Ovaj sajber napad je jedan od najvećih globalnih napada ucjenjivačkim softverom koji je internet zajednica ikad vidjela.

Softverom za koji se vjeruje da ga je razvila američka Nacionalna bezbjednosna agencija (NSA), napao je u petak desetine hiljada računara u gotovo stotinu zemalja svijeta.

Napad izveden takozvanim ucjenjivačkim softverom (ransomware) blokirao je pristup računarskim sistemima i zatim tražio novac korisnika više od 75 hiljada zaraženih računara.

Korisnici su treballi platiti između 300 i 600 dolara i to u digitalnoj valuti bitcoin, kako bi ih odblokirali.

Poznata antivirusna kompanija Kaspersky upozorila je u svojoj analizi kako je WannaCry preveden na cijeli niz jezika što može ukazivati i na potencijalne zemlje ciljeve napada.

Pogledajte Intelovu kartu zaraženih računara.

Kaspersky takođe upozorava kako ovaj virus iskorišćava bezbjednosni propust koji je Microsoft ispravio zakrpom objavljenom 14. aprila, ali isto tako dodaje kako velik broj kompanija još uvijek nije ažurirao svoje sisteme i instalirao navedenu zakrpu.

Microsoft je u službenom saopštenju istaknuo kako je dodao mogućnost otkrivanja i zaštite od napada ransomwareom te kako pružaju dodatnu pomoć korisnicima koji su pod napadom.

Ovo je prvi put da su poslije toliko vremena u kompaniji Microsoft odlučili da naprave zakrpu i za stari ali još uvijek u upotrebi Windows XP. Pogledajte službeno saopštenje i preuzmite ovu zakrpu

Panika u Engleskoj - napadnute bolnice

Bolnice širom Engleske u petak su prisiljene preusmjeriti sve hitne slučajeve zbog sajber napada velikih razmjera te su otkazale brojne zakazane preglede i pozvale pacijente da u bolnice dolaze samo ako se radi o hitnim slučajevima.

Među 16 institucija koje su napadnute je grupa Barts Health koja upravlja glavnim londonskim bolnicama, uključujući The Royal London i St.Bartholomew's.

"U toku je pad sistema i obustava rada u svim našim bolnicama", rekli su iz te kompanije.

"Aktivirali smo plan za hitne situacije kako bi svi naši pacijenti bili bezbjedni. Hitne pomoći preusmjeravamo u druge bolnice", dodali su.

Napad je ugrozio rad odjela radiologije, bazu rezultata analize patohistoloških uzoraka, telefonske sisteme i funkcionisanje baze podataka o pacijentima.

Britanska nacionalna agencija za borbu protiv kriminala javila je da je upoznata s napadom, u Nacionalnoj zdravstvenoj službi (NHS) kažu da odgovaraju na incidente, a u ministarstvu zdravstva nemaju komentara.

Britanska premijerka Theresa May rekla je kako britanske bolnice nisu namjerno ciljane u kibernetičkom napadu u petak koji je pogodio veći broj zemalja.

"Ovo nije ciljalo na NHS, to je međunarodni napad i veći broj zemalja i organizacija je njime pogođen", rekla je May.

"Znamo da je veći broj organizacija NHS-a (Nacionalne zdravstvene službe) javio da su napadnute ransomwareom", rekla je May. "Nema dokaza da su ugroženi podaci o pacijentima".

I Španija pod napadom

Španska vlada upozorila je ranije u petak da je velik broj kompanija pod cyber napadom virusa "ransomware" koji zaključava računare dok korisnici ne plate određeni iznos novca.

Među metama napada je Telefonica, najveća nacionalna telekomunikacijska kompanija, dok su preventivne mjere uvele energetske kompanije Iberdrola i Gas Natural.

Napad se širi i na Njemačku

Iako još nema službene potvrde na Twitteru su se pojavile fotografije koje pokazuju kako je i frankfurtski Sbahn odnosno tramvajska mreža pod napadom.

U Rusiji napadnuto Ministarstvo unutrašnjih poslova

Rusko ministarstvo unutrašnjih poslova potvrdilo je kako je više od 1000 računara u njihovoj mreži zaraženo virusom te da je njegovo širenje lokalizovano.

I ruski telekom operator Megafon potvrdio je zarazu svoje interne mreže, ali ističu kako napad nije uticao na njihove korisnike.

