WannaCry stále infikuje miliony systémů

4. 10. 2019. (redaktor: František Doupal, zdroj: Sophos)
Sophos ve zprávě WannaCry Aftershock popisuje nechvalně slavný malware WannaCry, který v roce 2017 během několika dní infikoval stovky tisíc počítačů. Výzkum SophosLabs ukázal, že hrozba WannaCry je stále aktuální a každý měsíc jsou zastaveny miliony útoků. Ukázalo se navíc, že přestože původní malware už nebyl dále aktualizován, dal vzniknout tisícům krátkodobých variant.
  • Každý měsíc jsou detekovány miliony systémů infikovaných WannaCry, jen za srpen 2019 šlo celosvětově o 4,3 miliony počítačů
  • Objevují se tisíce nově vzniklých, krátkodobých variant malwaru: Sophos pozoroval celkem 12 380 aktivních variant na konci 2018 a 6 963 v srpnu 2019 (80 % z nich nových)
  • Analýza přibližně 2 000 WannaCry vzorků z roku 2018 ukázala, že sice dokáží obejít známý „kill switch“, ale nejsou schopny zašifrovat data v systému

Další existence WannaCry je pro firmy hrozbou hlavně díky schopnosti nových variant malwaru překonat „kill switch“, který Microsoft vložil do jedné z aktualizací svého operačního systému Windows. Když ale odborníci ze Sophosu analyzovali a otestovali několik variant malwaru, zjistili, že vlivem chyby v kódu ztrácí schopnost šifrovat data.

Vzhledem ke způsobu, jakým WannaCry infikuje nové oběti – zkontroluje, zdali je počítač ransomwarem nakažen a pokud ano, přesune se na další cíl – je počítač nakažený novou, nefunkční variantou malwaru chráněn proti nakažení jinou, často starší, ale funkční verzí malwaru. Nové odvozeniny WannaCry tak fungují jako nečekaná vakcína: neaktualizovaným a zranitelným počítačům poskytují imunitu vůči dalším útokům od toho samého malwaru.

Problematický je samotný fakt, že počítače vůbec mohly být nakaženy. To totiž napovídá, že aktualizace, která opravuje hlavní zranitelnost zneužívanou malwarem WannaCry, nebyla dosud na těchto strojích nainstalovaná – a tato aktualizace je už více než dva roky stará.

Původní malware WannaCry byl sám o sobě detekován pouze 40krát. Od té doby výzkumníci ze SophosLabs odhalili na 12 480 variant původního kódu. Bližší ohledání více než 2 700 vzorků, které jsou dohromady zodpovědné za 98 % všech infekcí, odhalilo, že všechny z nich dokáží „kill switch“ Microsoftu překonat. Obranný prvek ve Windows je konkrétní URL, ke kterému se malwaru automaticky pokouší připojit a pokud tak učiní, skončí proces infikování počítače. Všechny z testovaných vzorků malwaru ale zároveň nebyly schopny data v systému zašifrovat.

V srpnu 2019 detekoval Sophos 4,3 miliony instancí WannaCry z 6 963 odlišných variant. 5 555, tedy 80 % z nich, byly novými variantami.

Výzkumníci Sophosu také vypátrali původ v současnosti nejrozšířenější varianty WannaCry; ta je překvapivě jen o dva dny starší než původní ransomware. 14. května 2017 byla nahrána na server VirusTotal, v té době však ještě nebyla tato verze veřejně šířena.

„Epidemie WannaCry z roku 2017 navždy změnila celou oblast kybernetických hrozeb. Náš výzkum poukazuje na množství neaktualizovaných počítačů, které ovšem uživatelé nadále používají. Pokud nemají nainstalované ani přes dva roky staré aktualizace, o kolik dalších oprav přišli? V tomto případě měly některé oběti štěstí, protože nefunkční verze malwaru je ochrání proti dalším, nebezpečnějším variantám. Žádná organizace by ale neměla na něco takového spoléhat. Standardním postupem má být instalace aktualizací ve chvíli, kdy vyjdou, doplněné o robustní bezpečnostní řešení, které chrání všechny koncového body, sítě a systémy,“ popsal Peter Mackenzie, bezpečnostní odborník v Sophosu a hlavní autor výzkumu.

V ČR je WannaCry poměrně nevýrazný: Za srpen zde byl malware a jeho varianty detekován pouze v 1 490 případech, což činí jen 0,034 % všech detekcí.

Štítky: 

Podobné články

Check Point: bezpečnostní brány řady 1500

7. 12. 2019. (redaktor: František Doupal, zdroj: Check Point)
Společnost Check Point představila nové bezpečnostní brány řady 1500 pro malé a střední podniky. Dvě nová zařízení určená pro SMB stanovují nové standardy ochrany před nejpokročilejšími kybernetickými útoky páté generace a nabízí jedinečné možnosti nasazení a správy. Čtěte více

Spotřebitelé volají po důslednější ochraně osobních údajů

6. 12. 2019. (redaktor: František Doupal, zdroj: EY)
Devět 9 z 10 Čechů je velmi opatrných při zveřejňování osobních a finančních údajů na internetu, i když jde o web značky, kterou zná. Skoro třetina z nás (31 %) souhlasí s tvrzením, že nabídka komunikačních služeb je velmi složitá. Mimo televizi sleduje filmy přes jiná zařízení 62 % Čechů, v zahraničí je to třetina domácností. Čtěte více

SophosLabs nabízí okamžité vyhodnocení hrozeb prostřednictvím rozhraní API

5. 12. 2019. (redaktor: František Doupal, zdroj: Sophos)
Sophos oznámil dostupnost cloudové informační a analytické bezpečnostní platformy SophosLabs Intelix, která umožňuje vývojářům volat rozhraní API a nechat komplexně, odborně vyhodnotit riziko v souborech, adresách URL a IP adresách, a tím vytvářet bezpečnější aplikace. Čtěte více

Nová platforma Barracuda Cloud Application Protection pro Microsoft Azure

2. 12. 2019. (redaktor: František Doupal, zdroj: Gesto Communications)
Barracuda Networks představila produkt Cloud Application Protection, který představuje komplexní bezpečnostní řešení určené pro nasazení v cloudové platformě Microsoft Azure. Stěžejní součástí Barracuda Cloud Application Protection je Barracuda Web Application Firewall (WAF). Čtěte více