WannaCry stále infikuje miliony systémů

4. 10. 2019. (redaktor: František Doupal, zdroj: Sophos)
Sophos ve zprávě WannaCry Aftershock popisuje nechvalně slavný malware WannaCry, který v roce 2017 během několika dní infikoval stovky tisíc počítačů. Výzkum SophosLabs ukázal, že hrozba WannaCry je stále aktuální a každý měsíc jsou zastaveny miliony útoků. Ukázalo se navíc, že přestože původní malware už nebyl dále aktualizován, dal vzniknout tisícům krátkodobých variant.
  • Každý měsíc jsou detekovány miliony systémů infikovaných WannaCry, jen za srpen 2019 šlo celosvětově o 4,3 miliony počítačů
  • Objevují se tisíce nově vzniklých, krátkodobých variant malwaru: Sophos pozoroval celkem 12 380 aktivních variant na konci 2018 a 6 963 v srpnu 2019 (80 % z nich nových)
  • Analýza přibližně 2 000 WannaCry vzorků z roku 2018 ukázala, že sice dokáží obejít známý „kill switch“, ale nejsou schopny zašifrovat data v systému

Další existence WannaCry je pro firmy hrozbou hlavně díky schopnosti nových variant malwaru překonat „kill switch“, který Microsoft vložil do jedné z aktualizací svého operačního systému Windows. Když ale odborníci ze Sophosu analyzovali a otestovali několik variant malwaru, zjistili, že vlivem chyby v kódu ztrácí schopnost šifrovat data.

Vzhledem ke způsobu, jakým WannaCry infikuje nové oběti – zkontroluje, zdali je počítač ransomwarem nakažen a pokud ano, přesune se na další cíl – je počítač nakažený novou, nefunkční variantou malwaru chráněn proti nakažení jinou, často starší, ale funkční verzí malwaru. Nové odvozeniny WannaCry tak fungují jako nečekaná vakcína: neaktualizovaným a zranitelným počítačům poskytují imunitu vůči dalším útokům od toho samého malwaru.

Problematický je samotný fakt, že počítače vůbec mohly být nakaženy. To totiž napovídá, že aktualizace, která opravuje hlavní zranitelnost zneužívanou malwarem WannaCry, nebyla dosud na těchto strojích nainstalovaná – a tato aktualizace je už více než dva roky stará.

Původní malware WannaCry byl sám o sobě detekován pouze 40krát. Od té doby výzkumníci ze SophosLabs odhalili na 12 480 variant původního kódu. Bližší ohledání více než 2 700 vzorků, které jsou dohromady zodpovědné za 98 % všech infekcí, odhalilo, že všechny z nich dokáží „kill switch“ Microsoftu překonat. Obranný prvek ve Windows je konkrétní URL, ke kterému se malwaru automaticky pokouší připojit a pokud tak učiní, skončí proces infikování počítače. Všechny z testovaných vzorků malwaru ale zároveň nebyly schopny data v systému zašifrovat.

V srpnu 2019 detekoval Sophos 4,3 miliony instancí WannaCry z 6 963 odlišných variant. 5 555, tedy 80 % z nich, byly novými variantami.

Výzkumníci Sophosu také vypátrali původ v současnosti nejrozšířenější varianty WannaCry; ta je překvapivě jen o dva dny starší než původní ransomware. 14. května 2017 byla nahrána na server VirusTotal, v té době však ještě nebyla tato verze veřejně šířena.

„Epidemie WannaCry z roku 2017 navždy změnila celou oblast kybernetických hrozeb. Náš výzkum poukazuje na množství neaktualizovaných počítačů, které ovšem uživatelé nadále používají. Pokud nemají nainstalované ani přes dva roky staré aktualizace, o kolik dalších oprav přišli? V tomto případě měly některé oběti štěstí, protože nefunkční verze malwaru je ochrání proti dalším, nebezpečnějším variantám. Žádná organizace by ale neměla na něco takového spoléhat. Standardním postupem má být instalace aktualizací ve chvíli, kdy vyjdou, doplněné o robustní bezpečnostní řešení, které chrání všechny koncového body, sítě a systémy,“ popsal Peter Mackenzie, bezpečnostní odborník v Sophosu a hlavní autor výzkumu.

V ČR je WannaCry poměrně nevýrazný: Za srpen zde byl malware a jeho varianty detekován pouze v 1 490 případech, což činí jen 0,034 % všech detekcí.

Štítky: 

Podobné články

Sophos představil skenování zranitelností kontejnerů

8. 4. 2021. (redaktor: František Doupal, zdroj: Sophos)
Novinka od Sophosu identifikujte zranitelnosti před nasazením obrazů kontejnerů. S cílem urychlit migraci do cloudu při udržení nejvyšší možné míry zabezpečení, zpřístupnil nyní Sophos v řešení Cloud Optix pokročilou správu cloudového zabezpečení pro podniky všech velikostí a v různých fázích adopce cloudu. Čtěte více

České firmy stále nechrání své řídící systémy

7. 4. 2021. (redaktor: František Doupal, zdroj: Soitron)
Jen od začátku roku 2021 do dnešních dnů podle společnosti Soitron počet různých zařízení dostupných z internetu stoupl o 40 %. Průmyslové systémy se stávají lákadlem pro hackery, kteří mohou zneužít slabin nedostatečného zabezpečení, získat data a omezit provoz nejen soukromých firem, ale i důležitých vodních zdrojů a elektráren. Čtěte více

Cisco představilo nabídku svých řešení formou služby a další novinky

7. 4. 2021. (redaktor: František Doupal, zdroj: Cisco)
Společnost Cisco na konferenci Cisco Live oznámila řadu inovací, které zákazníkům pomohou modernizovat aplikace, vybavit pracovníky efektivními nástroji, ochránit podnik před hrozbami a transformovat infrastrukturu. Čtěte více

Pouze 6 % obětí ransomwaru v Česku vloni zaplatilo výkupné

6. 4. 2021. (redaktor: František Doupal, zdroj: Kaspersky)
Češi jsou velmi disciplinovaní v otázce, zda platit či neplatit výkupné za odšifrování dat zablokovaných ransomwarem. V loňském roce získali kybernetičtí vyděrači platby pouze od 6 % obětí v České republice. Z celosvětového hlediska přitom za odšifrování dat zaplatila více než polovina napadených (56 %). Čtěte více