WannaCry se v první fázi šíří tradiční cestou a to jako infikovaná příloha poměrně běžného spamového e-mailu. Pokud tuto přílohu uživatel otevře a nemá spolehlivou antivirovou ochranu, nakazí se tímto ransomwarem. Ten se ale začne posléze sám šířit v lokální síti a to i bez aktivní účasti uživatele. Až do doby, kdy se spustí a zašifruje data, jej tak běžný uživatel nemusí vůbec zaznamenat, tvrdí Eset.
Útok je ale podle Bitdefenderu obzvláště nebezpečný pro firmy. Stačí, aby bylo napadeno jedno zařízení ve firemní síti a virus se šíří dál bez jakékoliv interakce.
Na rozdíl od většiny ransomware se šíří jako virus využívající neaktualizované zranitelnosti v systému. WannaCry se automatizoval a využívá zranitelnosti, která se vyskytuje ve většině verzí systému Windows a dovoluje vzdálenému útočníkovi spustit kód na napadeném počítači. Tento kód dokáže spustit ransomware bez jakékoliv lidské asistence nebo zásahu v místní síti.
V zahraničí podle Esetu zasáhl nemocnice či výrobní závody. Nejsilněji prý byli zasaženi uživatelé v Rusku, Ukrajině a Tchaj-wanu, Check Point dodává, že mezi oběti patří například britská zdravotnická zařízení NHS a mnoho dalších důležitých organizací po celém světě, například v Rusku, Turecku, Indonésii, Vietnamu, Japonsku, Španělsku a Německu. Útokem prý byla zasažená i Telefonica ve Španělsku nebo společnost Santander.
Podle expertů Check Pointu se pro útoky použila verze 2.0 ransomwaru WannaCry. Verze 1.0 se poprvé objevila 10. února 2017 a v omezené míře byla použitá v březnu. Verze 2.0 byla poprvé detekována minulý týden a ta se šířila velmi rychle a globálně.
„Během pondělí se objevila inovovaná verze ransomwaru WannaCry, která neobsahuje deaktivační mechanismus, ale jinak jde o stejný a tedy detekovatelný ransomware,“ říká Robert Šuman z Esetu.
Nikdy předtím přitom nebyl podle Bitdefenderu použitý speciální „tool“ k napadení specifických prostředí a infrastruktur se servery se zranitelnou verzí protokolu Server Message Block (protokol SMB).
Podle Šumana se Česka tato aktuální kampaň dotkla poměrně okrajově. Za celý víkend v Esetu evidují méně než dvě stovky zasažených zařízení. Nezaznamenali prý zatím ani žádnou významnou instituci, kterou by tento malware alespoň částečně ochromil.
Důvody, proč se WannaCry podle Esetu v tuzemsku nešířil více, jsou v tuto chvíli známé dva. Tím prvním je velmi brzká detekce této hrozby, která zamezila větším škodám. Tím druhým je, že Česká republika pravděpodobně nebyla primárním cílem tohoto útoku.
V reakci na tento případ šíření ransomwaru vydala společnost Microsoft celou řadu aktualizací a to i pro systémy, které jinak už nejsou podporovány – například Windows XP či Windows Server 2003.
Řada poskytovatelů bezpečnostního softwaru tvrdí, že jejich zákazníci nejsou zmíněnými ataky ohrožení. Například Bitdefender GravityZone ransomware WannaCry včetně mutací detekuje, zachytí a zablokuje. Využívá k tomu technologie strojového učení a samoučící algoritmy, které odhalují nové a neznámé hrozby v reálném čase.
Také Eset potvrzuje, že jejich bezpečnostní software uživatele před hrozbou tohoto malwaru ochraní. Navíc doporučuje mít rovněž aktivovaný jejich systém včasné ochrany LiveGrid.
Obecně podle Esetu platí, že by uživatel měl vždy věnovat pozornost e-mailům, které otevírá. Zejména pokud působí neobvykle a obsahují libovolnou přílohu. Stejně tak je vhodné pravidelně zálohovat data, o která uživatel nechce přijít, a to mimo svůj počítač.
„Organizace by měly také nasadit pokročilé preventivní technologie, aby hrozbu zastavily ještě před branami podnikové sítě. Zároveň je důležité vzdělávat zaměstnance a informovat je o potenciálních rizicích v e-mailech od neznámých odesílatelů nebo v podezřelých e-mailech, které přichází od známých kontaktů,” dodává Daniel Šafář z lokálního zastoupení společnosti Check Point Software Technologies.
PŘEDPLATNÉ
ČLÁNKY DO MAILU