Kontakt

WannaCry — co to jest, jak działał i kto za tym stał

Ekran z komunikatem ransomware WannaCry, żądanie okupu w bitcoinach

WannaCry to robak ransomware, który 12 maja 2017 roku zainfekował i zaszyfrował dane na 230 tysiącach komputerów w ponad 150 krajach — w ciągu zaledwie kilku godzin. Sparaliżował brytyjski system opieki zdrowotnej NHS, Deutsche Bahn, Renault i FedEx. Szacowane straty: ok. 4 miliardy dolarów. To jeden z największych cyberataków w historii — i lekcja o tym, co się dzieje, gdy broń cybernetyczna NSA trafi w niepowołane ręce.

Co to jest WannaCry

WannaCry (pełna nazwa: WannaCrypt lub WanaCrypt0r 2.0) to ransomware cryptoworm — połączenie ransomware (szyfrującego pliki i żądającego okupu) z robakiem sieciowym (samodzielnie rozprzestrzeniającym się przez sieci bez interakcji użytkownika). W odróżnieniu od typowego ransomware dostarczanego przez e-mail, WannaCry nie wymagał, żeby ktokolwiek kliknął link — wystarczyło, że komputer był podłączony do internetu lub sieci lokalnej.

EternalBlue — broń NSA, która wyciekła

Kluczem do zrozumienia WannaCry jest historia exploita EternalBlue. Exploit ten opracowała Agencja Bezpieczeństwa Narodowego USA (NSA) jako narzędzie do ofensywnych operacji wywiadowczych. Wykorzystywał lukę w protokole SMB (Server Message Block) — mechanizmie Windows służącym do udostępniania plików i drukaren w sieci.

Oś czasu:

  • 2017, marzec — Microsoft wydaje łatkę MS17-010 naprawiającą podatność SMB (wcześniej NSA poinformowała Microsoft o luce).
  • 14 kwietnia 2017 — hakerska grupa Shadow Brokers publikuje w internecie skradzioną cyberbroń NSA, w tym EternalBlue. Exploit trafia w ręce każdego.
  • 12 maja 2017 — 28 dni po wycieku, WannaCry używa EternalBlue do pierwszego masowego ataku.

Komputery z zainstalowaną łatką MS17-010 były odporne. Problem: miliony maszyn na świecie — szczególnie w korporacjach i instytucjach publicznych — nie miały zainstalowanych aktualizacji.

Jak działał WannaCry

  1. Skanowanie sieci — WannaCry skanował losowe adresy IP i adresy w sieci lokalnej w poszukiwaniu maszyn z otwartym portem 445 (SMB).
  2. Exploit EternalBlue — atakował niezałatane systemy Windows przez lukę SMB, wstrzykując kod bez żadnej interakcji użytkownika.
  3. Instalacja DoublePulsar — backdoor NSA instalował się na zainfekowanej maszynie.
  4. Szyfrowanie plików — WannaCry szyfrował dane AES-128 i zmieniał rozszerzenia plików na .WNCRY.
  5. Żądanie okupu — ekran ofiary wyświetlał komunikat z żądaniem 300–600 USD w Bitcoinach w ciągu 3 dni (po 7 dniach pliki „przepadają na zawsze”).
  6. Dalsze skanowanie — zainfekowana maszyna natychmiast atakowała kolejne urządzenia w sieci.

Ofiary i skala ataku

  • NHS (National Health Service, Wielka Brytania) — szpitale musiały odwoływać operacje, przekierowywać karetki i wyłączać systemy komputerowe. Szacunkowe koszty: ok. 92 mln GBP.
  • Deutsche Bahn — tablice informacyjne i systemy sprzedaży biletów na stacjach wyświetlały ekrany ransomware zamiast rozkladów jazdy.
  • Renault — wstrzymał produkcję w kilku zakładach.
  • FedEx — zakłócenia w globalnej sieci logistycznej.
  • Telefónica (Hiszpania), MegaFon (Rosja), setki innych firm i instytucji na całym świecie.

Kill switch — jak jeden człowiek zatrzymał atak

W kodzie WannaCry był ukryty mechanizm kill switch: przed szyfrowaniem malware wysyłał zapytanie do konkretnej, losowo wyglądającej domeny. Jeśli domena nie odpowiadała, szyfrowanie przebiegało. Jeśli odpowiadała — WannaCry kończył działanie.

