Ransomwarový útok WannaCry mohl být mnohem horší

Centrála NSA, kde se tajně hromadí zranitelnosti softwaru... a pak jsou ukradeny, prozrazeny a vypuštěny na nic netušící veřejnost.





Možná jste slyšeli: v pátek začal celosvětový ransomwarový útok známý jako WannaCry (a WannaCrypt a WannaDecryptor), který nakonec zasáhl asi 200 000 počítačů ve 150 zemích.

Ale mohlo to být mnohem horší – a máme výzkumníkům v oblasti kybernetické bezpečnosti, kterým můžeme poděkovat, že se ujistili, že tomu tak nebylo.

I když se v pátek stále šířila zpráva, že počítače v desítkách nemocnic ve Spojeném království byly zlomyslně zamykány a na jejich obrazovkách bylo zveřejněno oznámení požadující výkupné, anonymní výzkumník známý jako MalwareTech byl v procesu zastavení dalšího šíření programu. .



Jako ona hlášeno ve fascinujícím příspěvku na blogu , MalwareTech našel neregistrovanou URL adresu v kódu WannaCry. S podezřením, že adresa má něco společného s tím, jak virus komunikuje – což je běžná funkce v botnetech a dalších typech malwaru – MalwareTech zaregistroval doménu a sledoval, jak se sem zaplavuje provoz z tisíců infikovaných počítačů, což málem přetíží server hostující doménu. Obvykle je tento druh propadu snaha narušit botnet, například od vydávání příkazů infikovaným systémům.

V tomto případě se ukázalo, že doména je přepínačem zabíjení – na jakémkoli systému, který navázal kontakt s adresou URL, se virus sám vypnul. WannaCry byl na cestě ven.

Jak však poznamenal MalwareTech, zákeřní programátoři by mohli snadno změnit kód WannaCry tak, aby místo toho pingoval novou adresu. A oni to udělali. V neděli nová varianta infikovala tisíce systémů v Rusku. I to bylo omezeno díky rychlé práci výzkumníka v oblasti kybernetické bezpečnosti .



Mezitím Microsoft podnikl neobvyklý krok a snažil se distribuovat opravu chyby v nepodporované verzi Windows, kterou WannaCry zneužívalo. Byla to americká Národní bezpečnostní agentura hromadění zranitelnosti , ale uniklo to po krádeži tajemství agentury hackerskou skupinou známou jako Shadow Brokers.

Bohužel, jak jsme již uvedli, ransomware se stal oblíbenou formou kyberzločinu z jednoho prostého důvodu: vyplatí se. Je také obtížné – i když ne nemožné – zastavit. Kromě útoků z tohoto víkendu zločinci zablokovali část sanfranciského systému veřejné dopravy a nemocnici v Los Angeles – v druhém případě donutili nemocnici, aby získala 17 000 dolarů, aby znovu získala přístup ke svým souborům.

Architekti WannaCry podobně hledali rychlou výplatu. Sledování peněz však bylo docela snadné: kód WannaCry obsahoval adresy tří bitcoinových peněženek. V pondělí odpoledne robot na Twitteru sledující platby do peněženek uvedl, že na účtech je celkem něco málo přes 55 000 dolarů.



Díky takovému zkoumání někteří odborníci spekulovali, že za WannaCry stojí kdokoli se neodváží pokusit o výběr z peněženek v obavě, že to profoukne jejich kryt. Zastavit by je mohl i samotný součet. Jistě, je to hodně peněz – ale mohlo to být mnohem víc.

(Přečtěte si více: Malware Tech , Los Angeles Times , BBC , Křemen , Držet data jako rukojmí: Dokonalý internetový zločin? , Dva způsoby, jak zastavit ransomware v jeho stopách)



skrýt