Είναι γεγονός. Το Wannacry ζει αναμέσά μας και εξακολουθεί να αποτελεί μια σημαντική απειλή για εταιρείες και οργανισμούς. Μάθετε πώς μπορείτε να προστατευτείτε αποτελεσματικά.
Το Wannacry, γνωστό και ως WannaCrypt μας απασχόλησε για πρώτη φορά τον Μάιο του 2017, όπου χτύπησε μαζικά στόχους υψηλού προφίλ σε όλο τον κόσμο. Κάποιες από τις πρώτες σημαντικές επιθέσεις, στις 12 Μαΐου, είχαν ως στόχο το Εθνικό Σύστημα Υγείας του Ηνωμένου Βασιλείου, την εταιρεία μεταφορών FedEx και την ισπανική υπηρεσία κινητής τηλεφωνίας Telefonica.
Το Ransomware κατάφερε να προκαλέσει χάος εκμεταλλευόμενο σημαντική ευπάθεια των Windows, επιτρέποντας στους επιτιθέμενους να αποκτήσουν πρόσβαση σε συστήματα, να κρυπτογραφήσουν δεδομένα και να απαιτήσουν πληρωμή λύτρων σε bitcoin, για την αποκρυπτογράφηση και recovery των εν λόγω δεδομένων.
Μετά από δύο χρόνια, το WannaCry εξακολουθεί να αποτελεί απειλή. Όπως προειδοποιούν τώρα οι ειδικοί, σημαντικός αριθμός εταιρειών και οργανισμών εξακολουθούν να είναι ευάλωτοι στο WannaCry, λόγω της χρήσης συστημάτων πληροφορικής παλαιότερης χρονολογίας, λόγω της έλλειψης επενδύσεων στον τομέα της ασφάλειας και λόγω της γενικότερης έλλειψη δεξιοτήτων ασφάλειας.
Όπως επισημαίνει ο ερευνητής Andrew Morrison, “το WannaCry αποτελεί σαφέστατα μια απειλή για μεγάλο αριθμό μη ενημερωμένων συστημάτων. Οι κακόβουλοι παράγοντες μπορούν πλέον να ανιχνεύσουν με ευκολία τα μη ενημερωμένα συστήματα και να κατευθύνουν το WannaCry για τη διεξαγωγή στοχευμένων επιθέσεων”.
Αυτό όμως δεν είναι κάτι νέο. Στην πραγματικότητα, το WannaCry χρησιμοποίησε το ίδιο σύστημα με το οποίο είχε δομηθεί ο προκάτοχός του, NotPetya. Το πραγματικό toolkit το οποίο είχε χρησιμοποιηθεί και κλαπεί από την NSA, εξακολουθεί να αποτελεί απειλή για τη δημιουργία νέων παραλλαγών της επίθεσης. “Ενώ τα patches που έχουν κυκλοφορήσει αντιμετωπίζουν επιτυχώς το toolkit της NSA και το WannaCry, η χρήση τους για την εύρεση νέων ευπαθειών εξακολουθεί να αποτελεί απειλή. Οι χρήστες πιστεύουν ότι είναι ασφαλείς επειδή έκαναν patch ό,τι είδαν, αλλά η απειλή εξελίχθηκε χρησιμοποιώντας το ίδιο σύνολο εργαλείων και μπορεί να χτυπήσει ξανά”.
Σύμφωνα μάλιστα με στοιχεία που προκύπτουν από το Shodan, υπάρχουν περισσότερες από 400.000 συσκευές στις ΗΠΑ που εξακολουθούν να είναι ευάλωτες στο Wannacry. Τα συστήματα που χρησιμοποιούνται κυρίως σε επιχειρήσεις τους κατασκευαστικού τομέα και σε βιομηχανικά συστήματα ελέγχου, βρίσκονται σε ιδιαίτερο κίνδυνο, καθώς πολλά από αυτά λειτουργούν σε παλαιότερες εκδόσεις των Windows (ή γενικότερα τρέχουν σε Windows κάτι που σίγουρα ενισχύει την απειλή). Οι εταιρείες είναι επιφυλακτικές στο να προχωρήσουν σε ενημέρωση των συστημάτων, επειδή η διαδικασία ενδέχεται να ανακόψει τις δυνατότητες παραγωγής.
Τι πρέπει οι εταιρίες να κάνουν γι’ αυτό?
Προκειμένου να παραμείνουν ένα βήμα μπροστά από την απειλή, οι οργανισμοί θα πρέπει να διεξάγουν ελέγχους των διαδικασιών ενημέρωσης των συστημάτων τους για την επιδιόρθωση ευπαθειών και στη συνέχεια να αναζητήσουν εργαλεία και πολιτικές για να καταστήσουν την πρακτική αυτή πιο αποτελεσματική. Ένα καλό παράδειγμα αυτού είναι να γίνουν κινήσεις προς την κατεύθυνση της ισχυρότερης αυτοματοποίησης των διαδικασιών ενημερώσεων.
Το δεύτερο κομμάτι είναι οι διαδικασίες ανάκαμψης και recovery. Οι οργανισμοί προσπαθούν να προετοιμάσουν τα συστήματα, τα δεδομένα και τις επιχειρηματικές τους διαδικασίες για να αντέξουν τις επιθέσεις μέσω “air-gapped” λύσεων αποκατάστασης ώστε να υπάρχει ένα σημείο εισόδου που είναι καθαρό και ανεπηρέαστο από τις απειλές.
Το βασικό concept ενός μοντέλου τύπου “air gap” είναι απλό. Εάν τα δεδομένα δεν μπορούν να προσπελαστούν, τότε δεν μπορούν να μολυνθούν ή να καταστραφούν. Μια απλή υλοποίηση αυτού του μοντέλου, τυπικά περιλαμβάνει την λήψη ανιγράφων ασφάλειας των δεδομένων σε ένα δευτερεύον αποθηκευτικό σύστημα που βρίσκεται offline και κατ’ επέκταση δεν μπορεί να συνδεθεί σε οποιοδήποτε δημόσιο δίκτυο.
Αυτό εξασφαλίζει ότι δεν υπάρχουν τρωτά σημεία προς αξιοποίηση και τα δεδομένα παραμένουν ασφαλή καθώς δεν είναι εφικτή η διάδοση κακόβουλου λογισμικού, κάτι που επιτρέπει την ασφαλή αποθήκευση κρίσιμων δεδομένων και την επαναφορά των συστημάτων εάν χρειαστεί χωρίς απώλειες.
