Blog

WannaCry ransomware: što je zapravo novoga?

Kada su me majka, a zatim i punica pitale što se to događa s najnovijim hakerskim napadom, shvatio sam koliko je IT sigurnost počela prožimati javni prostor i postala zapravo mainstream tema (do prije par godina, hakerski napadi su bili od interesa užoj zajednici IT profesionalaca i geek-ova).

Što je zapravo novoga s ovim napadom? Masovnost i panika koju impliciraju mediji, svakako je pretjerana. Istina, ovo je prvi put nakon davne 2008. godine i Conficker crva da u opticaju postoji tzv. wormable exploit koji omogućava automatsko širenje malware-a bez interakcije korisnika (isti ne mora išta kliknuti, samo je dovoljno spojiti ranjivo Windows računalo na mrežu gdje postoji aktivnost malware-a).

Ipak, kako bismo stvari stavili u kontekst, evo što kažu statistike po pitanju širenja Confickera:

  • Conficker se pojavio u 11. mjesecu 2008., a varijanta Conficker.B iz 01/2009. je bila toliko uspješna da je u prvih 24 sata zarazila više milijuna računala širom svijeta, što ga čini puno masovnijom pojavom nego trenutno širenje WannaCry crva (cca 200,000 zaraženih računala u prva 24 sata);
  • procjene govore da je Conficker na vrhuncu postigao raširenost do čak 15 milijuna računala, što je daleko od trenutnih “postignuća” ovog crva;
  • i dan danas podaci govore da je prastari Conficker crv aktivan na gotovo 400,000 računala, i dalje više nego trenutna raširenost WannaCry crva (naravno, ovo može drastično narasti i izmijeniti odnose sljedećih sati i dana);
  • praksa pokazuje da i danas mnoge organizacije u regiji imaju aktivnog Conficker crva u svojoj lokalnoj mreži, skoro desetljeće nakon prve pojave!

Masovnost ovog novog napada nije dakle novost niti nešto bez presedana, pogotovo ako uzmemo u obzir da je davne 2008. bilo znatno manje Windows računala dostupnih za zarazu.

Nije nov niti mehanizam širenja jer se temelji na tzv. SMB transportu (i servisu koji uobičajeno radi na svakom Windows računalu), slično kao što to čini i Conficker.

Što je dakle novo:

  • za razliku od prethodnog Conficker crva, WannaCry donosi sa sobom vrlo opipljivu realnost uništavanja podataka temeljenu na ransomware kriminalnom poslovnom modelu. Stoga i puno veća zabrinutost korisnika, a time i osjetljivost medija na ovu temu;
  • veća inovativnost cyber kriminalaca u širenju malware-a upravo zbog brze monetizacije malware-a kroz poslovni model;
  • veća ovisnost kritičnih sustava o tehnologiji nego 2008. godine. Rastući javni web servisi, bilo državni ili privatni, upareni sa sveprisutnim smartphone uređajima su svakako ojačali ovisnost društva o IT tehnologiji;
  • posljedično i veća pažnja državnih institucija i birokrata koji ovu temu sve više doživljavaju kao svoju nadležnost te se osjećaju pozvanima komentirati (od Europola, preko različitih zavoda i vijeća do ministarstava unutarnjih poslova);
  • istovremeno i veća sigurnost Windows operativnog sustava (mnogi su zaboravili naivnost Windows 2000/XP inženjeringa i ranjivosti tih davnih verzija). Microsoft je zadnjih par godina značajno izmijenio Windows Update podsustav i osigurao puno veću automatizaciju ažuriranja, ali i korisnike poticao na najnovije i manje ranjive verzije Windowsa. Stoga ne čudi nešto manja masovnost ovog napada u odnosu na Conficker: ovaj sadašnji napad je većinom uspješan u organizacijama koje koriste relativno zastarijela i neažurirana računala, često u neefikasno i neprofesionalno vođenim IT odjelima;
  • tendencija državnih agencija (u ovom slučaju američka NSA) da čuvaju tajnim određeni exploit tj. recept za iskorištavanje propusta i ne obavještavaju proizvođača o istome jer ga koriste kao taktičko oružje u nadmetanju sa rivalskim agencijama (vulnerability stockpiling). Ovo rezultira pozivima za kolektivnu akciju slično kao Ženevska konvencija, samo u kontekstu cyber ratovanja.

Zaključno

Iako nema govora o presedanu i neviđenoj pojavi, činjenica jest da ovaj najnoviji napad uparen sa sve većom ovisnošću društva o IT tehnologiji, naglašava potrebu za kulturom IT sigurnosti koja počinje s edukacijom korisnika i administratora IT sustava, a završava s propisno konfiguriranim antimalware rješenjem. Pritom je ključno analizirati i razumijeti kritične točke i izvorišta rizika u IT sustavu organizacije te adekvatno preventivno djelovati. IT administratori ovdje imaju ključnu ulogu.

Želite saznati više o malware rizicima? Kontaktirajte nas!

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter