Největší útok s využitím ransomwaru na světě

O kybernetických hrozbách a útocích se v médiích stále ještě nemluví v takové míře, jako o hrozbách válečných, či politických. Nedávno však jedna věc vzbudila zájem médií, a to dokonce i těch českých. Co si takovou pozornost zasloužilo? Ransomware, který vyřadil z provozu počítače 10 000 společností a 200 000 osob ve 150 zemích se zapamatovatelným názvem WannaCry.

Pokud jde o narušení soukromí nebo zničení hardwaru, nevnímáme to jako velkou hrozbu. Pokud jde o narušení počítačové infrastruktury firmy, pak to pro nás také nepředstavuje něco, co by nás mělo znepokojovat. Rozdíl samozřejmě je, když se nás kyberútok osobně dotýká. Jako třeba napadení systémů banky nebo únik osobních dat. Pokud má ovšem kyberútok následky podobné útoku teroristickému, získává úplně jiný rozměr a také pozornost laické veřejnosti. To jsme mohli vidět právě při nedávné kauze WannaCry. Spousta médií informovala o útoku článkem s titulkem, který upozorňoval na to, že mezi napadenými subjekty bylo i 16 nemocnic ve Velké Británii. Až tehdy, kdy kyberútok přeroste přes hranice virtuálního světa, začínáme ho vnímat jako reálnou hrozbu.

Ransomware jako nový druh kyberútoku

Ransomware spadá do kategorie malwarů, tedy malicious softwarů. Do počítače se může dostat třeba jako příloha e-mailu, skrze kliknutí na pop-up okno, po interní síti z jiného počítače, ze souboru na facebooku, skrze usb disk a mnoha dalšími způsoby. V momentě, kdy se ransomware dostane do počítače, zašifruje všechny soubory a znemožní používání softwaru. Poté oznámí majiteli počítače, že přístup ke svým datům získá pouze po zaplacení určitého obnosu peněz. Je to tedy malware šířený s cílem získat výkupné. Některé ransomwary pak jsou ještě časově omezené. Majitel počítače musí výkupné zaplatit v požadovaném čase nebo částka stále narůstá.

Zdroj http://www.cyberswachhtakendra.gov.in/alerts/wannacry_ransomware.html
Mezinárodně šířený ransomware WannaCry

Ransomware s názvem WannaCry se po síti šíří už od února. Jeho první verze ještě ale nebyla tak ničivá jako verze druhá. Tu detekoval 12. května nezávislý bezpečnostní program Malware Hunter. WannaCry se začal šířit nezvyklou rychlostí a napadl počítače ve 74 zemích světa. Jednou z nejvíce zasažených bylo Španělsko, konkrétně společnost Telefonica. Zaměstnanci společnosti Telefonica popisují, že v momentě kyberútoku znělo budovou centrály hlášení, které vyzývalo všechny zaměstnance k vypnutí počítačů. Další výrazně zasaženou zemí bylo Rusko, kde WannaCry napadl 1000 počítačů ministerstva vnitra. Ve Velké Británii vyřadil ransomware na čas z provozu i dvě továrny Nissanu a Renaultu. Nejmrazivější je ale případ, kdy WannaCry napadl počítače v celkem 16 nemocnicích. Ty byly nuceny zrušit všechny objednané pacienty i plánované neurgentní operace. Pracovníci nemocnic ztratili přístup ke všem svým datům a zdravotním kartám.

Přístup k počítačům skrze EternalBlue

Odborníci tvrdí, že WannaCry využil k přístupu do počítačů chybu zvanou EternalBlue. Nástroj pro přístup skrze tuto chybu dle všeho (není potvrzeno) vyvinula pro své účely NSA s cílem backdoor přístupu k počítačům s OS Windows. EternalBlue, respektive návod na jeho využití, ovšem zveřejnila v dubnu tohoto roku hackerská skupina TheShadowBrokers, která pravděpodobně tento nástroj (EternalBlue) od NSA ukradla. EternalBlue je vyvinutý specificky pro starší verze OS Windows, které již nemají podporu od Microsoftu, a tudíž snáze podlehnou kyberútoku. Kód tohoto nástroje je nyní již veřejný a k dispozici prakticky komukoliv.

