Virus k pláči? Globální útok hackerů byl na spadnutí, Češi vyvázli

V pátek 12. května neznámí útočníci zaútočili na miliony počítačů po celém světě a ve zhruba dvou stovkách tisíc případů uspěli. Například se jim podařilo odstavit většinu britského zdravotnictví, informační systém některých dopravců, způsobit problémy v několika málo bankách a tisících firem i v počítačích jednotlivců.

Ransomware, jak se tomuto druhu virů/malware říká, se po průniku do počítače postaral o zašifrování všech souborů v počítači i všude jinde, kam se z počítače mohl připojit (tedy například i na firemních serverech) Hackeři, kteří virus šířili podmínili navrácení “systému zpět do normálu” zaplacením (zhruba) 300 dolarů v bitcoinech.

Co navíc, útok pokračoval ve vyhledávání dalších napadnutelných počítačů prostřednictvím bezpečnostní chyby ve Windows, operačním systému od společnosti Microsoft. (virus napadal starší verze systému, pozn. red.)

Bezprecedentní rozsah a úspěch

Jakkoliv se v Česku podle všeho WannaCry (jak zní jeden z názvů tohoto malware) uchytil pouze na pár stovkách počítačů, v jiných zemích to bylo podstatně horší.

Celkem infikoval možná až 300 tisíc počítačů, nejvíce v Rusku či na Ukrajině. Dost dobře úměrně tomu, jaká je míra zanedbávání údržby a zabezpečení počítačů.

GRAF: Podíl napadení počítačů v jednotlivých zemí

Zdroj: ESET

V Česku si nakonec můžeme tak trochu libovat v tom, že WannaCry se skoro neprojevil. Pár stovek případů je bezvýznamných, žádná velká firma či instituce napadena podle všeho nebyla.

Může to být i tím, že přeci jenom nepatříme v softwarovém pirátství ke světovým špičkám, ale také tím, že staré či napadnutelné systémy nejsou příliš volně připojené k internetu.

Jedním z nejsnáze napadnutelných systému byly totiž staré Windows XP, verze operačního systému, která už několik let není výrobce podporována a je natolik děravá a zneužitelná, že by nikdy neměla být připojena k Internetu.

Microsoft nakonec velmi rychle vypustil bezpečnostní opravu právě pro Windows XP (a ještě pár starších verzí Windows), z čehož lze usuzovat, že právě WIndows XP v útoku WannaCry hrálo zásadní roli.

Každopádně se tvůrcům viru, který ale ve skutečnosti v zásadě okopírovali od amerických zpravodajských a tajných služeb, podařilo v nebývalé míře uspět. Útok je označován za největších útoků v historii.

GRAF: Největší útoky na data uživatelů
Za posledních 10 let, počty jsou v tisících uživatelů.

Zdroj: Statista.com

Je vhodné dodat, že mohl být možná ještě větší, pokud by se hned v počátcích útoku – a tak trochu náhodou – nepodařilo najít “vypínač”.

WannaCry se totiž přes vlastním napadením počítače dotazovalo na existenci domény poněkud nesmyslného jména a zprovozněním této domény se pokračování šíření podařilo zásadně omezit.

V penězích už tak úspěšní útočníci nebyli

Sám název ransomware (z anglického ransom – výkupné, pozn. red.) ukazuje, že virus byl vypuštěn se zištným úmyslem, přičemž anonymita bitcoinu pro tento účel posloužila více než dobře.

U platby v bitcoinech totiž lze – i v tomto případě sledovat kolik plateb bylo uskutečněno. V neděli šlo zhruba o 34 tisíc dolarů (okolo 110 plateb), o dva dny později to byl již dvojnásobek, tedy něco přes 60 tisíc dolarů a 240 transakci z 300 tisíc možných.

Logické, protože vyděračům nebývá vhodné platit. V případě ransomware navíc nebývá příliš jisté, zda zaplacením vůbec získáte obsah svého počítače zpět.

Nemluvě o tom, že platby v bitcoinech jsou pro obyčejného člověka něco poměrně záhadného. Napadený počítač je tak jednodušší prostě kompletně smazat, znovu nainstalovat operační systém a data obnovit.

Útok který byl dlouho na spadnutí

Jednu věc je k útoku WannaCry nutné zdůraznit. Na jeho počátku stojí únik pomůcek amerických tajných a bezpečnostních služeb. Ty ve svém arzenálu měly využití bezpečnostních nedostatků, které místo aby nahlásili výrobci (v tomto případě hlavně Microsoftu), tak si je nechávali pro vlastní využití.

K úniku z agentur NSA a FBI ale došlo před několika měsíci a Microsoft tehdy velmi rychle opravil Windows, aby nebylo možné je napadnout. Bohužel ne staré verze (jako zmíněné Windows XP, které je dnes krajně nebezpečné používat, pokud má počítač připojení k internetu), Microsoft navíc bohužel nemohl zajistit, že si opravné balíčky opravdu všichni nainstalují. Zejména ve firmách totiž dost často platí, že s instalacemi aktualizací a oprav otálejí.

