Στις 12 Μαΐου, η έκδοση του WannaCryptor (WannaCry) ransomware μόλυνε χιλιάδες υπολογιστές σε όλο τον κόσμο. Μάλιστα σε μόλις 24 ώρες, ο αριθμός των περιστατικών ξεπέρασε τις 185.000 μηχανές σε περισσότερες από 100 χώρες.
Η επίθεση είναι ιδιαίτερα επικίνδυνη για τις επιχειρήσεις επειδή αρκεί να μολυνθεί ένα μόνο endpoint για να εξαπλωθεί η επίθεση σε όλο το δίκτυο και μερικές φορές ακόμη και σε άλλες χώρες σε άλλες θυγατρικές. Το γεγονός αυτό οφείλεται στο ότι το ransomware αξιοποιεί μια πρόσφατα εντοπισμένη ευπάθεια, επηρεάζοντας ένα ευρύ φάσμα λειτουργικών συστημάτων των Windows, συμπεριλαμβανομένων των 2008, 2008 R2, 7, 7 SP1. Για να καταλάβουμε τη σπουδαιότητα της κατάστασης αρκεί να πούμε ότι η Microsoft έσπευσε να κυκλοφορήσει σχετικό patch και για τα Windows XP, την υποστήριξη των οποίων (όπως και των παραπάνω server εκδόσεων) έχει σταματήσει εδώ και μερικά χρόνια.
Οι επιθέσεις του συγκεκριμένου ransomware έχουν προκαλέσει σοβαρά προβλήματα σε οργανισμούς όπως νοσοκομεία, εταιρείες τηλεπικοινωνιών και επιχειρήσεις φυσικού αερίου και κοινής ωφέλειας. Μεταξύ των οργανισμών που δέχτηκαν τα χειρότερα κτυπήματα είναι η Εθνική Υπηρεσία Υγείας (NHS) στο Ηνωμένο Βασίλειο.
Τι ακριβώς κάνει το WannaCry;
Όπως κάθε ransomware που… σέβεται τον εαυτό του, έτσι και το συγκεκριμένο, άπαξ και μολύνει έναν υπολογιστή ξεκινά το κλείδωμα των αρχείων του με ισχυρή κρυπτογράφηση ζητώντας λύτρα για να τα αποκρυπτογραφήσει. Στην προκειμένη περίπτωση τα λύτρα ήταν ύψους 300 δολαρίων, πληρωτέα σε Bitcoin για να μην μπορούν να εντοπιστούν.
Το WannaCry εκμεταλλεύθηκε μια ευπάθεια που υπάρχει στις περισσότερες εκδόσεις των Windows επιτρέποντας σε έναν απομακρυσμένο εισβολέα να εκτελεί κώδικα στον ευάλωτο υπολογιστή και να χρησιμοποιεί αυτόν τον κώδικα για να «φυτέψει» ransomware και να το εκτελέσει αυτόματα χωρίς να χρειαστεί κάποια ενέργεια από τον χρήστη. Αυτή η πρωτόγνωρη συμπεριφορά, το καθιστά το τέλειο εργαλείο για επίθεση σε συγκεκριμένα περιβάλλοντα ή υποδομές, όπως servers που εκτελούν μια ευάλωτη έκδοση του Server Message Block (SMB protocol).
Το Bitdefender αντιμετωπίζει το WannaCry
Όπως μας ενημερώνει η Bitdefender, όσα endpoints είχαν εγκατεστημένα το Bitdefender GravityZone δεν επηρεάστηκαν από τη συγκεκριμένη επίθεση καθώς οι λύσεις προστασίας της Bitdefender είναι σε θέση να ανιχνεύουν και παρεμποδίζουν τόσο τον μηχανισμό παράδοσης του, όσο και όλες τις γνωστές παραλλαγές του WannaCry.
Οι τεχνολογίες μοντέλα machine-learning της Bitdefender που διατίθενται σε όλες τις εκδόσεις του Bitdefender GravityZone, έχουν σχεδιαστεί ειδικά για να προλαμβάνουν επιθέσεις που δεν έχουν ανιχνευθεί ποτέ στο παρελθόν.