Přibližně před rokem se začal masově šířit ransomware WannaCry. Řádil tak ve velkém, že ho uživatelé mohli „vidět“ na nádražích i billboardech…

Červ i ransomware v jednom

Zatímco většina dnešní havěti sází na tzv. sociální inženýrství, kdy prostě uživatele obelstí a ten si havěť spustí de facto dobrovolně sám, WannyCry byla jiná. Sázela na chybu v operačním systému Microsoft Windows (přesněji ve službě Server Message Block – SMB, port 445). Uživatel tak nemusel pro ztrátu, resp. šifrování souborů dělat nic. Havěť se dokázala sama šířit po firemní síti z jednoho počítače do druhého a všude tam zanechala spoušť – zašifrované soubory, kdy jako výpalné za obnovu dat požadovala 300$, případně 600$ (tj. šlo o ransomware).

Nebezpečná bezpečnostní agentura (NSA)

Tuto chybu přitom dokázal zneužít programový kód (tzv. exploit) s názvem EternalBlue, který využívala americká Národní bezpečnostní agentura (NSA) a používala ho minimálně od roku 2016 ke šmírování. O existující chybě pochopitelně Microsoft neinformovala a minimálně do 14. března 2017 tak šlo o zero-day exploit. Tj. chyba, na kterou neexistuje záplata. Toho dne zveřejnil Microsoft oficiální záplatu (MS17-010).

Exploit EternalBlue byl NSA patrně v roce 2016 ukraden a do internetu se dostal 14. dubna 2017 díky hackerské skupině Shadow Brokers. V polovině května 2017 se pak světem rozletěla havěť WannyCry, která tohoto veřejného objevu využila a díky EternalBlue podpořila svoje masivní šíření. Ač byla záplata dvě měsíce na světě, evidentně byla nainstalovaná na nedostatečném množství počítačů…

Na nádražích, na billboardech…

Výsledek působení havěti WannyCry tak byl vidět například na nádražích:

 

Nebo na billboardech:

Velkou galerii ze života lze najít například zde.

Bývalý hrdina, který to vypnul

Havěť WannaCry měla i svého hrdinu. Teda chvíli. V kódu totiž existoval tzv. „kill switch“. Tj. přepínač, který dokázal tuto havěť celosvětově vypnout z jednoho místa. Tímto spínačem přitom byla internetová doména s názvem www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Havěť ověřovala, zda existuje. Pokud existuje, přestane se dále šířit. Této vymoženosti si rychle všiml analytik z Velké Británie a doménu za pár drobných zaregistroval. Stal se tak neznámým hrdinou, než jeho jeho identitu odhalil deník The Guardian. Byl jím Marcus Hutchins. Hrdinou byl ale jen do srpna 2017, kdy byl zatčen na letišti v Las Vegas za to, že se podílel na vývoji a šíření bankovní havěti Kronos v letech 2014 a 2015. V článku „Who Is Marcus Hutchins?“ lze pak najít skvělou detektivní práci a zjistit, že to byl v reálu pěkný vejlupek a to výše uvedené byla patrně jeho jediná světlejší chvíle!

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.