Kibernetinio saugumo kompanijos „Sophos“ mokslinių tyrimų padaliniui SophosLabs atlikus retrospektyvų „WannaCry” aktyvumo tyrimą, paaiškėjo, kad šis išmanus save platinantis virusas niekur nedingo, o jo aktyvumas yra netgi didesnis nei 2017-ųjų pavasarį. Ekspertams išanalizavus virš 2 tūkstančių unikalių versijų, paaiškėjo, kad „WannaCry“ prisitaikė išvengti garsiojo „sunaikinimo mygtuko“, tačiau dėl pažeidimų kenkėjiškame kode negali užšifruoti duomenų.

Apie tai liudija kiekvieną mėnesį fiksuojami milijonai „WannaCry“ platinimo atakų bei piktavalių aktyvumas kuriant naujas viruso modifikacijas. Pirminė „WannaCry“ viruso versija išliko nepakitusi ir ją vis dar galima aptikti kibernetinėje erdvėje. Be abejo, jos efektyvumas yra pažabotas aktyvavus vadinamąjį „sunaikinimo mygtuką“ – užtenka vieną kartą užregistruoti domeno vardą. Kaip žinia, gavusi teigiamą atsaką, kenkėjiška programa duomenų šifravimo neįvykdo. Būtent todėl dauguma trumpalaikių „WannaCry“ modifikacijų remiasi bandymu išvengti „sunaikinimo mygtuko“ ir tikrina vis naujo domeno vardo egzistavimą. Tai leidžia programai nepažabojamai platinti save ir užtikrinti „WannaCry“ viruso tęstinumą kibernetinėje erdvėje.

Tokia aktyvi savęs platinimo „WannaCry“ elgsena – nieko naujo, todėl šis virusas yra laikomas didžiausiu grobuonimi istorijoje, sugebėjusiu akimirksniu užvaldyti šimtus tūkstančių įrenginių. Tad ekspertams kilo natūralus klausimas: kodėl platinimo aktyvumui esant kaip niekad dideliam, niekas nekalba apie sukeltus padarinius ir įmonių bei privačių asmenų patiriamą žalą?

Tęsiant tyrimą ir analizuojant dešimtis skirtingų „WannaCry“ modifikacijų, „Sophos“ kibernetinio saugumo ekspertams pavyko išsiaiškinti, kad kenkėjiškos programos komponentas, atsakingas už failų sistemos šifravimą, buvo saugomas „zip“ archyve, apsaugotame slaptažodžiu, o archyvas – pažeistas. Tai neleido kenkėjiškai programai, patekusiai į aukos kompiuterį, įvykdyti duomenų šifravimo komponento, esančio pažeistame archyve, kurio neįmanoma išpakuoti.

Kaip teigiama SophosLabs tyrimo ataskaitoje, būtent dėl pažeisto archyvo su duomenis šifruojančiu komponentu „WannaCry“ virusas iš grobuonies visai atsitiktinai evoliucionavo į sparčiai plintančią vakciną nuo savęs paties. Juk „WannaCry“ platinimo algoritmas neatakuoja kompiuterio, kuris jau buvo užkrėstas, todėl, net ir atsiradus modifikacijai su korektišku duomenis šifruojančio komponento archyvu, užkrėsti įrenginiai išsaugotų įgytą imunitetą ir nepatirtų jokio papildomos žalos.

Kibernetinio saugumo specialistus tai ir džiugina, ir kelia rūpestį. Šiandien itin daug komunikuojama apie savalaikio atnaujinimų diegimo svarbą, tačiau akivaizdu, jog, praėjus daugiau nei dvejiems metams po „WannaCry“ protrūkio, kibernetinėje erdvėje vis dar gausu įrenginių, kuriuose neįdiegti atnaujinimai, užkertantys kelią „WannaCry“ plitimui. Akivaizdu, kad tokie įrenginiai – tai silpnoji organizacijų, namų tinklo ir visos kibernetinės erdvės grandis, nes greičiausiai juose neįdiegti nuo kitų grėsmių apsaugantys atnaujinimai.

„2017-ųjų pavasarį užklupęs „WannaCry“ protrūkis amžiams pakeitė daugelio mūsų supratimą apie kibernetinio saugumo grėsmes. Bene svarbiausias aspektas, kurį išryškino mūsų atliktas tyrimas, kad vis dar yra gana daug tinkamai neapsaugotų kompiuterių. Kyla klausimas, jeigu neįdiegtos pataisos, kurios buvo išleistos daugiau nei prieš dvejus metus, kiek dar pataisų praleista?

„WannaCry“ atveju daugeliui naujųjų aukų pasisekė, kadangi dabartinės viruso versijos suteikė joms imunitetą nuo ateities versijų. Tačiau nė viena organizacija neturėtų tuo pasikliauti. Savalaikis atnaujinimų diegimas turėtų tapti įprastine praktika, patvirtinta kompanijos tinklų, įrenginių ir sistemų saugumo strategijoje“, –apibendrina „Sophos“ kibernetinio saugumo specialistas ir tyrimo vadovas Pyteris Makenzis.

Šaltinis
Temos
Griežtai draudžiama Delfi paskelbtą informaciją panaudoti kitose interneto svetainėse, žiniasklaidos priemonėse ar kitur arba platinti mūsų medžiagą kuriuo nors pavidalu be sutikimo, o jei sutikimas gautas, būtina nurodyti Delfi kaip šaltinį. Daugiau informacijos Taisyklėse ir info@delfi.lt
Prisijungti prie diskusijos Rodyti diskusiją (3)