W środę instytucje państwowe musiały po raz drugi w ciągu dwóch miesięcy stanąć do walki z cyberatakiem, który objął część krajów Europy, Stany Zjednoczone oraz Azję. Hakerzy zablokowali komputery w wielu spółkach, żądając okupu w zamian za odzyskanie danych. Złośliwe oprogramowanie zaatakowało m.in. francuski koncern produkujący materiały budowlane Saint-Gobain, amerykańskiego giganta farmaceutycznego Merck, brytyjską agencję reklamową WPP i rosyjską spółkę metalurgiczno-wydobywczą Evraz.
Microsoft poinformował, że atak rozpoczął się na Ukrainie, a pierwszym celem był program M.E.Doc, wykorzystywany przez ukraińskie firmy do rozliczeń podatkowych. Wkrótce złośliwe oprogramowanie rozprzestrzeniło się w co najmniej 64 krajach. Również słowacka firma ESET, produkująca program antywirusowy NOD32, twierdzi, że do pierwszej infekcji doszło za pośrednictwem M.E.Doc. W sumie zaatakowano ponad 12,5 tysiąca firm.
Na ekranach zainfekowanych urządzeń wyświetla się czerwony tekst na czarnym tle. Jego treść jest następująca: "Ups, twoje ważne pliki zostały zaszyfrowane. Jeśli widzisz ten tekst, twoje pliki nie są już dostępne, gdyż zostały zaszyfrowane. Być może próbujesz teraz odzyskać pliki, ale nie trać czasu".
Firma Symantec stwierdziła, że złośliwe oprogramowanie rozprzestrzenia się dzięki exploitowi (programowi wykorzystującemu błędy w oprogramowaniu) zwanemu EternalBlue. Exploit ten został ujawniony w kwietniu przez grupę hakerów Shadow Brokers, którzy wykradli go amerykańskiej agencji wywiadowczej NSA. W maju został on wykorzystany do rozpowszechnienia wirusa WannaCry. W wyniku tamtego ataku ucierpiały instytucje w ponad 150 państwach.
"To oczywiste, że ostatni atak był inspirowany WannaCry" - stwierdził Gavin O'Gorman, analityk Symantec. "W przyszłości możemy się spodziewać kolejnych ataków tego typu".
EternalBlue wykorzystuje lukę w systemie Windows. W marcu Microsoft wypuścił łatkę, lecz nie wszyscy użytkownicy ją zainstalowali.
Zdaniem ekspertów użytkownicy prywatni, którzy aktualizują oprogramowanie na bieżąco, są bezpieczni. Wystarczy jednak zapomnieć o aktualizacji jednego komputera firmowego, aby wirus rozprzestrzenił się na całą sieć.
Hakerzy podali adres portfela Bitcoin, na który należało przesłać równowartość 300 dolarów, by odzyskać dostęp do plików. Niektórzy zapłacili okup, lecz wiadomo już, że cyberprzestępcy utracili dostęp do konta. Wyklucza to możliwość odzyskania skradzionych plików.
W wyniku cyberataku najbardziej ucierpiały Ukraina oraz Rosja. Przestępstwo zgłaszały też niektóre azjatyckie firmy, lecz wygląda na to, że problem nie jest tam tak poważny, jak w Europie i Stanach Zjednoczonych. Symantec szacuje, że ofiarami cyberataku padło co najmniej kilkadziesiąt amerykańskich firm.
Eksperci ds. cyberbezpieczeństwa twierdzą, że złośliwe oprogramowanie atakuje jądro systemu operacyjnego, przez co programy antywirusowe mają problem z jego wykryciem. Komputer z lukami w zabezpieczeniach może więc przysporzyć firmie bardzo poważnych kłopotów.
Koszty wzmocnienia zabezpieczeń mogą być wysokie, lecz podjęcie takich działań jest konieczne, by uniknąć skutków cyberataków w przyszłości.
- https://www.nytimes.com/2017/06/28/business/ramsonware-hackers-cybersecurity-petya-impact.html
- https://www.nytimes.com/2017/06/27/technology/global-ransomware-hack-what-we-know-and-dont-know.html
- http://money.cnn.com/2017/06/28/technology/ransomware-attack-petya-what-you-need-to-know/index.html
- https://www.theguardian.com/world/2017/jun/27/petya-ransomware-attack-strikes-companies-across-europe
