WannaCry še vedno ‘živi’ na 145.000 okuženih napravah
Za WannaCry smo prvič slišali v maju 2017, ko se okužba začela širiti na sisteme Microsoft, z izkoriščanjem ranljivosti, ki jo je le ta zakrpal dva meseca pred tem.
Virus WannaCry je bil ukraden Agenciji za nacionalno varnost (NSA), znan kot EternalBlue. Napad je potekal tako, da se je virus širil sam. S tem se uvršča med programe, ki jih poznamo kot ‘worm’ (črv). Le v nekaj urah se je razširil v kar 74 držav, med njimi tudi v Slovenijo.
Podatki iz zadnjega polletja kažejo, da so naprave, ki so po vsem svetu okužene s samo-propagirajočim ‘ransomware’ (izsiljevalskim virusom), ogrozile tiste organizacije, ki ne skrbijo za redno posodabljanje svojih sistemov/naprav.
Zakaj WannaCry še vedno predstavlja grožnjo?
Dve leti po napadu virusa, ki je uspel zaustaviti proizvodne in procesne sisteme v večjih organizacijah, le ta še vedno obstaja na približno 145.000 napravah. Še naprej pa se poskuša razširiti na nepodprte različice Microsoft Windows.
Armis, podjetje, ki se ukvarja z varnostnimi rešitvami na področju IoT, je v 6-mesečnem obdobju zbralo podatke s strežnikov ‘honeypots’ in ‘DNS cache’ ter ugotovilo, da je veliko število naprav še vedno okuženih z izsiljevalskim virusom WannaCry. Globalno gledano je skoraj 60 % proizvodnih in 40 % zdravstvenih organizacij imelo vsaj eno napravo, ki jo je ogrozil WannaCry.
»Nadaljnji uspeh virusa je predvsem posledica neposodobljenih različic operacijskega sistema Microsoft Windows, ki so vgrajene v težko posodobljive industrijske in poslovne naprave,« pravi Ben Seri, podpredsednik za raziskave pri Armisu.
Tovrstne naprave so del vzpostavljenega delujočega (kritičnega) sistema – v proizvodnji, zdravstvu ali infrastrukturi – z zastarelo programsko opremo, zato je nameščanje varnostnih popravkov rizično, saj lahko povzroči nedelovanje, ponovni zagon ali celo zaustavitev sistema in s tem motnje v poslovanju.
Podjetje Armis je pregledalo več kot 10.000 strežnikov DNS v 120 državah. Želeli so ugotoviti, koliko zahtevkov se pojavi iz naslova WannaCry. Podatki kažejo, da so ranljivi sistemi še vedno okuženi z originalno različico virusa. Poizvedba o možnosti širjenja v splet se izvede približno enkrat na sekundo.
Spoznajte WannaCry – kako deluje in kako zgraditi obrambo– v beli knjigi WannaCry – Vse, kar morate vedeti’
Ali se napadu WannaCry lahko izognete?
Lahko rečem, da WannaCry še zdaleč ni izkoreninjen. Kakšno je stanje pri vas? Ali ste od takrat, ko ste prvič slišali za izsiljevalski virus WannaCry, nadgradili svoje sisteme ali ste mnenja, da se vam okužba ne more zgoditi?
Zavarujete se pred zlorabami z implementacijo Microsoftovih popravkov in se prijavite na Smart Com neodvisni varnostni pregled, ki vam bo razkril ranljivosti in analizo stanja vašega informacijskega sistema.
Prispevek je pripravil Boris Krajnc.