Шпекулации дека WannaCry доаѓа од Северна Кореја

Стотици илјади заклучени компјутери во над 150 држави и стотици компании беа дел од најголемиот ransomware напад. Досега никој не презема одговорност за нападите, а во биткоин новчаниците на хакерите „легнаа“ околу 55.000 долари. Агенцијата за електронски комуникации, преку сајтот на Националниот центар за одговор на компјутерски инциденти во Македонија издаде насоки за заштита кои може во целост да ги разгледате на крајот на текстот.

Сепак засега никој не презема одговорност за нападот, ниту експертите се подготвени да обвинат некого. Прв кој воопшто се осмели да коменитира е Нил Мехта (Neel Mehta), истражувач од Google. Тој сподели дека дел од кодот кој се појави во февруари е реупотребен од Contopee. Овој код се поврзува со групата Lazarus која пак се поврзува со властите во Северна Кореја, пренесува Wired.

Lazarus е зад нападите на Sony Pictures во 2014, но и зад нападот на SWIFT банкарскиот систем. Групата успеала да украде десетици милиони долари од банки од Виетнам и Бангладеш.

Слични податоци изнесе и Kaspersky Labs. Сепак потсетија дека повторната употребата на кодот може да се користи и за да се скрие вистинскиот виновник. Иако ова е можно, од Kaspersky сметаат дека е малку веројатно.

Зошто се сомнева на Северна Кореја?

Една од главните причини кои упатуваат на Северна Кореја е малата заработка. Ако станува збор за хакер кој ова го прави единствено за профит тогаш тој најверојатно е неспособен. Вештината за интегрирање на NSA безбедносниот пропуст во кодот, и потоа додавање на куп грешки е необјаснива. Зошто напаѓачот воопшто додал „kill switch“ на кодот? Потоа креирање на изменета верзија со истиот пропуст, кој  е искористен да се запре и втората верзија на „црвот“.? Додавањето на овој прекинувач го запре ширењето на црвот, што не е нешто што е посакувано за некој кој сака да зарази што е можно повеќе компјутери. Претходно рансомверот Angler кој ни одблиску не се прошири како WannaCry „заработи“ 60 милиони долари.

Дополнително биткоините се уплаќаат на само четири адреси. Ова според експертите од Kaspersky Labs, може да значи само две работи. Првата и прилично неверојатно, креаторите на црвот некако рачно ги организираат овие податоци. Втората, напаѓачите немаат намера да ги испратат клучевите. Без разлика која од двете опции е вистинската, најголем дел, аке не и сите жртви ќе останат без клучеви. Ова секако нема да мотивира повеќе уплати.

Поради овие причини експертите се сомневаат дека цел на нападите не е богатење туку креирање на хаос. Во нападите се користи пропуст, EternalBlue за кои Shadow Brokers тврдат дека доаѓа од Националната агенција за безбедност. Хаосот кој го предизвикува нападот можеби треба да предизвика сомнеж во капацитетот на NSA.

Колку и да не ни се допаѓа сепак напаѓачите не се единствени виновници. Најголем дел од вината лежи во агенциите како NSA кои наместо навремено да ги известува компаниите за да ги затворат овие пропусти ги крие за самата да ги користи. Дел од одговорноста е и кај Microsoft кој мора побрзо да реагира во затворање на безбедносните пропусти. Конечно виновни се и корисниците кои не ги надградуваат оперативните системи навремено, па вакви напади се можни. Во овој случај Microsoft издаде закрпа уште во март, доколку ИТ-тимовите ги надградеа своите системи ефектите од нападите ќе беа далеку помали.

Од Microsoft јавно испрати и критика од NSA за ненавремено известување за грешките во нивниот софтвер.

Секако трапавоста на напаѓачите во овој случај е среќна околност. Сите добија предупредување на напад кој објективно без „kill switch“ ќе беше значително поопасен и пораширен. Сепак не се сите во загуба по нападите. Акциите на компаниите кои се дел од индустријата за онлајн безбедност, се во постојан раст по појавувањето на Wannacry.