Na čí straně je chyba

V případu útoku figuruje více stran. Jednak jsou to pachatelé, kteří ransomware do světa vypustili s cílem obohatit se. Druhou stranou jsou pak oběti (firmy, ministerstva, nemocnice) a třetí stranou sám Microsoft. Na čí straně je chyba? Na straně pachatelů, hackerů, kteří vypustili ransomware a vyřadili z provozu nejen velké množství počítačů, ale především počítače svou podstatou důležité? WannaCry je první ransomware, který využil technologie červa. Je tedy replikovatelný a sítí se šíří samovolně. Obzvlášť zranitelné jsou v tomto případě společnosti, protože u nich stačí, když se ransomware dostane do jednoho počítače. Jakmile je v síti, pak stačí už jen málo k tomu, aby se rozšířil dál a způsobil velké škody. Svou vinu nese ale i Microsoft. Za to, že nedokázal zajistit, aby byl jeho OS bezpečný i poté, co ztratí podporu. Nejvíce zasažené byly počítače s OS Windows XP a Windows 7. OS Windows XP ztratil podporu Microsoftu v dubnu 2014, od té doby jsou počítače s právě tímto OS častým cílem hackerů a stávají se i součástí botnetů. Výrazně více byly ransomwarem zasaženy počítače s OS Windows 7. Na ty Microsoft sice distribuoval mezi uživatele před pár měsíci aktualizaci, která spravovala onu chybu, ovšem vzhledem k rozsahu útoku byla evidentně stále spousta počítačů neaktualizovaná. Windows XP získal aktualizaci až v průběhu víkendu, tudíž tato aktualizace přišla příliš pozdě a navíc ani ne do všech počítačů.

Pak jsou tu oběti. Podnikatelské subjekty, které si nezvládly dostatečně zabezpečit svou IT infrastrukturu. Firmy, jejichž zaměstnanci neměli aktualizovaný OS. Vládní subjekty, které využívaly staré počítače, resp. OS. Je chyba na jejich straně? Správně technologicky zabezpečená firma využívá pouze nejnovější verze softwarů, pravidelně systém aktualizuje a rozhodně nepoužívá OS, který již není výrobcem podporován. Problém je ovšem i v hardwaru. Počítač, který přišel na trh v roce 2005, už dnes procesně nezvládá využívat nejnovější operační systém a jeho uživatel se musí spokojit se starým OS. Třeba právě Windows XP. Do hry se tak dostávají navíc výrobci hardwarů. Tím spíš by ale měl Microsoft zpřístupňovat bezpečnostní aktualizace i starým softwarům.

A pak jsou tu nemocnice ve Velké Británii. To je ale trochu odlišný případ než výše vyjmenované. Hlavní starostí nemocnice je léčit pacienty. Většinu svých prostředků investuje do personálu, léků, přístrojů. IT je pro ně nutné zlo. Byrokracie a místo, kam ukládají data o pacientech, vyplňují formuláře, žádanky a další dokumenty. Nevěnují mu proto pozornost, používají staré počítače se zastaralým OS. IT je pro ně v pozadí. Nejsou vzděláváni v oboru kybernetické bezpečnosti. Proto si dokážu představit, jak moc zaskočeni museli být v momentě, kdy se setkali tváří v tvář s WannaCry. Nemocnice ve většině případů nemají dostatek finančních prostředků na to, aby každé tři roky obnovovaly technologie, počítače, síť. Finance věnují do zdravitnických přístrojů (a to jim ani nemůžeme mít za zlé.) Data o pacientech mají (minimálně v ČR) uložena přímo v počítači. Zabezpečení svých dat tedy v důsledku nevěnují zdaleka takovou pozornost, jakou by měli. Otázka je, zda bychom se to měli snažit změnit, pokud by to bylo na úkor jejich hlavního poslání. Řešením by totiž mohl být třeba centrální cloudový systém (dostatečně zabezpečený s adekvátní zálohou) pro ukládání dat o pacientech. Nemocnice a doktoři by pak sice měli starší počítače, ale veškerá data by byla uložena v bezpečí v cloudovém řešení, a tudíž by zde bylo menší riziko jejich poškození.

A co si o tom myslíte vy?

Jak bychom měli podobných situacím předcházet? Je chyba na straně Microsoftu, který nezajistil bezpečnost svého OS, i když je zastaralý? Nebo je chyba na straně obětí, které kašlou na zabezpečení svého IT infrastruktury? A nebo největší vinu nese ten hacker v kapuci, který chtěl tímto způsobem přijít k rychlým penězům?

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *