13. svibanj 2017.

CARNet upozorio na širenje ‘WannaCry ransomwarea‘, otmicu podataka

CARNetov Odjel za Nacionalni CERT danas je objavio detalje o hakerskim napadima koji su u posljednjih danima potresli dobar dio svijeta.

"Pojavio se novi oblik prijetnje na Internetu – ransomware ‘WannaCry‘ (engl. ‘želiš plakati‘, poznat i kao ‘Wana Decrypt0r‘, ‘WannaCryptor‘ ili ‘WCRY‘). Ransomware iskorištava ranjivost SMB protokola (‘EternalBlue‘) kako bi izvršio maliciozni kod nakon čega se šifriraju podaci na računalu te se od korisnika zahtjeva uplata kako bi dobio ključ za dešifriranje podataka.

>>>Popis ugroženih sustava i preporuke korisnicima - MUP

‘Ovo je jedan od najvećih globalnih napada ucjenjivačkim softwareom koji je kibernetička zajednica ikad vidjela‘, rekao je Rich Barger, direktor za istraživanja prijetnji u Splunku, jednoj od tvrtki koja je povezala WannaCry s NSA-om.

Zaraza velikog broja računala u kratkom vremenu i brzo širenje ransomwarea omogućeno je korištenjem DoublePulsar backdoor alata koji je nedavno objavljen na internetu kao skup alata koje koristi NSA. Ugrožena su sva Windows korisnička računala na kojima nije instalirana zakrpa objavljena od strane Microsofta u ožujku (MS17-010).

Kako bi se korisnici zaštitili od ove prijetnje savjetuje se ažuriranje Windows operativnog sustava posljednjim izdanim zakrpama, odnosno minimalno instalacija zakrpe koje ispravlja ranjivost oznake MS17-010. Također se savjetuje blokiranje dolaznih konekcija prema portovima 445 i 139, odnosno potpuno isključivanje SMBv1/CIFS protokola. Dodatno se preporučuje blokiranje konekcija prema TOR čvorovima, odnosno TOR promet kroz mrežu," navod u priopćenju iza CARNet.

Globalni kibernetički napad: Pogođene bolnice i tvrtke, prijetnja zasad popušta

Stotine tisuća računala u gotovo stotinu zemalja pogođene su u petak velikim kibernetičkim napadom softverom za koji se vjeruje da ga je razvila američka Nacionalna sigurnosna agencija (NSA), a među pogođenima su britanski zdravstveni sustav i međunarodna kurirska služba FedEx.

Napad izveden takozvanim ucjenjivačkim softverom (ransomware) blokira pristup računalnom sustavu i potom traži novac, u ovom slučaju između 300 i 600 dolara, kako bi ga odblokirao.

Neke od žrtava platile su ucjenjivačima digitalnom valutom bitcoinom, kazali su sigurnosni stručnjaci, ali ne znaju o kojem je broju žrtava riječ.

Stručnjaci proizvođača softvera Avast kazali su da su identificirali 57.000 zaraženih računala u 99 zemalja, a među najviše pogođenima su Rusija, Ukrajina i Tajvan.

"Silazna putanja"

Neki stručnjaci smatraju da se prijetnja za sada smanjila, dijelom zahvaljujući jednom stručnjaku iz Britanije koji je ograničio širenje zaraze.

"U silaznoj smo putanji, zaraze su jako rijetke, jer se malver (zlonamjerni softver) ne može spojiti na registriranu domenu", rekao je Vikram Thakur, voditelj istraživanja pri Symantecu.

"Brojke su jako male i brzo se smanjuju."

Rusko ministarstvo unutarnjih poslova i ministarstvo za izvanredne situacije objavili su u petak da su također napadnuti, kao i najveća ruska banka Sberbank. Ministarstvo unutarnjih poslova objavilo je da je pogođeno 1000 računala te da je virus lokaliziran.

No napadači bi mogli izmijeniti kod i ponovno pokrenuti ciklus. To se još nije dogodilo, ali vjerojatno hoće, rekao je stručnjak koji je možda zaustavio širenje napada.

Ministri financija G7 obećali su u subotu na sastanku u Italiji da će udružiti snage u borbi protiv sve veće prijetnje međunarodnih kibernetičkih napada, po nacrtu završne izjave skupa.

U Aziji su pogođene neke bolnice, škole, sveučilišta i druge institucije, a puni razmjeri štete još nisu poznati jer je vikend. Situacija će biti jasnija u ponedjeljak.

Kineska agencija Xinhua izvijestila je da su pogođene neke srednje škole i sveučilišta, ne navodeći točno koliko i koje.

U Vijetnamu su prijavljeni deseci slučajeva, ali identitet žrtava nije objavljen. Južnokorejska agencija Yonhap izvijestila je da je pogođena sveučilišna bolnica, dok su u Indoneziji pogođene dvije bolnice.

Napadnuta je i međunarodna kurirska služba FedEx.

Žrtve su i telekomunikacijska kompanija Telefonica u Španjolskoj, portugalski Telecom i Telefonica u Argentini.

U SAD-u je pogođen tek manji broj meta, rekao je Thakur.

Prva baraža u Europi

Napad je počeo u Europi, a dok su napadači pozornost usmjerili na SAD, filteri su već identificirali novu prijetnju i označili poruke s ucjenjivačkim softverom, dodao je.

Američko Ministarstvo domovinske sigurnosti kazalo je da razmjenjuje informacije s domaćim i stranim partnerima i da je spremno pružiti tehničku potporu.

Rusko ministarstvo unutarnjih poslova i ministarstvo za izvanredne situacije objavili su u petak da su također napadnuti, kao i najveća ruska banka Sberbank. Ministarstvo unutarnjih poslova objavilo je da je pogođeno 1000 računala te da je virus lokaliziran.

Eternal Blue

Privatne sigurnosne tvrtke identificirale su ucjenjivački softver kao novu varijantu softvera "WannaCry" koji se može automatski raširiti po velikim mrežama koristeći poznati bug u Windowsima.

Hakeri, koji još nisu preuzeli odgovornost niti su identificirani, stvorili su tzv. crva ili malver koji se sam širi, koristeći dio koda NSA-e poznat pod nazivom Eternal Blue koji je prošli mjesec objavila skupina Shadow Brokers, kazali su privatni stručnjaci.

"Ovo je jedan od najvećih globalnih napada ucjenjivačkim softwareom koji je kibernetička zajednica ikad vidjela", rekao je Rich Barger, direktor za istraživanja prijetnji u Splunku, jednoj od tvrtki koja je povezala WannaCry s NSA-om.

Shadow Brokersi objavili su Eternal Blue kao dio skupine alata za hakiranje koji po njihovim tvrdnjama pripadaju NSA-i.

Microsoft je objavio da pušta automatske nadogradnje Windowsa kako bi zaštitio klijente od ovog napada. Zaštitu od Eternal Bluea pustio je 14. ožujka.