Ransomware WannaCry stále představuje riziko pro kritickou infrastrukturu

WannaCry pro své šíření využívá zranitelnost neboli exploit v operačním systému Windows nazvaný EternalBlue. Ačkoli Microsoft chybu již v dubnu 2017 objevil a opravil, ransomware se přesto následující měsíc rozšířil do celého světa. Bezpečnostní specialisté z ESETu jej dodnes celosvětově detekují.

Ransomware WannaCry (WannaCryptor) byl poprvé použit pro útok 12. 5. 2017. Byl a stále je považován za dosud nejničivější ransomwarový útok, který byl kdy proveden.

"Stále denně registrujeme desítky případů po celém světě. U běžných uživatelů se nejčastěji jedná o počítače se zastaralými a neaktualizovanými operačními systémy, což je bohužel dlouhodobý problém. Setkáváme se s ním nadále i v Česku, jakkoli už to jsou jen poměrně ojedinělé případy. Jakmile útočníci jednou proniknou do systému, útok si tím připraví a pak většinou vyčkávají na vhodnou příležitost, aby celou akci spustili. V případě využívání chyb legitimních nástrojů a softwaru je samozřejmě mnohem složitější včas rozpoznat, že byl systém takto infiltrován. Je to velmi aktuální téma, jak také ukázala zranitelnost Log4j v závěru roku 2021 a obavy společností a organizací po celém světě, které ji doprovázely. V případě WannaCry byl hlavním vektorem šíření e-mail. Uživatelé, a to i ve své roli zaměstnance ve firmě, by tak měli věnovat pozornost obsahu zprávy, pokud ji obdrží od neznámého odesílatele. V takovém případě by nikdy neměli otevírat e-mailovou přílohu a klikat na odkazy. Důležité je také aktualizovat operační systém a všechny programy na nejvyšší dostupné verze, které právě často obsahují opravy chyb z verzí předešlých," říká Robert Šuman, vedoucí pražského výzkumného oddělení společnosti ESET.

Ještě v roce 2019 ESET denně detekoval stovky tisíc pokusů o zneužití tohoto exploitu. K velmi rychlému šíření ransomwaru WannaCry v počátcích jeho útoku i ke stále novým detekcím tak s největší pravděpodobností přispívá to, že i přes varování si mnoho uživatelů příslušnou opravu stále nenainstalovalo a jejich počítače tak v současnosti zůstávají vůči této chybě zranitelné.

Vstupní branou jsou zranitelnosti operačního systému

Ransomware je i dnes obávaným typem kybernetického útoku, který zašifruje soubory a za jejich opětovné zpřístupnění požaduje po oběti zaplacení výkupného, velmi často prostřednictvím kryptoměn.

Ransomware se obecně v současnosti objevuje také v případě útoků, které probíhají prostřednictvím dodavatelského řetězce (supply-chain attack). Takový útok je velmi ničivý, protože najednou dojde ke kompromitaci velkého množství počítačů.

Cílem takového útoku může být např. ochromení dodávek energií nebo pohonných hmot a s tím spojené dalekosáhlé ekonomické dopady na další aktéry a celou společnost.

Obavy z cílení na kritickou infrastrukturu

WannaCry do současnosti napadl kromě osobních počítačů i velké organizace po celém světě. Útoku se v květnu 2017 nevyhnula ani Fakultní nemocnice v Nitře na Slovensku. Právě útoky na instituce, jejichž vyřazení z provozu by mohlo mít velké společenské dopady, jsou dnes obávaným scénářem.

Útoky na kritickou infrastrukturu, ať už se bavíme o institucích z oblastí energetiky nebo zdravotnictví, mohou mít dalekosáhlé dopady a obavy z těchto útoků jsou dnes více než kdy dřív na místě. Takový útok navíc nemůžeme vyloučit nikde, ani v České republice.

Ransomware je pro útočníky stále velmi atraktivní výdělečná činnost. Často se navíc prodává jako RaaS, Ransomware as a Service, takže si ho jako službu mohou koupit různé útočné skupiny.

Před hrozbami v podobě ransomware se mohou firmy chránit především kvalitními bezpečnostními nástroji pro monitorování rizik a detekci malwaru. Pro domácí uživatele je pak klíčová především obezřetnost při práci s e-mailovou komunikací a ochrana zařízeních antivirovým softwarem.