WannaCry

Το σκουλήκι υπολογιστών (worm) WannaCry, γνωστό και ως WannaCry Cryptoworm, ήταν μια κυβερνοεπίθεση λυτρισμικού (ransomware) σε υπολογιστές σε όλο τον κόσμο που τρέχουν το λειτουργικό σύστημα Windows, με την οποία κρυπτογραφούνταν αρχεία και ζητούνταν λύτρα 300-600 δολαρίων μέσω Bitcoin για να αποκτήσει ο χρήστης και πάλι πρόσβαση στα αρχεία του. Η επίθεση κράτησε τρεις μέρες, από τις 12 Μαΐου μέχρι τις 15 Μαΐου 2017.

Χώρες που δέχτηκαν επίθεση από το σκουλήκι αυτό.

Το WannaCry είναι βασισμένο στο EternalBlue της NSA, ένα exploit του πρωτοκόλλου SMB των Windows. Διέρρευσε από τους Shadow Brokers στις 9 Απριλίου, ένα μήνα πριν την επίθεση. Η Microsoft, στις 14 Μαρτίου, έβγαλε μια ενημέρωση που προστατεύει τα λειτουργικά της συστήματα απ' αυτό το exploit. Η ενημέρωση αυτή είναι γνωστή και ως MS17-010.

Επιθέσεις και αντίμετρα

Κάποιες από τις πρώτες επιθέσεις, στις 12 Μαΐου, συνέβησαν στο Εθνικό Σύστημα Υγείας στο Ηνωμένο Βασίλειο, σε υπηρεσία κινητής τηλεφωνίας στην Ισπανία, στην εταιρεία μεταφορών FedEx και σε εταιρία τρένων. Μια μέρα μετά την εκκίνηση της επίθεσης, γνωστοποιήθηκε πως το Αριστοτέλειο Πανεπιστήμιο Θεσσαλονίκης είναι ανάμεσα στους παγκόσμιους οργανισμούς που χτυπήθηκαν από τον ιό.^[1][2]

Ο Μάρκους Χάτσινς, ένας 22χρονος προγραμματιστής από το Βόρειο Ντέβον της Βρετανίας, βρήκε ένα αποτελεσματικό kill-switch (δηλαδή έναν τρόπο να απενεργοποιεί το WannaCry) γράφοντας το όνομα domain που βρήκε στον κώδικα του λυτρισμικού με την οποία επιβράδυνε την διάδοση του ιού, όμως αμέσως μετά, κυκλοφόρησε μια καινούργια έκδοση, δίχως την δυνατότητα να απενεργοποιηθεί μέσω kill-switch.

Μέτρα της Microsoft κατά της επίθεσης

Αν και τα προγενέστερα, και εκτός υποστήριξης από την Microsoft λειτουργικά συστήματα, Windows XP, Windows Server 2003 και Windows Vista, συνέχιζαν να χρησιμοποιούνται σε μεγάλο βαθμό σ' όλο τον κόσμο, ήταν και τα πιο ευάλωτα «θύματα». Και για τον λόγο αυτό, η Microsoft έβγαλε επείγουσες ενημερώσεις για τα λειτουργικά αυτά. Σχεδόν όλα τα θύματα της επίθεσης αυτής έτρεχαν Windows 7.