Соопштение од Агенција за електронски комуникации

Националниот центар за одговор на компјутерски инциденти (MKD-CIRT) ги препорачува следните проактивни и реактивни мерки за заштита од “WannaCry” рансомвер. Напоменуваме дека се загрозени сите верзии на Windows оперативните системи на кои не се инсталирани најновите безбедносни закрпи.

Проактивни мерки за заштита од “WannaCry” рансомвер:

  • Инсталирање на закрпата за Microsoft оперативните системи, објавена во препораката MS17-010, издадена од Microsoft во март 2017 година.
  • Инсталирање на закрпи на сите Microsoft оперативни системи за кои Microsoft официјално не дава поддршка: Windows XP, Windows Wista, Windows 8 и Windows Server 2003. Закрпите се достапни во делот “Further resources” на следниот линк: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/.
  • Надградба на веб-прелистувачите во последната достапна верзија.
  • Задолжително користење на навремено ажурирани антивирусни и анти-малвер алатки.
  • Исклучување на SMBv1 протоклот со следење на чекорите кои се документирани во следниот натпис: Microsoft Knowledge Base Article 2696547.
  • Блокирање на влезниот SMB сообраќај на портите 445 и 139  на рутерот или firewall-от.
  • Контролирање на сите влезни извршни датотеки преку Web/Proxy инфраструктура.
  • Анализа на системите во локалната компјутерска мрежа кои можат да бидат подложни на напад и евентуално изолирање, ажурирање или исклучување на истите.
  • Издвојување и исклучување од мрежата на системите кои немаат поддршка или закрпи од производителот.
  • Како дополнителна опција, постои јавно објавена алатка за превенција на извршување на WannaCry 2.0. https://www.ccn-cert.cni.es/en/updated-security/ccn-cert-statements/4491-updated-version-of-ccn-cert-s-tool-to-prevent-the-execution-of-the-ransomware-wannacry.html. Оваа алатка не е наменета за користење кај веќе инфицирани компјутери.
  • Внимателно постапување со сите сомнителни е-маил пораки кои содржат потенцијално злонамерен документ во прилог  или URL во текстот на пораката.
  • Предупредување до сите вработени за внимателно постапување со е-маил пораките
  • Проверка на статусот на системот за чување на безбедносни копии од податоците (анг. backup) и интегритетот на безбедносните копии на податоците.

Реактивни мерки

  • НЕ се препорачува плаќање на откупот!  Нема никакви гаранции дека податоците ќе бидат вратени. Не се препорачува ни било каков обид за контактирање со напаѓачите.
  • Изолација/ исклучување на инфицираниот компјутер од мрежата (притоа, не треба да се заборави безжичната поврзаност), како би се спречило понатамошното ширење на злонамерниот софтвер.
  • Во случај да дојде до инфекција на компјутерот и криптирање на податоците, се препорачува шифрираните податоци да се сочуваат пред да се отстрани злонамерниот програм од компјутерот. Постои можност во поблиска или подалечна иднина да биде пронајден клучот за декрипција, иако нема гаранција за ова. Иако во овој момент нема бесплатен декриптор за овој рансомвер, проверувајте ја веб страницата NoMoreRansom  на која се објавуваат бесплатни декриптори.
  • Се препорачува сосема нова инсталација на оперативниот систем и/или враќање на зачувани податоци од безбедносна копија (анг. backup) и итно инсталирање на најновите безбедносни закрпи и надградби на оперативните системи.

Безбедносни препораки

  • Општо, најдобра заштита од рансомвер е често и веродостојно правење на сигурносни копии на податоците (анг. backup) и чување на истите одвоено од компјутерот на кој се изработуваат
  • Уредот на кој се чуваат безбедносни копии на податоците (анг. backup) треба да биде исклучен од мрежата или системот, затоа што рансомверот се обидува да ги криптира локалните датотеки на хард-дискот, преносните медуми и поврзаните мрежни папки.

Коментирај

Вашата адреса за е-пошта нема да биде објавена.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Слични статии