Atacul cibernetic de vineri a blocat peste 200.000 de calculatoare în mai bine de 150 de țări din întreaga lume, iar mai departe acest lucru a perturbat activitatea unor mari companii sau instituții din lume. Renault a oprit producția Dacia la Mioveni și activitatea în Franța, în vreme ce în Marea Britanie mii de pacienți au fost trimiși acasă deoarece calculatoarele spitalelor nu funcționau.
Dar cum de a putut avea loc? Ei bine, totul începe cu Microsoft. Gigantul american produce cele mai populare sisteme de operare din lume, respectiv cele din gama Windows. Acestea se găsesc pe mai bine de 90% din calculatoarele aflate în uz în întreaga lume, fiind practic un cvasi-monopol.
Dar Microsoft le-a codat prost, astfel că a rămas o vulnerabilitate în codul-sursă. Mai departe intră în scenă NSA – agenția americană de securitate internă. Aceasta a detectat vulnerabilitatea cu pricina și a creat un software care să o folosească și să preia controlul calculatoarelor ”victime”. Unealta cu pricina se cheamă ”EternalBlue”, iar vulnerabilitatea se cheamă ”WannaCry”.
Hackerii care au declanșat atacul de vineri au folosit softul cu pricina realizat de către NSA pentru a bloca calculatoarele țintelor. Pentru a reintra în posesia datelor și a debloca PC-urile, victimele trebuie să plătească o anumită sumă de bani, transferați prin Bitcoin. Acesta se numește un atac de tipul ”ransomware” și sunt vizate sistemele de operare Windows XP, Vista, Windows 7, Windows 8, 8.1, RT, Windows Server 2003, dar și Windows 10. Deci cam toate. Dar cele mai riscante sunt sistemele cu Windows XP, deoarece Microsoft a oprit mentenanța acestuia din 2014.
Programul ”EternalBlue” a ajuns pe internet în luna aprilie, când un grup de hackeri numit Shadow Brokers a spart serverele NSA și a postat codul pe internet.
Ameninţarea WannaCry se propagă prin intermediul unor mesaje email care conţin ataşamente şi link-uri maliţioase, atacatorii utilizând tehnici de inginerie socială pentru a determina utilizatorii să acceseze resursele în cauză.
Odată infectat un calculator dintr-o rețea, virusul se răspândește în interiorul rețelei prin mai multe porturi.
Microsoft a reparat gaura de securitate în aprilie, dar pe calculatoarele cu sisteme de operare vechi utilizatorii nu au făcut update. Așa că au rămas vulnerabili. Din cauza gravității problemei, Microsoft a furnizat patch-uri chiar și pe sistemele de operare ieșite din uz, dar problema persistă.
Iar Brad Smith, avocatul general al Microsoft, a atacat Guvernele din întreaga lume, pe care le consideră vinovatele morale pentru atac. Și asta pentru că serviciile secrete preferă să folosească vulnerabilitățile descoperite drept ”arme cibernetice” și nu transmit informațiile despre acestea companiilor, astfel încât să fie reparate. ”Trebuie ca Guvernele să ia în considerare pagubele provocate civililor prin colectarea acestor vulnerabilități și utilizarea acestor exploit-uri”, a spus el.
Oficialul chiar a a comparat situația cu echivalentul furtului de rachete Tomahawk din hangarele Armatei. ”Un scenariu echivalent cu armele convenționale ar fi ca Armatei SUA să îi fie furate rachetele Tomahawk”, a mai precizat Smith.
Cu toate că în week-end au apărut informații că atacul a fost stăvilit, Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) susține că această campanie de atacuri se desfășoară în continuare.
Atacul cibernetic a început vineri şi a vizat la întâmplare atât bănci, spitale, companii private, cât şi agenţii guvernamentale. Impactul s-a dovedit cel mai puternic în ţările europene şi a paralizat calculatoarele sistemului sanitar din Marea Britanie.
De asemenea, operatorul telecom Telefonica, din Spania și grupul american FedEx au fost afectate. Tot din Spania, producătorul de energie Iberdrola a fost afectat și a anunțat deconectarea anumitor sisteme de la internet.
Deutsche Bahn este un alt gigant afectat, internauții postând online mai multe imagini cu panouri de afișaj care arătau mesajul privind răscumpărarea în locul mersului trenurilor, conform International Business Times.
