See eskaleerus kiiresti! Kui te reedel uudiseid ei lugenud (või pistsite pea liiva alla), siis peaksite teadma, et planeeti Maa tabas just tohutu pahavaralaine, tekitades suuri laineid infoturbe sfääris ja veel suuremaid laineid ohvrite jaoks. Süüdlane? Lunarahavara, mida ESET nimetab WannaCryptoriks, aga mida tuntakse ka Wanna Cry ja Wcrypt nime all, on kiiresti levinud ning kasutab lekitatud NSA faile, nimelt eternalblue (igavene sinine) SMB tarkvara.
Erinevalt enamikest krüptitud tüüpi pahavarades on sellel teatud ussilaadsed omadused, mis võimaldavad sel iseenesest levida. Selle tulemusena on see tõepoolest väga kiiresti levinud. Inglisekeelse versiooni ohvrid näevad sellist pilti:
Lugu sai alguse Hispaania sidesektorist ning levis sealt kiiresti edasi ja laiali. Kuna klientideks on paljud Ladina-Ameerika riigid, siis varsti nähti seda üle lombi hispaania keeles sellisena:
Seejärel ilmusid teated, et rünnaku alla on sattunud paljud tervishoiuasutused, erinevad kaubanduslikud veebilehed, terved ettevõtete võrgud ning pea igat tüüpi sinna vahele jäävad võrgud.
Ohvrite jaoks on kõige hullem asjaolu, et rünnakust puudutatud failid on krüptitud ning ründaja on ainuke allikas selle tagasipööramiseks. Sellel võivad olla kohutavad tagajärjed, eriti tervishoiusektoris. Krüptitud patsientide haiguslugusid, arstide faile ja teisi asju ei saa kasutada või pole ligipääsetavad, kui pole head varundamissüsteemi, kust neile ligi pääseks.
Failide dekrüptimise eest nõutav lunaraha on umbes 300 dollarit, mis on õigupoolest vähem, kui teised lunarahavarad siiani nõudnud on, kuid tõeliseks hinnaks on aeg, kadunud failid ja muu pahavarast tingitud kaasnev kahju.
Selle puhangu tulemusena kerkib esile ka teine teema: vastutus. Kasutatav tarkvara eternalblue on vabalt alla laadimiseks kättesaadav paljudes foorumites. Ma olen igati uuringute poolt, kuid panna avalikku foorumisse hästi arendatud tarkvara, mis võib mõjutada sadu tuhandeid töötavaid arvuteid, tundub pisut liiast. Vähemalt minu arvates. Mis sai vastutustundlikust avalikustamisest???
Vastutustundlik käitumine
Õnneks te saate ise paljugi ära teha, et end sellise ohu eest kaitsta, ning peaksite sellega algust tegema pigem varem kui hiljem:
- Paigaldage pahavaravastane tarkvara – te olete sellest ehk mitmeid kordi kuulnud ning selle mainimine võib tunduda korduv. Kuid kui ma poleks nii mitmetel kordadel kokku puutunud olukordadega, kus mulle öeldakse: „See on server ja meil on tulemüürid, nii et me siia pahavaravastast tarkvara ei paigalda,“ või „Mul on liiga palju probleeme, et siia serverisse viirusetõrjet paigaldada,“ siis ma seda ei mainiks. Aga seda on juhtunud. Seega ma mainin seda. Palun paigaldage tuntud pahavaravastane tarkvara ning andke endale võimalus pahavara peatada, enne kui te nakatute.
- Näiteks ESET-i võrgu kaitsemoodul blokeeris pahavara rünnakukatseid võrgu tasandil juba enne, kui antud pahavara üldse loodi. ESET suurendas kaitsetaset, lisades antud ohu tuvastamise kujul Win32/Filecoder.WannaCryptor.D; esmakordselt tuvastatud 15404 VSD-s, välja antud 12.05.2017 13:20 CEST (UTC/GMT +02:00). Enne seda kaitses ESET-i LiveGrid selle rünnaku vastu alates umbes 11:26 CEST
- Uuendage oma Windowsit. Palun! Ma tean, et programmiparandusi on väga raske kogu võrku viia. Aga uskuge, te tahate selle paigaldada. See on olnud saadaval aprilli keskpaigast ning takistab pahavaral teie süsteemis kanda kinnitamast. Uuenduste nimekirja kõikidele Equation Group failidele leiate siit.
- Olge intelligentne! Inimesena, kes uurib viiruseid, pahavarasid ja teisi infoturbega seotud asju, on teadmine pool lahingust. Eriti kui pahavara lekitatakse ja luuakse niivõrd kiiresti. Kasutades Threat Intelligence’i, õnnestus mul luua asjakohased YARA reeglid, mis tuvastasid Equation Groupi lekitatud pahavara failidesse puutuvaid faile ja omadusi. Neid objekte on palju tuvastatud. Viimase paari nädala jooksul säras mu esipaneel nagu jõulupuu ja ma ei usu, et see niipea lõpeb. Selline info ja eelkõige sellised ühendused aitavad teil langetada paremaid otsuseid selle kohta, mida kaitsta ja kuidas seda kaitsta (uuendada tarkvara, kas minu firma on ohus jne).
Rohkem infot WannaCryptor ohu ja ESET-i kaitsestrateegiate kohta leiate siit ESET-i teadmiste baasi artiklist. Siit saate aga vaadata, kui palju pahavarakelmid on sellelt rünnakult bitcoinides teeninud.
Allikas: WeliveSecurity