Σχετικά με την κυβερνοεπίθεση

Το WannaCry ξεκίνησε να διαδίδεται πολύ γρήγορα σε υπολογιστές απ' όλο τον κόσμο περίπου από τις 7:44 π.μ. (UTC). Πρώτα ο ιός ελέγχει αν υπάρχει το kill-switch domain και, εάν δεν βρεθεί, αρχίζει και κρυπτογραφεί αρχεία σε υπολογιστές θυμάτων (αυτό ίσχυε πριν από την ολική αφαίρεση του kill-switch). Στη συνέχεια προσπαθεί να σπάσει το SMB κάθε υπολογιστή για να διαδώσει τον ιό σε τυχαίους υπολογιστές, αλλά και σε όλο το δίκτυο του θύματος. Όπως όλα τα ransomware εμφανίζει ένα μήνυμα το οποίο έχει διάφορες πληροφορίες, όπως πληροφορίες πληρωμής, με το ποσό να ξεκινά από τα 300 δολάρια. Μετά από τρεις ημέρες, το ποσό αυξάνεται κατά 300 δολάρια. Επτά μέρες μετά την επίθεση του θύματος, ο ιός διαγράφει τα αρχεία που βρίσκονται στον υπολογιστή. Ο τρόπος πληρωμής γίνεται μέσω Bitcoin. Ως τις 14 Ιουνίου είχαν γίνει πάνω από 300 πληρωμές με ποσό που έφτασε συνολικά τα 130.000 δολάρια.

Αυτουργοί

Οι πρώτες έρευνες αποδεικνύουν πως οι δράστες ίσως κατάγονται είτε από Κίνα (γιατί τα κινεζικά σημειώματα του ιού είναι άπταιστα)^[3], είτε από την Κορεατική Χερσόνησο (σύμφωνα με τα metadata των εγγράφων τα οποία αναγράφουν την ζώνη ώρας τροποποίησής τους).

Κάποιοι οργανισμοί συνέκριναν τον κώδικα του ιού με προηγούμενες κυβερνοεπιθέσεις από τους Lazarus Group (Βορειοκορεατική ομάδα κυβερνοεπιθέσεων που είχε εμπλακεί σε κυβερνοεπιθέσεις τραπεζών αλλά και σε παραγωγές ταινιών στο παρελθόν), και πράγματι είχαν πολλές ομοιότητες.^[4] Η Βόρεια Κορέα, ωστόσο, αρνήθηκε οποιαδήποτε εμπλοκή με το WannaCry, καθώς και την ύπαρξη της κυβερνοεπιθετικής ομάδας.^[5]

Το 2018, το Υπουργείο Δικαιοσύνης (DoJ) των Ηνωμένων Πολιτειών, εξέδωσε ένταλμα σύλληψης κατά του Παρκ Τζιν Χιοκ (μέλος του Lazarus Group) και θεωρείται από τους πιο καταζητούμενους δράστες, σύμφωνα με το FBI.^[6]

Παραπομπές

1. ««Χάκαραν» και το ΑΠΘ στην παγκόσμια κυβερνοεπίθεση!». Πρώτο Θέμα. http://www.protothema.gr/greece/article/679082/hakaran-kai-to-apth-stin-pagosmia-kuvernoepithesi/. Ανακτήθηκε στις 2017-09-05. 
2. «Θεσσαλονίκη: Στόχος της παγκόσμιας κυβερνοεπίθεσης το Αριστοτέλειο – Συναγερμός για τον ισχυρό ιό!». NewsIT. 13 Μαΐου 2017. https://www.newsit.gr/topikes-eidhseis/thessaloniki-stoxos-tis-pagkosmias-kyvernoepithesis-to-aristoteleio-synagermos-gia-ton-isxyro-io/1027391/. 
3. Leyden, John. «‪WannaCry‬pt ransomware note likely written by Google Translate-using Chinese speakers». www.theregister.com (στα Αγγλικά). Ανακτήθηκε στις 3 Απριλίου 2023. 
4. Solon, Olivia (2017-05-15). «WannaCry ransomware has links to North Korea, cybersecurity experts say» (στα αγγλικά). The Guardian. ISSN 0261-3077. https://www.theguardian.com/technology/2017/may/15/wannacry-ransomware-north-korea-lazarus-group. Ανακτήθηκε στις 2023-04-03. 
5. https://www.washingtontimes.com, The Washington Times. «North Korea disputes existence of Park Jin Hyok, suspected Sony hacker». The Washington Times (στα Αγγλικά). Ανακτήθηκε στις 3 Απριλίου 2023. 
6. «PARK JIN HYOK». Federal Bureau of Investigation (στα Αγγλικά). Ανακτήθηκε στις 3 Απριλίου 2023.