facebook adres e-mail telefon

Masowa, niezwykle skuteczna kampania ransomware wyłącza całe firmy

Firmy telekomunikacyjne, banki, szpitale i ministerstwa w całej Europie padają ofiarami ataku za sprawą relatywnie prostego, ale nad wyraz skutecznego ransomware. Na liście prawdopodobnych ofiar znajdują się hiszpańska firma Telefonica, instytucje finansowe w tym samym kraju, angielskie związki szpitali oraz rosyjskie MSW. Skala infekcji w zaatakowanych organizacjach jest masowa, a ransomware wykorzystuje załatany od paru miesięcy błąd w systemie Windows by rozsiewać się po kolejnych komputerach w sieci lokalnej.

Niespotykana skala ataków

Choć pierwsze informacje o infekcjach pojawiły się dopiero około piątkowego południa, to po kilku godzinach Kaspersky mówi już o odkryciu 45 000 infekcji w 74 krajach a Avast wspominał o 57 000 infekcji w zasięgu swojego systemu. Wg Avasta ransomware komunikuje się z zainfekowanymi osobami w 28 różnych językach a pierwszą aktywność tej wersji obserwowano w piątek ok. 8 rano.

skuteczna kampania ransomware
Do mediów powoli trafiają informacje o poszczególnych ofiarach ataków. Hiszpańskie gazety wskazują, że szczególnie ucierpiał operator telekomunikacyjny Telefonica, w którym pracownikom kazano wyłączyć wszystkie komputery i iść do domów. Rzekomo zainfekowana została większość maszyn w biurach firmy. Na liście ofiar w Hiszpanii wymienia się także wiele innych, bardzo poważnych firm. Wg BBC infekcję potwierdziły m.in. FedEx, Portugal Telecom i Megafon (rosyjska sieć komórkowa). Bez wątpienia sytuacja jest poważna także w Wielkiej Brytanii, gdzie sieci szpitali są już tradycyjnym celem ransomware. Szesnaście związków, z których każdy zrzesza po kilka szpitali, zgłosiło już infekcje swoich sieci i wydało komunikaty o tymczasowym ograniczeniu funkcjonowania. Co ciekawe, ofiarą infekcji podobno zostało także rosyjskie Ministerstwo Spraw Wewnętrznych. Niestety na mapie aktualnych infekcji widać także ślady z Polski.

Masowa, niezwykle skuteczna kampania ransomware

Efekty i przebieg infekcji

Zainfekowane komputery otrzymują nową tapetę oraz okno z informacją o ataku. Przykładów w sieci nie brakuje – wygląda to najczęściej tak:

przebieg infekcji komputera
Zaszyfrowane pliki otrzymują rozszerzenie .WNCRY, a ciąg WANACRY! zapisywany jest na początku pliku. Program prosi o wpłatę 300 dolarów (w bitcoinach) za każdą zainfekowaną stację. Cena ma wzrosnąć dwukrotnie po trzech dobach, a po tygodniu odzyskanie plików ma być już niemożliwe. Do tej pory brak wiarygodnych informacji o sposobie przeprowadzenia pierwszej infekcji komputerów. Kilku badaczy wskazuje, że ransomware generuje ruch sieciowy odpowiadający sygnaturom exploita NSA na usługę SMB ujawnionego przez ShadowBrokers a załatanego przez Microsoft w łacie MS17-010 jeszcze w marcu tego roku. Nam udało się potwierdzić, że istotnie próbki ransomware zawierają kod mających coś wspólnego z Sambą. Istnieje podejrzenie, że pierwsza infekcja następuje poprzez załącznik z wiadomości poczty elektronicznej. Następnie złośliwy program uruchamia dwa wątki, z których jeden skanuje sieć lokalną, a drugi internet pod kątem dostępnego portu 445 i próbuje infekować odnalezione komputery.

Oto wygląd zainfekowanego komputera w Polsce, a poniżej treść komunikatu.

zainfekowany komputer

Apelujemy o zachowanie szczególnej ostrożności przy otwieraniu załączników pochodzących z niesprawdzonego maila.

Źródło: https://zaufanatrzeciastrona.pl

Masz pytania? Napisz do nas!

Wyślij wiadomość