Ιός WannaCry – Η επίθεση συνεχίζει ακάθεκτη κι έπεται συνέχεια!

088cd0a09fbf1f8ca77133526bce7dd0 e7e
blog banner ired inner pages

Η επίθεση που ξεκίνησε την Παρασκευή, 12 Μαΐου του 2017 από το ransomware WannaCry και είχε από την πρώτη μέρα χτυπήσει πάνω 75.000 μηχανήματα νοσοκομείων και οργανισμών σε πάνω από 99 χώρες, είχε αυξηθεί σε πάνω από 130.000 χτυπήματα, σε 104 χώρες μέχρι το απόγευμα του Σαββάτου. Αν και το μεγαλύτερο μέρος των στόχων ήταν σε Ρωσία και Ασία γενικότερα, ένα σημαντικό τμήμα ήταν και στην Ευρώπη, με κυριότερους στόχους Αγγλία και Ισπανία.

Στηριγμένο σε μια αδυναμία του συστήματος Windows Server της Microsoft, που «μπαλώθηκε» μεν από την εταιρεία από το Μάρτιο του 2017, μπόρεσε και έκανε τέτοια ζημιά λόγω του ότι τα περισσότερα μηχανήματα που χτυπήθηκαν δεν είχαν κάνει τις απαραίτητες ενημερώσεις ασφαλείας.

Το ransomware διαδόθηκε από μια ομάδα χάκερ – τους επονομαζόμενους Shadow Brokers – που το βρήκαν σε ένα (όχι και τόσο μυστικό όπως φαίνεται) σέρβερ της Αμερικάνικης NSA (National Security Agency).

Το μόνο παρήγορο στην υπόθεση είναι ότι, όσα μηχανήματα έχουν προλάβει να κάνουν τις πρέπουσες ενημερώσεις από τη Microsoft, δεν κινδυνεύουν από το εν λόγω malware (για την ώρα).

Το επίσης ενδιαφέρον είναι ότι κατά λάθος βρέθηκε τρόπος να απενεργοποιηθεί το ransomware από έναν «απρόθυμο ήρωα» αναλυτή μιας εταιρείας ασφαλείας. Ψάχνοντας μέσα στον κώδικα του malware βρήκε εντελώς τυχαία μια διαδικτυακή πύλη όπου το λογισμικό έκανε κλήσεις (register). Αν το συγκεκριμένο domain ανταποκρινόταν στις κλήσεις του malware, τότε αυτό σταματούσε να εξαπλώνεται σε νέα μηχανήματα, λειτουργώντας σαν “kill switch” που θα χρησιμοποιούσε ο κυβερνο-εγκληματίας για να σταματήσει τη διάδοσή του.

Ο αναλυτής, που είναι γνωστός μόνο με την επωνυμία MalwareTech, έκανε register στη συγκεκριμένη ιστοσελίδα δίνοντας 10,69$ και με αυτό τον τρόπο μπόρεσε να ενεργοποιήσει το «διακόπτη θανάτου» του ransomware. Αυτό δεν σημαίνει πάντως ότι αυτό θα είναι και το τέλος της επίθεσης, καθώς οι επιτιθέμενοι μπορούν να αλλάξουν τον κώδικα και να απενεργοποιήσουν και πάλι το “kill switch”.

Αν και το ransomware επιτίθεται σε μηχανήματα Windows, οι χρήστες Mac καλό θα είναι να μην επαναπαύονται, καθώς έχει υπάρξει και στο παρελθόν malware που «μετακόμισε» από τα Windows στο Mac (πρόκειται για το ‘Snake’, περισσότερα εδώ: https://www.digitaltrends.com/computing/new-macos-malware-bypasses-gatekeeper-with-fake-adobe-flash-installer/).

Δείτε ακόμη: Μαζική επίθεση χάκερ παραλύει τη μισή Ευρώπη. Προσοχή στο WannaCry Worm! https://www.ired.gr/blog/item/5458-mass-hacker-attack-paralyzes-europe.html

Οι χάκερ που είναι υπεύθυνοι υπόσχονται ακόμη περισσότερα …

Από την άλλη, η ομάδα των χάκερ – ονόματι Shadow Brokers – υπόσχονται … ακόμη καλύτερες μέρες. Το WannaCry δεν θα είχε εξαπλωθεί έτσι άναρχα χωρίς αυτούς και μας έχουν νεότερα.

Μέχρι τώρα, το ransomware έχει συνεχίσει να εξαπλώνεται φτάνοντας τα 300.000 χτυπήματα σε πάνω από 150 χώρες, κλειδώνοντας μηχανήματα νοσοκομείων, σχολείων, οργανισμών και επιχειρήσεων και ζητώντας λύτρα για το ξεκλείδωμά τους.

Η ομάδα των χάκερ επέστρεψε με μια προειδοποίηση για την National Security Agency (Υπηρεσία Εθνικής Ασφάλειας) των ΗΠΑ, αλλά και για τον υπόλοιπο κόσμο: Θα υπάρξει συνέχεια.

