Опасноста од WannaCry епидемијата продолжува со почетокот на работната недела

Заради безбедносните пропусти кои ги објавија Shadow Brokers на крајот на минатата недела бевме сведоци на еден од најголемите сајбер напади во светот. Процените се дека од петок до крајот на викендот се заразени над 200.000 компјутери во 150 држави. Оваа бројка дополнително ќе порасне денес, кога дел од корисниците ќе ги вклучат своите компјутери.

Малициозниот софтвер во првиот бран зарази над 75.000 компјутери во над 100 држави. Сите нападнати компјутери се соочија со ransomware – ист екран и порака за плаќање на 300 долари во биткоин, во следните 3 дена, во спротивно податоците ќе бидат избришани.

Image: Symantec

Цел на нападите се компјутери во Европа, иако ова можеби е единствено поради периодот во кој започнаа нападите. Почетокот соодветствува со перодот кога компаниите работат во Европа, па малициозниот код полесно се распространува. Нападот го користи EthernalBlue пропустот кој го споделија The Shadow Brokers.

Дел од компаниите кои имаа проблем се: телеком операторот Telefonica во Шпанија; Националната здравствена агенција во Британија; FedEx во САД; Renault во Франција и Министерството за внатрешни работи во Русија. Инциденти се пријавни и во Норвешка, Австралија, Бразил, Шведска. Најчеста цел на хакерите беа компјутери во Русија, Украина и Тајван, јави Avast.

Она што е карактеристично за овие напади е опсегот на нападите. Вообичаено цели на ransomware беа случајни, а нападнатите компјутери се бројат во стотици или илјади. Овојпат цел на нападите се пофокусирани, па така бројот на инфицирани уреди за само неколку часа надмина бројка од 50.000. Проблем со овој напад е и што не е познат почетокот на инфицирањето на системите. Засега се шпекулира дека првата зараза е преку „фишинг“-измама, по што се заразуваат и останатите компјутери во системот. Втора можност е компјутерите да се инфицираат преку SMB-пропуст.

Кога е во мрежата „црвот“ скенира по сите IP-адреси за да пронајде и други компјутери подложни на нападот, вели Ars Technica.

Досега нападите со ransomware се пренесуваа случајно. Некој ќе кликне на линк или ќе отвори реклама. Вака нападите се шират бавно, за неколку месеци ќе се заразат неколку илјади компјутери. Со WannaCry ситуацијата е поинаква, по првата зараза малициозниот код поради искористените пропусти речиси веднаш ги заразува сите компјутери на мрежата.

Нападите успорија кога еден 22 годишен безбедносен експерт вработен во Kryptos logic, пронајде пропуст во кодот. „Kill switch“ кој го забави ширењето на малициозниот софтвер беше нерегистриран домен. Доменот се користеше како „прекинувач“ на нападот. Кодот се обидува да пристапи до него и доколку не постои нападот продолжува. Доколку пристапи успешно, нападите престануваат. Дваесет и две годишниот експерт од Англија го регистрираше доменот и со тоа им стави крај на нападите. Сепак тој предупреди дека хакерите ќе видат дека има пропуст и ќе го променат кодот и нападот ќе продолжи.

Image: MalwareTech

„Ова не е крај на нападите. Напаѓачите ќе сфатат како сме го запреле, ќе хо променат кодот и ќе продолжат повторно. Активирајте ја надградбата на Window, надградете и рестартирајте“, вели MalwareTech за Guardian.

Нападите би можеле да продолжат веќе денес, со повторниот почеток на работната недела. Поради ова сите кои се можна цел на овој напад треба веднаш да го надградат оперативниот ситем. Сите кои не можат да надградат треба веднаш да го блокираат пристапот до портите 138, 139 и 445, како и деактивирање на верзијата 1 на Server Message Block протоколот.

„Во моментов сме соочени со закана која може да ескалира. Бројките растат, загрижен сум дека ова ќе продолжи кога луѓето ќе се вратат на работа и ќе ги вклучат компјутерите во понеделник изутрина“, вели Роб Вејнврајт од Еуропол за BBC.

Со слично мислење е и човекот кој го запре првиот напад, анонимниот безбедносен експерт зад псевдонимот Malware Tech.

„Го спречивме овој напад, но наскоро ќе следи уште еден кој нема да може да го запреме. Има многу пари во ова. Немаат причина да престанат. Напдите ќе продолжат можеби не викендот, но најверојатно веќе од понеделник“.

Опасностите од нападот беа толкави што Microsoft издаде безбедносна закрпа за три оперативни системи за кои претходно беше откажана поддршката. Корисниците на Windows XP, Windows 8 и Windows Server 2003 треба веднаш да го надградат оперативниот систем. Ова важи и за сите корисници кои користат поддржана верзија, но не ја инстaлирале надградбата MS17-010.

 Што да направите?

  • Најдобро е веднаш да се префрлите на актуелната верзија на оперативниот систем или во моментов Windows 10 Creators Update.
  • Ова секако не е можност за сите, останатите треба да ја надградат верзиајта на оперативниот систем на безбедна. Дури и за неподдржаните верзии Microsoft издаде закрпа.
  • Ако претходните две не се опција, блокирајте го пристапот до портите 138, 139 и 445, и деактивирајте ја верзијата 1 на Server Message Block протоколот.
  • Направете бекап на сите поважни податоци
  • Внимателно со отворањето на сомнителни имејл пораки

Иако станува збор за најголемиот ransomware напад досега, заработката од исплатата на откупнината е изненадувачки мала. Анализата на Брајан Кребс вели дека исплатата е само околу 26.000 долари. Оваа бројка најверојатно ќе се промени со крајниот рок кога дел од жртвите ќе започнат да исплаќаат откупнина.

4 коментари на “Опасноста од WannaCry епидемијата продолжува со почетокот на работната недела

Коментирај

Вашата адреса за е-пошта нема да биде објавена.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Слични статии