WannaCry stále infikuje miliony systémů

4. 10. 2019. (redaktor: František Doupal, zdroj: Sophos)
Sophos ve zprávě WannaCry Aftershock popisuje nechvalně slavný malware WannaCry, který v roce 2017 během několika dní infikoval stovky tisíc počítačů. Výzkum SophosLabs ukázal, že hrozba WannaCry je stále aktuální a každý měsíc jsou zastaveny miliony útoků. Ukázalo se navíc, že přestože původní malware už nebyl dále aktualizován, dal vzniknout tisícům krátkodobých variant.
  • Každý měsíc jsou detekovány miliony systémů infikovaných WannaCry, jen za srpen 2019 šlo celosvětově o 4,3 miliony počítačů
  • Objevují se tisíce nově vzniklých, krátkodobých variant malwaru: Sophos pozoroval celkem 12 380 aktivních variant na konci 2018 a 6 963 v srpnu 2019 (80 % z nich nových)
  • Analýza přibližně 2 000 WannaCry vzorků z roku 2018 ukázala, že sice dokáží obejít známý „kill switch“, ale nejsou schopny zašifrovat data v systému

Další existence WannaCry je pro firmy hrozbou hlavně díky schopnosti nových variant malwaru překonat „kill switch“, který Microsoft vložil do jedné z aktualizací svého operačního systému Windows. Když ale odborníci ze Sophosu analyzovali a otestovali několik variant malwaru, zjistili, že vlivem chyby v kódu ztrácí schopnost šifrovat data.

Vzhledem ke způsobu, jakým WannaCry infikuje nové oběti – zkontroluje, zdali je počítač ransomwarem nakažen a pokud ano, přesune se na další cíl – je počítač nakažený novou, nefunkční variantou malwaru chráněn proti nakažení jinou, často starší, ale funkční verzí malwaru. Nové odvozeniny WannaCry tak fungují jako nečekaná vakcína: neaktualizovaným a zranitelným počítačům poskytují imunitu vůči dalším útokům od toho samého malwaru.

Problematický je samotný fakt, že počítače vůbec mohly být nakaženy. To totiž napovídá, že aktualizace, která opravuje hlavní zranitelnost zneužívanou malwarem WannaCry, nebyla dosud na těchto strojích nainstalovaná – a tato aktualizace je už více než dva roky stará.

Původní malware WannaCry byl sám o sobě detekován pouze 40krát. Od té doby výzkumníci ze SophosLabs odhalili na 12 480 variant původního kódu. Bližší ohledání více než 2 700 vzorků, které jsou dohromady zodpovědné za 98 % všech infekcí, odhalilo, že všechny z nich dokáží „kill switch“ Microsoftu překonat. Obranný prvek ve Windows je konkrétní URL, ke kterému se malwaru automaticky pokouší připojit a pokud tak učiní, skončí proces infikování počítače. Všechny z testovaných vzorků malwaru ale zároveň nebyly schopny data v systému zašifrovat.

V srpnu 2019 detekoval Sophos 4,3 miliony instancí WannaCry z 6 963 odlišných variant. 5 555, tedy 80 % z nich, byly novými variantami.

Výzkumníci Sophosu také vypátrali původ v současnosti nejrozšířenější varianty WannaCry; ta je překvapivě jen o dva dny starší než původní ransomware. 14. května 2017 byla nahrána na server VirusTotal, v té době však ještě nebyla tato verze veřejně šířena.

„Epidemie WannaCry z roku 2017 navždy změnila celou oblast kybernetických hrozeb. Náš výzkum poukazuje na množství neaktualizovaných počítačů, které ovšem uživatelé nadále používají. Pokud nemají nainstalované ani přes dva roky staré aktualizace, o kolik dalších oprav přišli? V tomto případě měly některé oběti štěstí, protože nefunkční verze malwaru je ochrání proti dalším, nebezpečnějším variantám. Žádná organizace by ale neměla na něco takového spoléhat. Standardním postupem má být instalace aktualizací ve chvíli, kdy vyjdou, doplněné o robustní bezpečnostní řešení, které chrání všechny koncového body, sítě a systémy,“ popsal Peter Mackenzie, bezpečnostní odborník v Sophosu a hlavní autor výzkumu.

V ČR je WannaCry poměrně nevýrazný: Za srpen zde byl malware a jeho varianty detekován pouze v 1 490 případech, což činí jen 0,034 % všech detekcí.

Štítky: 
Bezpečnost, Ransomware, Malware, Sophos
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Nový tým Esetu se zaměří na mezinárodní kyberkriminalitu

6. 5. 2024. (redaktor: František Doupal, zdroj: Eset)
Bezpečnostní experti z pražské pobočky ESETu se nově cíleně zaměří na mezinárodní aktivity kyberkriminálních útočných skupin. Nově vzniklý tým vedený Jakubem Součkem má za úkol aktivně vyhledávat a dlouhodobě monitorovat obávané útoky ransomwarem, který dle dat společnosti ESET posílil v minulém roce o více než 50 procent. Čtěte více

Třetina zaměstnanců v práci sdílí hesla, otevírá neznámé přílohy nebo jinak ohrožuje bezpečnost

3. 5. 2024. (redaktor: František Doupal, zdroj: Anect)
Třetina českých zaměstnanců porušuje zásady bezpečného chování na internetu a své zaměstnavatele tak vystavuje zvýšenému riziku online podvodu nebo hackerského útoku. Lidé například navzájem sdílejí přihlašovací údaje do firemních systémů, zasílají pracovní dokumenty soukromým e-mailem či přes sociální sítě nebo k práci využívají neschválené soukromé počítače či telefony. Čtěte více

Počet DDoS útoků na české firmy roste druhý měsíc v řadě

3. 5. 2024. (redaktor: František Doupal, zdroj: ComSource)
Počty DDoS útoků na české firmy i jejich celková intenzita v březnu opět vzrostly. Oproti předcházejícímu měsíci dvojnásobně, ve srovnání se začátkem roku dokonce šestinásobně. Dostaly se tak přibližně na úroveň léta loňského roku. Trendem je přitom využívání stále kvalitnějších a efektivnějších útoků. Nejvíce útoků již od července loňského roku míří z Ruska. Čtěte více

Řešení HP Wolf Pro Security získalo vynikající hodnocení v AV-TESTu

3. 5. 2024. (redaktor: František Doupal, zdroj: HP Inc.)
Výzkumníci z AV-TESTu označili nové řešení HP Wolf Pro Security za „TOP Produkt“ pro ochranu koncových zařízení ve firmách. Studie výzkumného institutu v oblasti bezpečnosti IT AV-TEST potvrdila, že bezpečnostní software Wolf Pro Security od HP je jedním z nejlepších antivirových řešení pro firemní uživatele využívající platformu Windows na trhu. Čtěte více