«Τον Ιούνιο, οι Shadow Brokers θα ανακοινώσουν την υπηρεσία με τίτλο ‘TheShadowBrokers Data Dump of the Month’, έγραψε το γκρουπ στην ανοιχτή επιστολή του στην ιστοσελίδα Steemit (https://steemit.com/shadowbrokers/@theshadowbrokers/oh-lordy-comey-wanna-cry-edition). «Θα είναι κάτι σαν ‘τα καλύτερα του μήνα’», έγραψαν.

Η ομάδα ισχυρίζεται ότι έχει στην κατοχή της το 75% του κυβερνο-οπλοστασίου των ΗΠΑ και μπορεί να διαδώσει εργαλεία που εκμεταλλεύονται αδυναμίες και κενά ασφαλείας σε browser, τηλέφωνα, ρούτερ, καθώς και εκτεθειμένα δεδομένα δικτύων από Ρωσία, Κίνα, Ιράν και Β. Κορέα.

Οι χάκερ προσπάθησαν αρχικά να πουλήσουν το ransomware, αλλά λόγω μη-ενδιαφέροντος (ευτυχώς;) τελικά το διέδωσαν μόνοι τους. Στην επιστολή τους λένε ότι δεν έχουν βάλει στο μάτι «τη σύνταξη της γιαγιάκας», αλλά ήθελαν να στείλουν ένα μήνυμα στο «Equation Group» μια ομάδα χάκερ που συνεργάζεται με την NSA.

Όπως λέει η παροιμία, «Όταν πλακώνονται τα βουβάλια στο βάλτο, την πληρώνουν τα βατράχια». Άλλο που δε θέλαμε, να πέσουμε σε πόλεμο κυβερνο-συμμοριών. Με τον κόσμο σαν αρένα συγκρούσεων – λόγω διαδικτύου – τα αποτελέσματα μπορεί να είναι άκρως πιο καταστροφικά από τα μέχρι τώρα.

Οι Shadow Brokers είπαν ότι θα συνεχίσουν με ‘τα καλύτερα του μήνα’, τις διαδώσεις malware εργαλείων διείσδυσης από τον Ιούνιο και έδωσαν και πληροφορίες για το πώς μπορεί κάποιος να κάνει εγγραφή στα ‘καλλιστεία’. Η ζήτηση έχει σίγουρα βαρέσει κόκκινο μετά τα αποτελέσματα του WannaCry.

«Απέδειξαν το πόσο ισχυρά και αποτελεσματικά είναι τα εργαλεία που έχουν στη διάθεσή τους, οπότε θα υπάρξει μεγάλο ενδιαφέρον για την αγορά τους και εννοείται, από εγκληματίες», είπε ο Sean Dillon, ένας πεπειραμένος αναλυτής της RiskSense. «Εξακολουθούν να έχουν τα εργαλεία της κυβέρνησης και θέλουν να βγάλουν λεφτά από αυτά».

Μέχρι στιγμής έχουν βγάλει πάνω από 70.000$ σε μόλις τέσσερις μέρες! Το ίδιο μάλιστα πρόβλημα που εκμεταλλεύεται το WannaCry, χρησιμοποιείται και για τη διάδοση του Aydlkuzz, ενός άλλου malware, που «σκλαβώνει» ένα PC σε ένα άλλο, για τη χρήση του ως κρυφού χρηματοκιβωτίου για ψηφιακό χρήμα (cryptocurrency), σύμφωνα με αναλυτές της Proofpoint.

Οι Shadow Brokers δήλωσαν ότι θα αποσύρουν όλα αυτά τα εργαλεία αν η ίδια η NSA πληρώσει γι’ αυτά! Το ποσό που ζητούν όμως είναι 1.000.000 bitcoin κάτι που αυτή τη στιγμή αντιστοιχεί σε 1,76 δις δολάρια!

Δείτε ακόμη: Η Αγγλική κυβέρνηση σκέφτεται να παρακολουθεί τους πολίτες της https://www.ired.gr/blog/item/5501-uk-goverment-secretly-spying-on-phones.html

Οι δικηγόροι της Microsoft και η κυβέρνηση

Ο αρχι-δικηγόρος της Microsoft (δηλ. ο υπεύθυνος διευθυντής του νομικού τμήματος της εταιρίας) «τα έσουρε» στην κυβέρνηση των ΗΠΑ γιατί κάνει «συγκομιδή» ελαττωμάτων των ψηφιακών συστημάτων.

Σε μια ανακοίνωσή του σε blog (https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack/#sm.0001fldifj8kqebkseu27w8hcfrk3), ο πρόεδρος και διευθύνων νομικός σύμβουλος της Microsoft, κριτικάρισε την NSA επειδή συγκεντρώνει και φυλάσσει «zero-days» (άκρως επικίνδυνα ελαττώματα που οδηγούν σε καταστροφικά αποτελέσματα), των οποίων, όπως φαίνεται, έχει χάσει τον έλεγχο.

Ο Smith είπε ότι η περίπτωση WannaCry και η παλιότερη των WikiLeaks, που διαδίδουν στο Internet τις πληροφορίες των προβλημάτων και τα εργαλεία εκμετάλλευσής τους που χρησιμοποιεί η CIA, κάνουν πια εκτεταμένες ζημιές.

«Ένα αντίστοιχο σενάριο με πραγματικά όπλα, θα ήταν σαν να κλέβονταν ένας αριθμός των πυραύλων Τόμαχοκ του Αμερικάνικου Στρατού,» είπε. «Και αυτή η πρόσφατη επίθεση αντιπροσωπεύει μια χωρίς προηγούμενο και πολύ ανησυχητική σύνδεση μεταξύ των δύo πιο επικίνδυνων απειλών της ψηφιακής μας ασφάλειας – της κυβερνητικής από τη μία, και της εγκληματικής από την άλλη.»

Το εν λόγω περιστατικό πρέπει να λειτουργήσει σαν καμπανάκι αφύπνισης στις κυβερνήσεις παγκοσμίως που θα πρέπει να αντιμετωπίζουν τα ψηφιακά κενά και τα εργαλεία malware όπως ακριβώς θα έκαναν με πραγματικά όπλα και τον κίνδυνο που αυτά αντιπροσωπεύουν. Για παράδειγμα, μετά το χτύπημα του ransomware στα αγγλικά νοσοκομεία, υπήρξαν ακυρώσεις εγχειρήσεων ασθενών!

Τελικά είχε απόλυτο δίκιο ο Tim Cook

Η συγκεκριμένη επίθεση δε θα μπορούσε να υποστηρίξει τις απόψεις του CEO της Apple Tim Cook καλύτερα. Τότε που το FBI ζητούσε από την Apple να βοηθήσει στο «σπάσιμο» του iPhone του τρομοκράτη του San Bernardino, δημιουργώντας μια μόνιμη κερκόπορτα στο iOS προκειμένου να μπορούν οι κυβερνητικές υπηρεσίες να έχουν πρόσβαση στα iPhone και iPad των χρηστών, αν και όποτε χρειαστεί!

Όλοι θυμόμαστε το θρίλερ που διαδραματίστηκε με ένα μεγάλο μέρος της κοινής (χειραγωγούμενης) γνώμης να είναι με το μέρος της κυβέρνησης και ενάντια στις απόψεις της Apple. Ακόμη και ο πολύς Bill Gates της Microsoft, είχε δηλώσει υπέρμαχος των απόψεων του FBI!

Για καλό όλων μας, ευτυχώς δεν προχώρησε το θέμα, καθώς το FBI μπόρεσε να σπάει το iPhone 5C του τρομοκράτη με άλλο τρόπο, γιατί είχε ήδη εκδοθεί και δικαστική απόφαση ενάντια στην Apple προκειμένου να βοηθήσει το FBI δημιουργώντας το κατάλληλο λογισμικό.

Ο Tim Cook είχε χαρακτηρίσει τότε ένα τέτοιο λογισμικό «το αντίστοιχο του καρκίνου του software». Το πρόβλημα είναι ότι, η ύπαρξη τέτοιου λογισμικού δεν θα χρησιμοποιηθεί μόνο από κυβερνητικές υπηρεσίες «για το καλό μας» (και ποιος δεν ξέρει ότι είναι θέμα χρόνου η αυθαίρετη χρήση του), αλλά επίσης – αργά ή γρήγορα – θα πέσει στα χέρια κυβερνο-εγκληματιών που δεν νοιάζονται καθόλου «για το καλό μας».

Το Intercept προσθέτει:

«Σήμερα βλέπουμε περίτρανα ποιο είναι το αποτέλεσμα όταν οι κυβερνητικοί χάκερ δεν μπορούν να φυλάξουν σωστά τα εργαλεία τους. Κι όπως το έθεσε ο αναλυτής ασφαλείας Matthew Hickey που έψαξε και βρήκε τα εργαλεία της NSA που διέρρευσαν τον περασμένο μήνα, ‘Στην πραγματικότητα μου κάνει εντύπωση ότι τόσο επικίνδυνα εργαλεία δεν είχαν διαρρεύσει νωρίτερα’.»

Κι όσο κι αν υποσχόταν ο πρώην διευθυντής του FBI, James Comey, ότι μια τέτοια «ειδική» έκδοση του iOS θα φυλασσόταν προσεκτικά, το πρόσφατο περιστατικό – που θα έχει συνέχεια – αποδεικνύει ότι ο καλύτερος τρόπος φύλαξης τέτοιων προγραμμάτων είναι το να μην υπάρχουν καθόλου!

Κι όσο για τους πολλούς που υποστήριζαν το δίκαιο της κυβέρνησης των ΗΠΑ ενάντια την Apple στην υπόθεση του San Bernardino, κάποιος είπε:

«Αυτοί που νομίζουν πως δεν έχουν να κρύψουν τίποτε – και άρα να χάσουν τίποτε – από την ύπαρξη τέτοιων εργαλείων, είναι αυτοί που στο τέλος θα χάσουν τα πιο πολλά!»

Δείτε ακόμη: Ο Tim Cook αρνείται τις «ανατριχιαστικές» εντολές του FBI 

από Elichord

RELATED PROJECTS