Vineri, un ransomware denumit ulterior WanaCryptOr 2.0, sau WannaCry, a încriptat calculatoare și rețele de calculatoare din întreaga lume, atacatorul solicitând bani pentru deblocarea acestora.
Ransomware este un software rău intenționat care blochează sistemele pe care le infestează, afișând un mesaj prin care atacatorul slicită bani pentru deblocarea acestora. Aplicațiile ransomware mai avansate ăncriptează fișierele din calculatorul victimei, astfel încât acestea nu mai pot fi accesate decât după deblocare. Sau poate bloca întreg hard-discul. Pentru deblocarea fișierelor sau a hard-discului este nevoie de o cheie de decriptare.
Atacurile cu ransomware s-au dezvoltat inițial în Rusia, răspândindu-se apoi în toată lumea. Atacatorul care a folosit troianul CryptoLocker pentru criptare, de ex., a reușit să obțină de la victime cca. 3 milioane dolari înainte de a fi prins de autoritățilke din SUA, iar cu CryptoWall s-au extorcat cca. 18 milioane dolari până în iunie 2015.
În București, cunosc mai multe cazuri de astfel de atacuri, în care victimele au preferat să plătească în bitcoin și să recupereze datele decât să riște apelând la autorități.
Co0nceptul inițial a fost dezvoltat de Young and Yung la Universitatea Columbia, SUA, și prezentat la Conferința IEEE din 1996. Acest concept a fost denumit extorcare criptică, și definea 3 etape în dezvoltarea atacului:
- Atacatorul generează o cheie de criptare și plasează o cheie publică într-un malware care este apoi răspândit
- Malware generează o cheie simetrică aleatorie și încriptează cu ea sistemul victimei, folosind cheia publică (încriptare hibridă). Rezultă un mic text cifrat asimetric și textul cifrat simetric al datelor victimei. Șterge apoi parametrii sensibili al cheii simetrice și ai textului original pentru a preveni decriptarea. Pune un mesaj pentru victimă cu textl cifrat asimetric atenționându-l asupra atacului și cum va plăti pentru a i se debloca sistemul. Victima, dacă se decide să plătească, trimite textul cifrat asimetric și banii virtuali (de obicei bitcoin) atacatorului.
- Atacatorul primește banii, decriptează textul cifrat asimetric cu cheia sa privată, și trimite victimei cheia simetrică. Victima descifrează datele încriptate cu ajutorul cheii simetrice.
Cheia simetrică e generată aleatoriu, fiecare cheie fiind valabilă doar pentru o victimă.
Atacurile ransomware se folosesc de troieni, care se instalează în sistemul victimei prin descărcarea unui fișier sau exploatarea unei vulnerabilități a rețelei. Victimele sunt convinse să descarce troianul prin false atenționări pe pagini contrafăcute
În cazul lui WannaCry, acesta exploatează o vulnerabilitate din Microsoft Windows care a fost descoperită și folosită de National Security Agency și apoi expusă publiuc prin scurgeri de informații la nivelul agenției.
Până în prezent Interpol a identificat infestarea a 200.000 sisteme din 150 țări cu acest ransomware, dar se așteaptă ca numărul lor sp crească mult în perioada următoare. Atacul a dereglat printre altele sistemul public de sănătate din Marea Britanie cu consecințe grave asupra pacienților, dar și alte instituții din China, Germania, India, și SUA.
Un cercetător din Marea Britanie a descoperit un remediu de urgență prin care se stopează răspândirea atacului, dar atacatorul poate actualiza oricând aplicația sa ransomware pentru a anula aplicația englezului. Ministerul Apărării din Marea Britanie a anunțat că submarinele lor nucleare folosesc aceeași versiune de Windows care este vulnerabilă la aceste atacuri.
Atacatorul solicită cca 300 dolari pentru fiecare calculator blocat.
Există zvonuri conform cărora atacul ar fi fost declanșat în fapt de o țară, și nu de un individ. Rusia, atacată și ea de WannaCry, sugerează că atacul ar fi o răzbunare a americanilor păentru amestecul rușilor în campania prezidențială din SUA.
Lasă un răspuns