Eset: Ransomware WannaCry je po pěti letech stále detekován i v Česku

Kybernetický útok za použití ransomwaru WannaCryptor, který začal 12. května 2017, je jedním z nejslavnějších útoků svého druhu. I po pěti letech je ve světě i v České republice stále detekován, a to nejčastěji na zařízeních bez příslušných bezpečnostních oprav. Útok na systémové zranitelnosti s využitím ransomware a s následným ochromením kritické infrastruktury je přitom hrozbou, která je dle bezpečnostních expertů v současnosti velmi aktuální.

Ransomware WannaCry či WannaCryptor, který byl poprvé použit pro útok 12. května 2017, byl a stále je považován za dosud nejničivější ransomwarový útok, který byl kdy proveden. Bezpečnostní specialisté z Esetu ransomware dodnes celosvětově detekují.

„Stále denně registrujeme desítky případů po celém světě. U běžných uživatelů se nejčastěji jedná o počítače se zastaralými a neaktualizovanými operačními systémy, což je bohužel dlouhodobý problém. Setkáváme se s ním nadále i v Česku, jakkoli už to jsou jen poměrně ojedinělé případy,“ řekl Robert Šuman, vedoucí pražského výzkumného oddělení společnosti Eset.

WannaCry pro své šíření využívá zranitelnost neboli exploit v operačním systému Windows nazvaný EternalBlue. Ačkoli společnost Microsoft chybu již v dubnu 2017 objevila a opravila, ransomware se přesto následující měsíc rozšířil do celého světa.

Ještě v roce 2019 Eset denně detekoval stovky tisíc pokusů o zneužití tohoto exploitu. K velmi rychlému šíření ransomwaru WannaCry v počátcích jeho útoku i ke stále novým detekcím tak s největší pravděpodobností přispívá to, že i přes varování si mnoho uživatelů příslušnou opravu stále nenainstalovalo a jejich počítače tak v současnosti zůstávají vůči této chybě zranitelné.

Vstupní branou jsou zranitelnosti operačního systému

Ransomware je i dnes obávaným typem kybernetického útoku, který zašifruje soubory a za jejich opětovné zpřístupnění požaduje po oběti zaplacení výkupného, velmi často prostřednictvím kryptoměn.

„Jakmile útočníci jednou proniknou do systému, útok si tím připraví a pak většinou vyčkávají na vhodnou příležitost, aby celou akci spustili. V případě využívání chyb legitimních nástrojů a softwaru je samozřejmě mnohem složitější včas rozpoznat, že byl systém takto infiltrován. Je to velmi aktuální téma, jak také ukázala zranitelnost Log4j v závěru roku 2021 a obavy společností a organizací po celém světě, které ji doprovázely,“ řekl Šuman.

Ransomware se obecně v současnosti objevuje také v případě útoků, které probíhají prostřednictvím „dodavatelského řetězce“(supply-chain attack). Takový útok je velmi ničivý, protože najednou dojde ke kompromitaci velkého množství počítačů. Cílem takového útoku může být například ochromení dodávek energií nebo pohonných hmot a s tím spojené dalekosáhlé ekonomické dopady na další aktéry a celou společnost.

Obavy z cílení na kritickou infrastrukturu

WannaCry do současnosti napadl kromě osobních počítačů i velké organizace po celém světě. Útoku se v květnu 2017 nevyhnula ani Fakultní nemocnice v Nitře na Slovensku. Právě útoky na instituce, jejichž vyřazení z provozu by mohlo mít velké společenské dopady, jsou dnes obávaným scénářem.

„Útoky na kritickou infrastrukturu, ať už se bavíme o institucích z oblastí energetiky nebo zdravotnictví, mohou mít dalekosáhlé dopady a obavy z těchto útoků jsou dnes více než kdy dřív na místě. Takový útok navíc nemůžeme vyloučit nikde, ani v České republice,” řekl Šuman a dodal: „Ransomware je pro útočníky stále velmi atraktivní výdělečná činnost. Často se navíc prodává jako RaaS, Ransomware as a Service, takže si ho jako službu mohou koupit různé útočné skupiny.“

Před hrozbami v podobě ransomware se mohou firmy chránit především kvalitními bezpečnostními nástroji pro monitorování rizik a detekci malwaru. Pro domácí uživatele je pak klíčová především obezřetnost při práci s e-mailovou komunikací a ochrana zařízeních antivirovým softwarem.

„V případě WannaCry byl hlavním vektorem šíření e-mail. Uživatelé, a to i ve své roli zaměstnance ve firmě, by tak měli věnovat pozornost obsahu zprávy, pokud ji obdrží od neznámého odesílatele. V takovém případě by nikdy neměli otevírat e-mailovou přílohu a klikat na odkazy. Důležité je také aktualizovat operační systém a všechny programy na nejvyšší dostupné verze, které právě často obsahují opravy chyb z verzí předešlých,“ shrnul Šuman.

Zdroj: Eset