Výsledek je ten, že se vlastně nijak extra sofistikovaným virem se podařilo napadnout několik stovek tisíc počítačů a způsobit škody, které jdou v přepočtu možná do miliard korun.

Jde tak o varování, že by se útok jako WannaCry velmi snadno může opakovat s nějakým dalším virem a nějakou další bezpečnostní chybou.

Virus přišel e-mailem

Možná je ale vhodné se ještě vrátit na počátek. Jakkoliv se prozatím neví kdo vlastně utočil, ani se nepodařilo ověřit jak došlo k prvnímu šíření, předpokládá se využití e-mailu.

Virus nejspíš přišel jako mailová příloha, která se mohla tvářit například jako faktura nebo nějaký firemní dokument. Po otevření se aktivoval proces šifrování disku a následně se napadený počítač začal napadat všechny dostupné počítače.

Všechny dostupné znamená nejenom v lokální sítí, ale také náhodně na internetu. Testy ukázaly, že děravý počítač připojený k internetu byl zavirován během pěti až devíti minut.

Zajímavé na WannaCry je i to, že byl přeložený do několika desítek jazyků, ale není známo že by byl i v češtině. Což může být také jeden z těch šťastných momentů, cizojazyčné maily a přílohy totiž už přeci jenom připadají lidem v Česku podezřelé a bojí se je otevírat.

Nejlepší ochrana je prevence a opatrnost

Jak se proti něčemu jako WannaCry chránit? Na jednu stranu velmi těžko, protože pokud uživatel dobrovolně otevře přílohu s virem, tak ani použití antivirového software nemusí znamenat, že virus bude zastaven. Trvá hodiny až desítky hodin, než antivirové programy poznají nové viry.

První zásadní opatření je tedy opatrnost. Neotevírat neznámé přílohy, případně je neotevírat ve Wordu či Adobe PDF prohlížeči.

Pomáhá otevírání v on-line službách jako je Google Docs či Office 365. Nebo otevírání na mobilním telefonu, kde se útočné metody sloužící pro osobní počítače nemohou uplatnit.

Nicméně stále se také vyplatí používat antivirové software, zastaví totiž minimálně útoky známých virů a několik hodin po propuknutí vlny útoků WannaCry antiviry zastavovaly i tento virus.

NOVINKA      –          Přihlaste se k odběru newsletteru       –          NOVINKA

Bez aktualizace softwaru ani ránu

Velmi zásadní je ale aktualizace operačního systému a všech programů, které používáte. Zejména pokud jde o závažné bezpečnostní chyby a zranitelností. Patří sem i to, že používat staré operační systémy (jako je Windows XP v tomto případě) je už bohužel zásadně rizikové.

Ve spojení s ransomware je také extrémně důležité zálohování. Nikoliv ale zálohování na disky či síťové disky volně dostupné z počítače, ale někam do cloudového prostředí, tedy na jiné místo, někam kam se případný virus z počítače nemůže přímo dostat.

Eliminace ransomware v počítači je nejrychleji řešitelná opravdu tak, že prostě počítač kompletně reinstalujete a data obnovíte.

Vše výše popsané je poměrně triviální u domácích počítačů, poněkud více nákladné a složitější ve firemním prostředí. Tam ale případný průnik ransomware do firemní sítě může způsobit zásadní škody. Firmě přestanou fungovat počítače a přijde o data. Zanedbávání a šetření na firemním IT oddělení a bezpečnosti se tak zásadně nevyplatí.

Šíření WannaCry je nezastavitelné

Vhodné je zdůraznit je, že WannaCry využíval technologie, které používáme dnes a denně. Šířil se přes klasické síťové protokoly pomocí kterých se připojujeme k dalším počítačům. Využíval i vzdálené připojení na plochu dalších počítačů.

Proto v tomto (a dalších budoucích případech) je poměrně obtížně blokovat podobné aktivity přes firewall a routery. Nepomohlo by ani používání VPN, protože i přes tu by útočnicí mohli pokračovat v šíření.

Pomohlo by důsledně blokování neznámých procesů a programů pokoušejících se o síťovou komunikaci, ale to jsme někde v oblasti zásadně pokročilých bezpečnostních opatření, které se ve firmách vyskytují minimálně.

S dnešním stavem používání vlastní technicky zaměstnanců, kterou zapojují do firemních sítí, je navíc případně riziko přinesení něčeho škodlivého ještě vyšší. Prostě doba kdy se viry šířily na disketách a USB klíčenkách je nenávratně pryč. Pro tvůrce virů se nabízí celosvětově propojená síť s miliardami připojených zařízení.