WannaCry stále infikuje miliony systémů

4. 10. 2019. (redaktor: František Doupal, zdroj: Sophos)
Sophos ve zprávě WannaCry Aftershock popisuje nechvalně slavný malware WannaCry, který v roce 2017 během několika dní infikoval stovky tisíc počítačů. Výzkum SophosLabs ukázal, že hrozba WannaCry je stále aktuální a každý měsíc jsou zastaveny miliony útoků. Ukázalo se navíc, že přestože původní malware už nebyl dále aktualizován, dal vzniknout tisícům krátkodobých variant.
  • Každý měsíc jsou detekovány miliony systémů infikovaných WannaCry, jen za srpen 2019 šlo celosvětově o 4,3 miliony počítačů
  • Objevují se tisíce nově vzniklých, krátkodobých variant malwaru: Sophos pozoroval celkem 12 380 aktivních variant na konci 2018 a 6 963 v srpnu 2019 (80 % z nich nových)
  • Analýza přibližně 2 000 WannaCry vzorků z roku 2018 ukázala, že sice dokáží obejít známý „kill switch“, ale nejsou schopny zašifrovat data v systému

Další existence WannaCry je pro firmy hrozbou hlavně díky schopnosti nových variant malwaru překonat „kill switch“, který Microsoft vložil do jedné z aktualizací svého operačního systému Windows. Když ale odborníci ze Sophosu analyzovali a otestovali několik variant malwaru, zjistili, že vlivem chyby v kódu ztrácí schopnost šifrovat data.

Vzhledem ke způsobu, jakým WannaCry infikuje nové oběti – zkontroluje, zdali je počítač ransomwarem nakažen a pokud ano, přesune se na další cíl – je počítač nakažený novou, nefunkční variantou malwaru chráněn proti nakažení jinou, často starší, ale funkční verzí malwaru. Nové odvozeniny WannaCry tak fungují jako nečekaná vakcína: neaktualizovaným a zranitelným počítačům poskytují imunitu vůči dalším útokům od toho samého malwaru.

Problematický je samotný fakt, že počítače vůbec mohly být nakaženy. To totiž napovídá, že aktualizace, která opravuje hlavní zranitelnost zneužívanou malwarem WannaCry, nebyla dosud na těchto strojích nainstalovaná – a tato aktualizace je už více než dva roky stará.

Původní malware WannaCry byl sám o sobě detekován pouze 40krát. Od té doby výzkumníci ze SophosLabs odhalili na 12 480 variant původního kódu. Bližší ohledání více než 2 700 vzorků, které jsou dohromady zodpovědné za 98 % všech infekcí, odhalilo, že všechny z nich dokáží „kill switch“ Microsoftu překonat. Obranný prvek ve Windows je konkrétní URL, ke kterému se malwaru automaticky pokouší připojit a pokud tak učiní, skončí proces infikování počítače. Všechny z testovaných vzorků malwaru ale zároveň nebyly schopny data v systému zašifrovat.

V srpnu 2019 detekoval Sophos 4,3 miliony instancí WannaCry z 6 963 odlišných variant. 5 555, tedy 80 % z nich, byly novými variantami.

Výzkumníci Sophosu také vypátrali původ v současnosti nejrozšířenější varianty WannaCry; ta je překvapivě jen o dva dny starší než původní ransomware. 14. května 2017 byla nahrána na server VirusTotal, v té době však ještě nebyla tato verze veřejně šířena.

„Epidemie WannaCry z roku 2017 navždy změnila celou oblast kybernetických hrozeb. Náš výzkum poukazuje na množství neaktualizovaných počítačů, které ovšem uživatelé nadále používají. Pokud nemají nainstalované ani přes dva roky staré aktualizace, o kolik dalších oprav přišli? V tomto případě měly některé oběti štěstí, protože nefunkční verze malwaru je ochrání proti dalším, nebezpečnějším variantám. Žádná organizace by ale neměla na něco takového spoléhat. Standardním postupem má být instalace aktualizací ve chvíli, kdy vyjdou, doplněné o robustní bezpečnostní řešení, které chrání všechny koncového body, sítě a systémy,“ popsal Peter Mackenzie, bezpečnostní odborník v Sophosu a hlavní autor výzkumu.

V ČR je WannaCry poměrně nevýrazný: Za srpen zde byl malware a jeho varianty detekován pouze v 1 490 případech, což činí jen 0,034 % všech detekcí.

Štítky: 

Podobné články

IoT pod náporem kyberútoků

17. 10. 2019. (redaktor: František Doupal, zdroj: Kaspersky)
Technologie společnosti Kaspersky v průběhu prvního pololetí zaznamenaly 105 milionů útoků na zařízení internetu věcí, které pocházely z 276 000 unikátních IP adres. Jde o sedmkrát větší množství, než jaké bylo detekováno za stejný časový úsek minulý rok. Čtěte více

Dell Technologies představil novou generaci řešení pro ochranu dat

16. 10. 2019. (redaktor: František Doupal, zdroj: Dell EMC)
Společnost Dell Technologies představila zařízení řady PowerProtect DD, což je nová generace úložných zařízení Data Domain pro ochranu dat. Ta organizacím umožňuje chránit, spravovat a obnovovat data v libovolném rozsahu a v nejrůznějších prostředích. Její předností je především větší rychlost a výkon. Čtěte více

„Stalkerware“ na vzestupu

9. 10. 2019. (redaktor: František Doupal, zdroj: Kaspersky)
Množství uživatelů, na jejichž zařízení se útočníci pokusili nainstalovat nejméně jeden stalkerware, dosáhlo během prvních osmi měsíců tohoto roku 37 000. Jde o 35% nárůst oproti stejnému období roku 2018. Stalkerware označuje komerční spyware nejčastěji využívaný jako nástroj pro špionáž blízkých. Čtěte více

Nejvážnější hrozbou pro české uživatele zůstávají trojské koně kradoucí hesla

8. 10. 2019. (redaktor: František Doupal, zdroj: Eset)
České uživatele nadále nejvíce ohrožují útoky, které se snaží získat hesla z prohlížečů. Na předních příčkách se drží třetí měsíc. Další běžnou hrozbou je malware, který útočníkům těží kryptoměny. Útočníci se snaží skrývat malware Fareit, který je již třetí měsíc v řadě nejvážnější hrozbou pro české uživatele. Čtěte více