WannaCry sieje takie spustoszenie, że Microsoft wypuścił aktualizację nawet dla starego Windowsa

Brytyjskie Ministerstwo Zdrowia, banki, operatorzy komórkowi, fabryki samochodów, gazownie, elektrownie i dziesiątki innych firm i instytucji publicznych padły ofiarą WannaCry.

Eksperci jednak wskazują, że twórcy WannaCry prawdopodobnie korzystali z exploitów opracowanych na potrzeby NSA – Amerykańskiej Agencji Bezpieczeństwa Narodowego. Efekty tego są imponujące: ponad 200 tys. komputerów zainfekowanych w 150 krajach.

Jeśli chodzi o sposób działania, to jest on mało sensacyjny. WannaCry lub Wanna Decryptor to złośliwy robak internetowy, który wykorzystuję lukach w zabezpieczeniach systemu Windows i po zainfekowaniu dziurawej maszyny szyfruje na niej dane.

Następnie, ransomware żąda okupu w wysokości 600 dol., płatnego w Bitcoinach. Na terenie samej Wlk. Brytanii, za odszyfrowanie danych zapłacono już 22 tys. funtów.

Microsoft był nad wyraz przygotowany na taki obrót zdarzeń. W momencie publikacji WannaCry, firma z Redmond udostępniła aktualizację systemów Windows, która usuwała lukę w protokole SMB, wykorzystywaną przez tego robaka.

Niektórzy nawet nie mogli tego zrobić. Aktualizacja, o której mowa, była niedostępna dla systemu Windows XP, dla którego wsparcie zakończyło się już jakiś czas temu. Okazuje się, że z tego 15-letniego systemu operacyjnego nadal korzysta całkiem sporo firm i instytucji publicznych - na przykład Brytyjskie Ministerstwo Zdrowia.

Microsoft jednak widząc, co się dzieje, znów zareagował błyskawicznie i wydał specjalną aktualizację dla Windows XP, którą pobierzecie stąd. Serio, jeśli chcecie korzystać z 15-letniego systemu, wasza sprawa, jednak go zaktualizujcie.

Sam malware został udostępniony w sieci 14 kwietnia przez grupę Shadow Brokers. To ci sami, którzy rok temu chwalili się, że ukradli złośliwe oprogramowanie, nad którym pracowała Amerykańska Agencja Bezpieczeństwa Narodowego (NSA).

Nie wiadomo, co (lub kto) spowodowało, że WannaCry zaczął rozprzestrzeniać się akurat w piątek, 12 maja. Aktualnie głowią się nad tym eksperci zajmujący się cyberbezpieczeństwem.

Okazuje się bowiem, że WannaCry miał wbudowany wyłącznik awaryjny. Robak łączył się z niezarejestrowaną domeną iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Jeśli nie udawało mu się nawiązać połączenia, rozprzestrzeniał się dalej. Mechanizm ten odkrył Darien Huss:

I poinformował o nim właściciela twitterowego konta @MalwareTechBlog, który pragnie pozostać anonimowy.

@MalwareTechBlog zarejestrował domenę, z którą WannaCry próbował się połączyć i ataki ustały. Przynajmniej na razie. Eksperci ostrzegają, że autorzy robaka prawdopodobnie już wypuścili do sieci jego nową wersję.

O tym, że te agencje wywiadowcze, które mogą sobie na to pozwolić, tworzą złośliwe oprogramowanie, wiemy od dawna. Do tego, że wielu cyberprzestępców marzy o narzędziach tworzonych na potrzeby takiego CIA, też nie muszę was przekonywać. Stąd co jakiś czas następuje wyciek takiego oprogramowania do sieci. Shadow Brokers twierdzą, że udało im się włamać na serwery NSA. WikiLeaks z kolei w marcu br. otrzymała przepiękną paczkę exploitów opracowanych na potrzeby CIA.

Pamiętacie sprawę słynnego zamachu w San Bernardino? FBI szukało wtedy sposobu na odblokowanie iPhone’a należącego do jednego z zamachowców. Kiedy Apple odmówiło współpracy, FBI zapłaciło za stworzenie odpowiedniego oprogramowania izraelskiej firmie Cellebrite. W lutym 2017 r. ktoś włamał się na serwery Cellebrite i ukradł stamtąd to narzędzie.

Przed takim scenariuszem ostrzegał Tim Cook, CEO Apple. Nazwał on oprogramowanie tego typu „software’owym odpowiednikiem raka” i był absolutnie przekonany, że prędzej, czy później, takie narzędzie dostanie się w niepowołane ręce. Miał rację.

Czytaj również: