|
В очакване на нова криптоепидемия. Преди по-малко от две години, WannaCry внесе смут по целия свят със своето разпространение. Криптовирусът заключи данните на десетки хиляди и нещата изглеждаха нямаха спиране. Докато не се появи Маркъс Хътчинс, компютърен разработчик и изследовател по информационна сигурност. Той се натъква на част от кода, в която присъства името на домейн. Странното в случая било е, че става дума за нерегистриран сайт. Хътчинс забелязал, че WannaCry периодично се опитва да достигне въпросния адрес. Преди WannaCry да започне криптирането, той се опитва да достигне адреса. Ако той не отговаря, вирусът стартира работата си, ако отговори, той не прави нищо. Това, което прави Хътчинс е да регистрира въпросният адрес и… светът беше спасен. Засега. Този петък, Джейми Ханкинс от Kryptos Logic публикува в Twitter информация от изследване на компанията, от което става ясно, че милиони адреси все още търсят връзка с въпросния адрес. След откритието на Хътчинс и спирането на действието на вируса, той предава щафетата на Cloudflare, които приютяват домейна и му осигуряват надеждна защита, така че той да не излиза никога офлайн – а с това и кошмарът да бъде възобновен. От публикацията на Ханкинс става ясно, че само за седмица, домейнът е получил над 17 милиона опита за достъп, като тези опити са дошли от над 630 000 уникални IP адреса от цял свят (от общо 194 държави). Цялата история около WannaCry е прелюбопитна. Тя води своето начало от лятото на 2016, когато в публичното пространство се появяват хакерската групировка The Shadow Brokers. Те започват да публикуват архиви със зловреден код, който твърдят, че са откраднали от американските шпиони и по-точно APT (advanced persistent threat) група с името Equation Group, кибероръжия, с които атакуват мрежи и системи по цял свят. Става дума основно за експлойти за остарели и вече запушени уязвимости. До април 2017, когато се появяват архив, съдържащ два инструмента с кодовите имена ETERNALBLUE и ETERNALROMANCE, които стоят в основата на WannaCry. Става дума за експлойти в мрежовия протокол SMB. Любопитен момент е датата на публикуване на архива – 14.04. Два месеца преди това Microsoft имат проблем с издаването на редовния си пакет с обновления за Windows. Компанията даже забавя издаването на пачовете, в които се очаква да присъстват обновления, насочени към… SMB. Тук може да поспекулираме, вероятно доста, но ще оставим това на привържениците на теориите на конспирациите. Това, което се случи впоследствие е истински кошмар – обикновени потребители, компании от всякакъв мащаб, паднаха жертва на крипточервея. Проблемът беше толкова голям, че Microsoft се принудиха да върнат от мъртвите Windows XP, за да издадат извънредно обновление към вече изоставената система. И кошмарът може да продължи. А за вас може и да не започне, стига да използвате модерна версия на Windows с инсталирани последните обновления по сигурността, ограничен акаунт, надеждна защитна стена, затегнати правила и надеждно антивирусно решение. |
|