Otkupnina raste iz časa u čas

"Zahvaćeni računari imaju šest sati da plate otkupninu, nakon toga, svakih nekoliko sati otkupnina raste", Kurt Baumgartner, glavni istraživač na odjelu bezbjednosti u KasperskyLab-u.

Otkupnina se plaća u bitcoinu u protuvrijednosti 300 američkih dolara. Ako se ne plati u roku od 3 dana, udvostručuje se, a ako se ne plati u roku od 7 dana, dokumenti ostaju zaključani "zauvijek".

Širi se neželjenom poštom i .zip fajlom

WannaCry se širi svijetom zahvaljujući alatu koji je koristila Equation Group, grupa za koju se sumnja da je povezana s američkom Nacionalnom bezbjednosnom agencijom, a koje je otkrila hakerska grupa Shadow Brokers i javno ih objavila.

Stručnjak za bezbjednost iz kompanije CrowdStrike, Adam Meyers, za Forbes je rekao kako se WannaCry širi kroz neželjenu poštu u kojoj se pojavljuju lažni računi, ponude za posao i drugi "mamci" koji su poslani na nasumice odabrane e-mail adrese. U takvim se porukama nalazi .zip dokument koji prilikom otvaranja inficira računar WannaCry virusom.

Što je to "Wannacry"?

"Wannacy" je podvrsta virusa "ransomware" koji dešifruje povjerljive podatke korisnika. "Ransomware" posjeduje sposobnost mutiranja, zbog čega tokom vremena može promijeniti način na koji pristupa računarima ali i zaobići zakrpe.

Međutim, osim što je "ransomware", "Wannacry" je i "crv", što znači da s jednog računara traži druge računare te se širi i na njih.

Slučajni junak otkrio je kako da zaustavi širenje “ransomwarea” koji je inficirao računare širom svijeta.

Širenje “ransomwarea – Wanna Decryptor”, odnosno “WannaCry”, zaustavljeno je nakon što je “slučajni junak” koji se na Tviteru zove, @malwaretechblog uz pomoć Dariena Husa iz kompanije “Proofpoint” otkrio da je u “ransomware” ugrađena mogućnost hitnog gašenja odmah je aktivirao.

“Wanna Decryptor” prilikom rada kontinuirano pokušava da se spoji s domenom poprilično dugačkog i besmislenog imena. Kako taj domen, odnosno veb adresa ne postoji, “Wanna Decryptor” nastavlja s radom. Međutim, ako se taj domen registruje, tada se “Wanna Decryptor” može da se spoji na nju. U trenutku prestaje da se širi.

“Wanna Decryptor” je u stvari šifrovani softver koji svojim tvorcima može da donese veliku zaradu, a najveću štetu svojim žrtvama. U kompračunar juter ulazi putem “zlonamjernih” atačmenta u mejlovima, a čim se otvori odmah počinje sa šifrovanjem podataka.

Softver stvara šifrovane kopije podataka u kompjuteru žrtve nakon čega briše originale. Zbog toga ostaju samo šifrovane kopije kojima nije moguć pristup bez ključa za dešifrovanje. Šifrovanje traje od nekoliko minuta do nekoliko sati, zavisno od količine podataka u računaru.

– Primjetio sam da taj domen nije registrovan i pomislio, “uzeću je ja”, izjavio je “slučajni junak”. Kupovina domena koštala ga je 10.69 američkih dolara. Spajanje na domen je počelo odmah nakon kupovine.

Ta mogućnost hitnog gašenja neće pomoći nikom kome je računar već inficiran “Wanna Decryptorom”, a postoji mogućnost da će druge varijante istog virusa s drukčijim mogućnostima hitnog gašenja nastaviti da se šire.

G7 na ovu temu

Ministri finansija grupe sedam najrazvijenijih država sveta G7 danas će se obavezati da udruže snage u borbi protiv rastuće prijetnje međunarodnih sajber napada, navodi se u nacrtu izjave koju ministri spremaju na sastanku koji se održava u Italiji.

U njemu se poziva na zajedničko brzo uočavanje bilo kakvih ranjivih tačaka u okviru svjetskog finanskog sistema i naglašava važnost efektivnih mjera za pristup sajber bezbjednosti među pojedinačnim finansijskim firmama i na sektorskom nivou.

