WannaCry – było groźnie, ale mogło być gorzej

„Ups, twoje pliki zostały zaszyfrowane. Jeżeli chcesz odszyfrować je wszystkie, musisz zapłacić”. Tak wyglądał komunikat, jaki na swoich komputerach otrzymały tysiące użytkowników 12 maja. Początek zmasowanego majowego ataku z użyciem oprogramowania ransomware WannaCry wyglądał imponująco i groźnie, ale dwa tygodnie po tych wydarzeniach można stwierdzić - nie lekceważąc oczywiście zagrożenia - że mogło być znacznie gorzej.

Oprogramowanie wymuszające okup o nazwie WanaCrypt0r, znane też pod nazwą WannaCry, feralnego dnia zaatakowało m.in. komputery pracowników firm telekomunikacyjnych w Portugalii, Rosji i Hiszpanii – dla zatrudnionych w tamtejszej Telefonice weekend zaczął się wcześniej: firma zwolniła swoich pracowników do domów z uwagi na niemożność kontynuowania pracy na zablokowanych stacjach.

Oberwało się też koncernom motoryzacyjnym Nissan i Renault – ten drugi został zmuszony do zatrzymania produkcji – oraz uczelniom wyższym, firmom logistycznym, w tym Fedeksowi, przedsiębiorstwom transportowym (niemieckie i rosyjskie koleje, indyjskie linie lotnicze), a nawet rosyjskiemu ministerstwu spraw wewnętrznych. Najgorzej sytuacja przedstawiała się w Wielkiej Brytanii, gdzie ransomware sparaliżował pracę kilkudziesięciu szpitali skupionych w sieci NHS. W niektórych krajach padły bankomaty, parkometry i automatyczne stacje paliw.

WanaDecrypt0r zmieniał tło pulpitu w zainfekowanym systemie.

WanaDecrypt0r zmieniał tło pulpitu w zainfekowanym systemie.

Wektor ataku

Narzędzie wykorzystane w ataku nosi nazwę Eternal Blue i, jak się wydaje, pochodzi z arsenału amerykańskiej Agencji Bezpieczeństwa Narodowego (za wyciekiem narzędzi hakerskich z NSA i publikacją informacji na ich temat w kwietniu br. stała grupa Shadowbrokers). Eternal Blue do infekcji komputera wykorzystywał lukę w protokole wymiany plików w sieci w Windows – Server Message Block. W pierwszej kolejności w systemie instalowany był rootkit pobierający oprogramowanie ransomware. To z kolei szyfrowało pliki o 179 różnych rozszerzeniach, dodając do nich rozszerzenie .wncry lub .wnry.

Po zakończeniu szyfrowania szkodnik zmieniał tapetę pulpitu i wyświetlał komunikat o konieczności zapłaty równowartości 300 dolarów w walucie Bitcoin za odszyfrowanie danych. W razie trzydniowego opóźnienia w zapłacie okupu jego wartość rosła do 600 dolarów w bitcoinach, a po tygodniu ofiara miała stracić dostęp do plików. Napastnicy w swej łaskawości zapewniali jednak, że użytkownicy „zbyt biedni, aby zapłacić”, mogą liczyć na odblokowanie dokumentów po sześciu miesiącach. Infekując dany system, szkodnik próbował dalej się rozprzestrzeniać, zarówno w sieci lokalnej, jak i przez internet, skanując je w poszukiwaniu kolejnych komputerów z ziejącą w nich dziurą SMB.

Komunikat wyświetlany przez WanaDecrypt0r, zawierający informacje o okupie za odblokowanie plików.

Komunikat wyświetlany przez WanaDecrypt0r, zawierający informacje o okupie za odblokowanie plików.

Co ciekawe, robaka WanaCrypt0r wykryto już na początku roku – eksperci Avasta zidentyfikowali go w lutym, jednak z uwagi na niemrawą propagację nie zwracał on większej uwagi. Jeszcze ciekawsze, że luka w usłudze SMB, którą wykorzystuje narzędzie Eternal Blue, została załatana przez Microsoft w marcu: w połowie miesiąca firma opublikowała biuletyn bezpieczeństwa MS17-010. Łatka była jednak przeznaczona dla wybranych wersji OS-a Microsoftu: Vista, 7, 8.1 i 10. Zasięg ataku skłonił koncern do wydania stosownego patcha również dla wydań już pozbawionych wsparcia technicznego: Windows: XP, Serwer 2003 i 8. To właśnie pod kontrolą tych systemów pracowała większość zainfekowanych maszyn.

Zasięg

Przypadki infekcji odnotowano w ponad 150 krajach, a liczbę zaatakowanych komputerów szacuje się na ok. 200 tys. (według danych F-Secure najbardziej dotknięte atakiem kraje to: Rosja, Chiny, Francja, Tajwan, Stany Zjednoczone, Ukraina oraz Korea Południowa). Trzy dni po wybuchu infekcji, 15 maja, eksperci zespołu CERT Polska podali, że w Polsce wykryto 1235 takich adresów IP.

Interakcje to nie infekcje

Pod adresem https://intel.malwaretech.com/WannaCrypt.html dostępna jest interaktywna mapa incydentów związanych z ransomwarem WannaCry. Mapa działa w oparciu o zarejestrowane domeny, do których odwołuje się ransomware. W początkowej fazie ataku mapa precyzyjnie przedstawiała kolejne incydenty, jednak obecnie ta precyzja spadła, ponieważ narzędzie zlicza wszystkie interakcje z domenami, również te, gdy użytkownicy po prostu otwierają adresy w przeglądarkach. Liczba takich interakcji 19 maja br. wynosiła ok. 417 tys., ale nie jest to równoznaczne z faktyczną liczbą zainfekowanych systemów.

