plată acolo

+2 (6 voturi)
Alfa Omega
14.05.2017, 12:49:27

Este imposibil sa se prelucreze toate datele culese din atatea calculatoare care au cazut victima acestui atac , cel mai probabil atacatori au totusi niste tinte bine stabilite restul sunt doar ca sa ascunda scopul lor ! Totusi atacul este de prea mare ampluare pt a proveni de la niste hackeri , ci mai repede de la niste organizații statale ! Om trai si vom vedea !

-1 (5 voturi)
selmix selmix
14.05.2017, 13:01:35

Zamolxis, atacatorii, nu atacatori, și amploare, nu ampluare🤔! Brrrrrr, unde ai învățat să (nu) scrii (corect)😲? Păcat, pentru că ideile tale nu-s chiar rele🤔!

+4 (6 voturi)
Strajeru Dan
14.05.2017, 13:08:44

De ce nu-i roaga pe rusii de la Kaspersky sa mai ia o pauza? Poate ii pasuiesc FSB-ul si GRU-ul si cine o mai patrona mustaria, ca sa astepte sa vada ce pagube au facut cu primul.

0 (4 voturi)

Vezi toate comentariile (59)