Izjava ministara trebalo bi da bude objavljena tokom dvodnevnog sastanka koji oni imaju Bariju i razgovaraju o pitajima sa kojima se suočava svjetska ekonomija.

Odjeljenje za informacionu bezbjednost – CERT Republike Srpske obavještava sve javne ustanove, organe uprave, fizička i pravna lica u Republici Srpskoj da je uočeno globalno i do sada po obimu najveće širenje ransomvera pod nazivom „WannaCry“ i njegove varijante „WannaCrypt0r“.

Ova varijanta malicioznog softvera iskorištava SMBv1 ranjivost na neažuriranim Windows operativnim sistemima od kojih su ranjive sve verzije od Windows XP do Windows 10 kao i serverske edicije.

PREPORUČUJEMO bezbjednosno ažuriranje Windows operativnog sistema, odnosno primjenu MS17-010 zakrpe izdate od strane Microsoft-a 14. marta ove godine, kao i prestanak korišćenja verzija Windows operativnog sistema za koje se ne više ne vrše bezbjednosna ažuriranja i za koje je prestala zvanična podrška (Windows XP).

Iako do sada nisu prijavljene infekcije ove vrste unutar kibernetičkog prostora Republike Srpske, ukoliko se iste uoče, preporučujemo sljedeće korake:

  • Trenutno isključiti inficirani računar sa lokalne mreže
  • Obavijestiti CERT Republike Srpske putem e-mail adrese Ova adresa el. pošte je zaštićena od spambotova. Omogućite JavaScript da biste je videli.(link sends e-mail) ili putem web sajta https://oib.aidrs.org
  • NE PLAĆATI bitcoin otkupninu (oko 300 USD) jer ista ne garantuje povrat podataka.

U sklopu preventivnih mjera, skrećemo pažnju na anonimne poruke elektronske pošte sa prilogom. Ove poruke NE OTVARATI i trenutno brisati.

OIB – CERT Republike Srpske vrši aktivan nadzor nad širenjem ove infekcije i o eventualnim pojavama „WannaCry“ ransomvera u kibernetičkom prostoru Republike Srpske, sa preporukama u vezi sanacije štete obavijestićemo javnost.

DIREKTOR
mr Srđan Rajčević

TEHNIČKI DETALJI

WannaCry enkriptuje datoteke na hard disku i zahtijeva od korisnika plaćanje otkupnine u iznosu od 300 USD u bitcoinima. Takođe kreira datoteku pod nazivom !Please Read Me!.txt u kojoj je objašnjeno šta se desilo i kako platiti otkupninu.

WannaCry enkriptuje datoteke sa sljedećim ekstenzijama, dodajući .WCRY na kraj naziva datoteke:
• .lay6
• .sqlite3
• .sqlitedb
• .accdb
• .java
• .class
• .mpeg
• .djvu
• .tiff
• .backup
• .vmdk
• .sldm
• .sldx
• .potm
• .potx
• .ppam
• .ppsx
• .ppsm
• .pptm
• .xltm
• .xltx
• .xlsb
• .xlsm
• .dotx
• .dotm
• .docm
• .docb
• .jpeg
• .onetoc2
• .vsdx
• .pptx
• .xlsx
• .docx

Nakon infekcije, širi se na druge računare u lokalnoj mreži iskorištavajući SMB ranjivost u Windows operativnim sistemima.

Trenutno ne postoji način da se enkriptovane datoteke dekriptuju (povrate u čitljivo stanje). Preporučuje se povrat podataka sa back-up sistema (ukoliko su dostupni).

Kako se zaštititi od napada?

  • arhivirajte svoje dokumente i napravite rezervnu kopiju na odvojenom sistemu
  • budite sumnjičavi prema svakoj e-mail poruci koja vam dolazi od nepoznatog pošiljaoca ili od poznatog ali koja ne odgovara načinu na koji ste prethodno komunicirali s tom osobom
  • ne preuzimajte na svoj računar (ili mobilni uređaj) aplikacije i programe sa sumljivih web stranica
  • instalirajte i redovno ažurirajte antivirusni program
  • redovno ažurirajte svoj operativni sistem i programe koje koristite

Vezani tekstovi:

Prvi susret sa CryptoLocker ransomware virusom

How can ISO 27001 help protect your company against ransomware?

Virtuelna valuta Bitcoin sve popularnija