Badacz bezpieczeństwa Marcus Hutchins (znany jako MalwareTech) odkrył tę domenę w kodzie, sprawdził że nie jest zarejestrowana i zarejestrował ją za ok. 10 dolarów. Od tego momentu każdy nowy egzemplarz WannaCry, sprawdzając domenę, dostawał odpowiedź „tak, istnieje” — i przerywał działanie. To zatrzymało rozprzestrzenianie się w ciągu godzin, choć nie pomogło już zainfekowanym komputerom.

Kto stał za WannaCry

USA, Wielka Brytania, Australia, Kanada i Japonia oficjalnie przypisały atak Korei Północnej, konkretnie grupie Lazarus powiązanej z wywiadem wojskowym DPRK. Celem ataku miał być pospólny chaos i ewentualne zyski z opłat za odszyfrowanie (atakujący zebrali ok. 140 000 USD w bitcoinach — relatywnie mało jak na skalę zniszczeń).

Czego WannaCry nauczył branżę

  • Aktualizacje są krytyczne — łatka na EternalBlue istniała od 2 miesięcy przed atakiem. Niezainstalowanie aktualizacji bezpieczeństwa kosztowało miliardy.
  • Broń cybernetyczna może wymknąć się spod kontroli — EternalBlue był narzędziem NSA. Po wycieku przez Shadow Brokers trafił w ręce przestępców. Debata o tym, czy rządy powinny kumulować exploity zamiast informować vendorów, trwa do dziś.
  • Sieci nieposegmentowane są śmiertelnie niebezpieczne — WannaCry przemierzał wewnętrzne sieci korporacyjne z prędkością, która byłaby niemożliwa przy właściwej segmentacji.

Źródła:

  • Cloudflare — What was the WannaCry ransomware attack?
  • Wikipedia — EternalBlue
  • cybernews.com — Unraveling EternalBlue: inside WannaCry’s enabler

Najczęściej zadawane pytania o WannaCry

Kto stworzył WannaCry?

USA, Wielka Brytania i inne kraje oficjalnie przypisały atak Korei Północnej — grupie Lazarus powiązanej z wywiadem wojskowym DPRK. Exploit EternalBlue, który WannaCry wykorzystywał, opracowała NSA (Agencja Bezpieczeństwa Narodowego USA), ale wyciekł przez hakerów Shadow Brokers.

Czy WannaCry nadal stanowi zagrożenie?

Stary wariant WannaCry z 2017 roku jest nieaktywny — kill switch jest zarejestrowany i blokuje propagację. Ale EternalBlue, exploit, którego WannaCry używał, jest nadal exploitowany w innych atakach. Systemy bez łatki MS17-010 są nadal podatne na inne złośliwe oprogramowanie bazujące na tej samej luce.

Co to jest EternalBlue?

EternalBlue to exploit opracowany przez NSA, który atakuje lukę w protokole SMB Windows (MS17-010). Umożliwia zdalne przejęcie kontroli nad komputerem z niezałataną wersją Windows bez żadnej interakcji użytkownika. Po wycieku przez Shadow Brokers w kwietniu 2017 stał się jednym z najczęściej używanych exploitów w historii.

Jak Marcus Hutchins zatrzymał WannaCry?

Analizując kod malware, odkrył że WannaCry sprawdza istnienie konkretnej domeny przed szyfrowaniem. Jeśli domena istniała — kończył działanie (mechanizm kill switch wbudowany przez twórców). Hutchins zarejestrował tę domenę za ok. 10 dolarów. Od tej chwili WannaCry przestał szyfrować nowe maszyny — zatrzymał go za dziesiątkę.

Jak chronić się przed ransomware podobnym do WannaCry?

Trzy fundamentalne środki: (1) Aktualizacje systemu — łatka MS17-010 istniała miesiąc przed atakiem; niezainstalowanie jej kosztowało firmy miliardy. (2) Segmentacja sieci — uniemożliwia szybkie rozprzestrzenianie ransomware przez sieć lokalną. (3) Regularne kopie zapasowe offline — zaszyfrowane pliki możesz przywrócić z backupu bez płacenia okupu.

Picture of Tomasz Zieliński
Tomasz Zieliński

Tomasz zajmuje się tematyką SEO, sztucznej inteligencji i automatyzacji pracy w marketingu internetowym. W swoich artykułach analizuje zmiany w algorytmach wyszukiwarek, rozwój narzędzi AI oraz nowe sposoby tworzenia i optymalizacji treści. Interesuje go przede wszystkim to, jak technologia wpływa na codzienną pracę specjalistów SEO, marketerów i twórców internetowych.

Facebook
Twitter
LinkedIn
Pinterest

Najnowsze Wpisy

Śledź nas
Facebook Twitter Youtube Instagram Pinterest
Gotowi na Przyszłość
Podobne Wpisy