Egyéves lett a brutális vírus

A tavaly roppant nagy károkat okozó WannaCry zsaroló program a napokban ünnepli egyéves születésnapját. Ennek apropóján érdemes felidézni a károkozó legfontosabb sajátosságait, mert azok sok tanulsággal szolgálnak.
 

Az ESET biztonsági cég szakemberei egy összefoglalót készítettek a WannaCry (más néven WannaCryptor) zsaroló program történetéről. Egy ilyen visszatekintő a számítógépes vírusok gyorsan változó világában akár feleslegesnek is tűnhet, de mégsem az. A szerzemény ugyanis számos olyan technikával rukkolt elő, amelyek napjainkban is jól rávilágítanak a vírusvédelem, valamint a patch management fontosságára.
 
Egy javított sebezhetőség segítette a károkozót
 
A WannaCry aktiválásához nem szükséges linkre vagy csatolmányra kattintani, mert a kártevő az EternalBlue névű, szoftveres sebezhetőség kihasználásával támad. Ezért különösen azon rendszerek esetében jelent kockázatot, amelyekben a fájl- és nyomtatómegosztásra használt Microsoft Server Message Block (SMB) összetevők elavultak, nem megfelelően frissítettek.
 
Az interneten a 445-ös (általában SMB-vel társított) nyitott portok után kutatva a támadók kihasználhatják az SMB hibáját, és telepíthetik a DoublePulsar nevű támadó eszközt. Ez egy hátsó kaput létesít, ami megnyitja az utat a hírhedt zsarol program előtt, amely települ, majd titkosítja a fájlokat.
 
Azt is fontos megjegyezni, hogy a Microsoft már a kártevő globális elterjedése előtt 59 nappal kiadott egy kritikus biztonsági frissítést, illetve jóval a támadások előtt figyelmeztette a felhasználókat, hogy az SMB első verziójának (SMBv1) használata sebezhetővé teheti a rendszereket, emiatt annak használata a továbbiakban nem javasolt.
 
Nem a pénzszerzés mitoválta a támadókat?
 
Az ESET egyik szakembere nemrégen mutatott rá arra, hogy a kártevő üzemeltetői nem tartották be a titkosított fájlok feloldására tett ígéreteket, pedig sok áldozat kifizette a váltságdíjat. A támadók nem is rendelkeztek olyan megoldással, amelynek révén megállapíthatták volna, hogy ki fizetett.
 
Elmondható, hogy az akció bizonyos szempontból pénzügyi kudarc volt a támadók számára, tekintettel a kampány terjedelmére és az okozott kár mértékére. A támadás mintegy 300.000 gépet veszélyeztetett, amelyek tulajdonosainak gépenként 300 dollárt (három nap után 600 dollárt) kellett volna fizetniük a titkosítást feloldó kulcsért. A WannaCryhoz társított három Bitcoin fiók tulajdonosai - eddig ismeretlen módon - július végén és augusztus elején kiürítették a számlájukat, amelyen körülbelül 52 bitcoin (140.000 dollár) volt. Az ESET szerint más zsarolóvírussal elkövetett támadások sokkal kevesebb áldozat megfertőzésével is dollármilliókat hoztak a kiberbűnözők konyhájára.
 
A fentiek ismeretében a biztonsági szakemberek úgy vélik, hogy a támadást nem a pénzszerzés motiválta, hanem az adatok megsemmisítése. De az is lehet, hogy egy kisebb akció irányítása csúszott ki a bűnözők kezéből.
 
A 10 dolláros megoldás
 
A WannaCry rombolását Marcus Hutchins, egy 22 éves angol kártevőelemző felfedezése állította meg. A kutató a kódmintákat vizsgálva észrevett egy sajátosságot: a kártevő megpróbált összekapcsolódni egy fura elnevezésű, regisztrálatlan domain címmel.
 
A szakember elkezdte vizsgálni a domaint, majd 10 dollárért regisztrálta is azt, amely a zsarolóvírus végét jelentette. Amikor a WannaCry csatlakozott a már élő, működő domainhez, akkor ahelyett, hogy megkezdte volna a terjedést és a lemezek titkosítását, egyszerűen leállt.
 
Azonban az ügy még egy fordulatot tartogatott: Hutchinst letartóztatták, és megvádolták a Kronos nevű banki trójai program fejlesztésével, terjesztésével. Később számos gyanús online személlyel való együttműködéssel is megvádolták. Jelenleg is őrizetben várja a tárgyalást. Ha a vád bebizonyosodik, akkor akár 40 évnyi börtönbüntetéssel is sújthatják.