Mai departe, Banca Centrală a Rusiei a detectat ransomware-ul în sistemele sale, dar a anunțat că a respins atacul. Tot din Rusia se găsesc între victime și banca Sberbank, operatorul telecom MegaFon, dar și RZD – căile ferate ruse. La acestea se adaugă Ministerul de Interne de la Moscova, dar și Poliția din statul indian Andra Pradesh care a fost ”încuiată pe dinafară” și a rămas cu sistemele nefuncționale.
În Brazilia, Ministerul de Externe a căzut victimă a atacurilor, în vreme ce gigantul petrolier Petrobras a anunțat că a oprit calculatoarele.
Concomitent, 30.000 de firme și instituții din China au fost afectate, inclusiv câteva companii mari din Hong Kong, potrivit companiei chineze de securitate Qihoo 360. Aceasta a precizat că virusul s-a răspândit extrem de rapid printre instituţiile din domeniul Educației din China, iar peste 4.000 de universităţi şi instituţii de cercetare au fost afectate.
Între companiile afectate se află gigantul China National Petroleum Corporation (CNPC), care s-a trezit cu peste 20.000 de benzinării tăiate de la internet, potrivit South China Morning Post. Din această cauză, clienții nu au putut plăti cu cardul sau prin metode online precum AliPay. Duminică la prânză, 20% dintre benzinăriile sale încă erau afectate de ”pana de internet”.
Alte victime din regiune sunt Bank of China, multe dintre bancomatele sale rămânând nefuncționale, dar și două mall-uri din Singapore.
De asemenea, și grupul francez Renault a fost afectat, acesta oprind producția în week-end din cauza virusului. Au fost afectate atât fabrici din Franța, cât și producția Nissan din Sunderland (Marea Britanie), dar și platforma Dacia de la Mioveni.
Constructorul auto a anunţat, însă, reluarea producţiei luni dimineaţă, la ora 7.00.
Potrivit CERT-RO, în România sunt afectate 322 de adrese IP asociate cu variante de ransomware WannaCry.
”Până în prezent CERT-RO a identificat cinci instituţii publice posibil afectate, în sensul că utilizează adrese IP dintre cele associate cu WannaCry, şi a primit trei notificări oficiale de la organizaţii afectate din România. Este important să menţionăm că, în absenţa unui cadru legal care să oblige companiile şi instituţiile publice să raporteze aceste incidente, este extrem de dificil să evaluăm în acest moment impactul la nivel naţional”, se arată în comunicat.
Institutul nu spune care sunt instituțiile publice afectate, dar postul de televiziune Digi 24 a anunțat că între victime s-ar afla Institutul Național de Statistică (INS).
Procurorii de la Direcția de Investigare a Infracțiunilor de Crimă Organizată și Terorism (DIICOT) s-au sesizat din oficiu privind atacul cibernetic ce a avut loc asupra uzinei Dacia de la Mioveni și a Serviciului de Informații Externe și fac cercetări în rem pentru fapte de natură informatică. Atacul asupra SIE nu are legătură cu acest eveniment, fiind performant de către hackerii din grupul Fancy Bear, asociat cu autoritățile ruse.
În primul rând, experții în securitate recomandă update la sistemul de operare dacă vrei să fii protejat de acest atac sau unele similare. Acest lucru implică inclusiv trecerea de la unul descărcat de pe internet la unul oficial, cu licență, deoarece nu poți ști ce introduc în el cei care îl fac disponibil online.
De asemenea, sunt recomandate programe antivirus sau firewall. Foarte multe sunt disponibile chiar gratuit, așa cum este cazul Avast, AVG sau Avira.
Concomitent, este recomandat ca utilizatorii să nu folosească programe piratate, din același motiv al securității.
Pentru cine vrea să fie cel mai sigur, însă, se poate folosi Linux ca sistem de operare sau sistemele bazate pe Chrome OS, el însuși o derivație de Linux, deoarece programele și executabilele de Windows nu pot rula pe acestea.
Heimdall Security avertizează că WannaCry lasă vulnerabile calculatoarele și pentru ”runda a doua” a șantajului. Mai exact, hackerii ar putea cere mai mulți bani, nu doar 300 de dolari cât e acum.