Przedstawiciele firm dostarczających rozwiązania ochronne komentowali na gorąco, że to największy atak ransomware w historii. Z perspektywy czasu można jednak ocenić, że z dużej chmury spadł mały deszcz. Jak podaje CERT Polska, w początkowej fazie ataku okup zdecydowało się zapłacić około 200 osób, a całkowita suma wpłat to równowartość około 50 tysięcy dolarów.

Kto wie, czy skala epidemii nie byłaby znacznie większa, gdyby nie reakcja 22-letniego informatyka Marcusa Hutchinsa, który już w dniu ataku odkrył, jak unieszkodliwić WannaCry. W wyniku analizy szkodnika odkrył on, że oprogramowanie próbuje się połączyć z pewną domeną - w tym konkretnym przypadku było to iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Jeżeli próba połączenia się powiedzie, komponent szyfrujący nie zostaje uruchomiony na danej maszynie, a pliki nie są blokowane, choć jednocześnie rezydujący w systemie robak nadal będzie próbował się propagować.

Hutchins ustalił, że w wypadku posiadanej przez niego próbki wspomniana domena nie była zarejestrowana, wobec czego zarejestrował ją z zamiarem śledzenia skali i dalszego przebiegu ataku. Tymczasem uruchomił tzw. kill switch, coś w rodzaju bezpiecznika, którego aktywacja wygasza atak. Eksperci brytyjskiego Narodowego Centrum Cyberbezpieczeństwa szacują, że zapobiegło to kolejnym 100 tysiącom infekcji.

Analizy kolejnych wariantów szkodnika dowiodły, że adres domeny wygląda inaczej w zależności od wersji, na szczęście bezpiecznik działał tak samo. Jednak w kolejnych, unowocześnionych odsłonach WannaCry, przed którymi ostrzegają specjaliści, cyberprzestępcy mogą „naprawić” to niedopatrzenie.

Działanie narzędzia wanakiwi, pomocnego w usuwaniu skutków infekcji ransomwarem WannaCry.

Działanie narzędzia wanakiwi, pomocnego w usuwaniu skutków infekcji ransomwarem WannaCry.

Teoretycznie plików zaszyfrowanych ransomware’m samodzielnie odblokować się nie dało. Francuscy informatycy opracowali jednak narzędzie o nazwie wanakiwi, które rekonstruowało klucz szyfrujący użyty do zablokowania plików. Wanawiki nie deszyfrowało plików, ale tworzyło ich niezablokowane duplikaty. Warunek był jeden: komputera z WannaCry nie można było restartować przed uruchomieniem wanakiwi.

Wniosek – instaluj łatki

Historia szkodnika WanaCrypt0r / WannaCry dobitnie pokazuje, jak ważna jest systematyczna aktualizacja oprogramowania oraz stosowanie najnowszych wersji aplikacji wspieranych przez dostawców. Zatrzymanie epidemii WannaCry nie oznacza całkowitej eliminacji zagrożenia. Firma Stormshield ostrzega już przez nowym złośliwym oprogramowaniem wykorzystującym tę samą podatność w usłudze SMB. Szkodnik o nazwie Adylkuzz po zainfekowaniu komputera ofiary jest wykorzystywany do pozyskiwania krypotowaluty Monero, podobnej do Bitcoina i również używanej do anonimowych transakcji w sieci. W przeciwieństwie do WannaCry, Adylkuzz pozostaje w ukryciu, aby jak najdłużej móc prowadzić swoje operacje.

Firma Eset przygotowała bezpłatne narzędzie EternalBlue Vulnerability Checker pozwalające sprawdzić, czy system Windows posiada stosowne poprawki, czyniące go odpornym na ataki z wykorzystaniem ransomware’u WannaCry. Po jego uruchomieniu użytkownik otrzymuje informację, czy system Windows został odpowiednio zaktualizowany. Jeżeli nie, należy bezzwłocznie pobrać i zainstalować łatę MS17-010 dla posiadanej wersji Windows.

Przydatne linki

cert.pl/news/single/wannacry-ransomware/ – strona zespołu CERT Polska, zawierająca szczegółowy opis działania i propagacji ransomware’u WannaCry.

malwaretech.com– blog Marcusa Hutchinsa, gdzie we wpisie „How to Accidentally Stop a Global Cyber Attacks” opisuje proces analizy infekcji WannaCry, który w efekcie doprowadził do jej powstrzymania.

blogs.technet.microsoft.com – portal pomocy technicznej Microsoftu. We wpisie „Customer Guidance for WannaCrypt attacks” (w języku angielskim) zawarto wskazówki dla użytkowników systemów Windows dotyczące zagrożenia ransomware’m WannaCry.

github.com/gentilkiwi/wanakiwi/releases – strona w serwisie GitHub zawierająca narzędzie wanakiwi wraz z dokumentacją.

eset.pl/special/WannaCry – adres, pod którym dostępne jest narzędzie EternalBlue Vulnerability Checker pozwalające sprawdzić, czy w system operacyjny jest podatny na atak ransomware’u WannaCry.


Zobacz również