Το κυβερνοέγκλημα κατατάσσεται παγκοσμίως ανάμεσα στους πέντε κορυφαίους επιχειρηματικούς κινδύνους, σύμφωνα με την Παγκόσμια Έρευνα για τη Διαχείριση Κινδύνου 2017, από την Aon (NYSE:AON). Αυτό επιβεβαιώνεται ύστερα από την κυβερνοεπίθεση WannaCry που σημειώθηκε στις 12 Μαΐου και εξαπλώθηκε σε περισσότερες από 90 χώρες, καταγράφοντας μια από τις μεγαλύτερες κυβερνοεπιθέσεις που έχουν υπάρξει ποτέ, με τον ρυθμό εξάπλωσης και τον πολλαπλασιασμό των επιπτώσεων της επίθεσης να θεωρείται πρωτοφανής.
Παρότι εντοπίστηκε προσωρινός τρόπος αντιμετώπισης της αρχικής μορφής του WannaCry, ενδέχεται να κυκλοφορήσουν νέες εκδόσεις που μπορεί να έχουν ανάλογη ή μεγαλύτερη επικινδυνότητα.
7 απλές ερωτήσεις για να διαπιστώσετε το βαθμό ετοιμότητας της επιχείρησής σας
· Πότε ήταν η τελευταία φορά που εξετάσατε το πρόγραμμα διαχείρισης ενημερώσεων (patch management program), τα σχέδια αποκατάστασης καταστροφών (disaster recovery plans) και τα σχέδια επιχειρησιακής συνέχειας (business continuity plans), στην επιχείρησή σας;
· Μπορείτε να προσδιορίσετε πού βρίσκονται όλα τα κριτικής σημασίας δεδομένα σας και εάν γίνονται τακτικά, αντίγραφα ασφαλείας;
· Έχετε πρόγραμμα ασφάλισης στον κυβερνοχώρο, που να σας παρέχει επαρκή κάλυψη; Έχετε λάβει τα απαραίτητα μέτρα για να βεβαιωθείτε ότι θα δικαιούστε να προχωρήσετε σε απαίτηση, εάν επηρεαστεί η επιχείρησή σας;
· Έχετε ενημερώσει το προσωπικό σας, σχετικά με τις τελευταίες πρακτικές ηλεκτρονικού ψαρέματος (phishing) και κοινωνικής μηχανικής (social engineering);
· Υπάρχει σχέδιο αντιμετώπισης περιστατικών, το οποίο να έχει δοκιμαστεί πρόσφατα, ώστε όλοι να γνωρίζουν τι πρέπει να κάνουν σε περίπτωση επίθεσης;
· Έχετε εγκαταστήσει τους απαραίτητους τεχνικούς και διαδικαστικούς ελέγχους; Εφαρμόζονται και λειτουργούν σωστά;
· Έχετε αξιολογήσει και δοκιμάσει τα συστήματα ασφάλειας της επιχείρησής σας πρόσφατα; Έχετε ενεργήσει ανάλογα με τα αποτελέσματα;
Τι είναι το κακόβουλο λογισμικό WannaCry
Το WannaCry (γνωστό και ως WannaCryptor και Wana DecryptOr) είναι μια μορφή κακόβουλου λογισμικού που προσβάλει συστήματα υπολογιστών, που λειτουργούν σε περιβάλλον Windows, μέσω μιας ευπάθειας (vulnerability) στο πρωτόκολλο SMBv1 (MS17-010, ευπάθεια στο Server Message Block). Το WannaCry στοχεύει και κρυπτογραφεί 176 τύπους φακέλων, συμπεριλαμβανομένων αρχείων του Office, φακέλων πολυμέσων, καθώς και βάσεις δεδομένων, μεταξύ άλλων, απαιτώντας πληρωμή με σκοπό να δώσει το κλειδί της αποκρυπτογράφησης.
Πως λειτουργεί το WannaCry;
Το WannaCry δημιουργεί ένα αντίγραφο του εαυτού του, το οποίο τρέχει στο μολυσμένο υπολογιστή. Καθώς τρέχει, το λογισμικό δοκιμάζει να συνδεθεί με ένα συγκεκριμένο domain. Αν το επιτύχει, παραμένει στο σύστημα χωρίς να τρέξει το κακόβουλο λογισμικό (WannaCry). Στις 13 Μαΐου ένας ανεξάρτητος ερευνητής κατάφερε να εντοπίσει αυτό το «πάγωμα» και να βρει έναν προσωρινό τρόπο αναχαίτισης του WannaCry. Παρότι η λύση αυτή γνωστοποιήθηκε, πληροφορίες από την εταιρεία Kaspersky επιβεβαιώνουν την παρουσία παραλλαγών του WannaCry.
Εάν το κακόβουλο λογισμικό δεν καταφέρει να συνδεθεί στο domain, ενεργοποιείται αντιγράφοντας και εκτελώντας τον επιβλαβή κώδικά του στον μολυσμένο υπολογιστή, ο οποίος στη συνέχεια κρυπτογραφεί τα αρχεία του, κάνοντας τα μη προσβάσιμα. Στη συνέχεια, το λογισμικό απαιτεί πληρωμή της τάξης $300 – $600, σε μορφή Bitcoin, ως αντάλλαγμα για να δώσει το κλειδί της αποκρυπτογράφησης των αρχείων.
Οι επιχειρήσεις θα πρέπει να κατανοήσουν ότι τα συστήματα που έχουν ήδη μολυνθεί με το WannaCry, δεν θα πάρουν τα αρχεία τους πίσω παρότι γνωστοποιήθηκε το «πάγωμα» που περιγράφηκε παραπάνω. Επί του παρόντος, δεν υπάρχει γνωστή μέθοδος για το σπάσιμο της κρυπτογράφησης του κακόβουλου λογισμικού. Όπως αναλύεται παρακάτω, οι επιχειρήσεις ενδέχεται να είναι σε θέση να παρακάμψουν το κακόβουλο λογισμικό, εφόσον υπάρχουν αντίγραφα ασφαλείας των αρχείων που έχουν υποστεί ζημιά και στη συνέχεια αυτά να αποκατασταθούν, μόλις ενημερωθούν όλα τα μολυσμένα συστήματα.
Πότε ενδέχεται η επιχείρησή σας να έχει μολυνθεί από το WannaCry;
Εάν χρησιμοποιείτε υπολογιστές σε περιβάλλον Windows οι οποίοι δεν έχουν ενημέρωση για το MS17-010, είναι πιθανό να διατρέχετε κίνδυνο.
Αν το κακόβουλο λογισμικό έχει ενεργοποιηθεί σε ένα μολυσμένο σύστημα, παρατηρούνται συνήθως δυο φαινόμενα:
1. Τα αρχεία ενός χρήστη θα κρυπτογραφηθούν και θα καταστούν μη προσβάσιμα, λαμβάνοντας παράλληλα την επέκταση “.WCRY”, “.WNCRY” ή/και “.WNCRYT”
2. Το εργαλείο της αποκρυπτογράφησης (Wana DecryptOr) θα τρέξει αυτόματα στο μολυσμένο σύστημα.