WannaCry stále infikuje miliony systémů

4. 10. 2019. (redaktor: František Doupal, zdroj: Sophos)
Sophos ve zprávě WannaCry Aftershock popisuje nechvalně slavný malware WannaCry, který v roce 2017 během několika dní infikoval stovky tisíc počítačů. Výzkum SophosLabs ukázal, že hrozba WannaCry je stále aktuální a každý měsíc jsou zastaveny miliony útoků. Ukázalo se navíc, že přestože původní malware už nebyl dále aktualizován, dal vzniknout tisícům krátkodobých variant.
  • Každý měsíc jsou detekovány miliony systémů infikovaných WannaCry, jen za srpen 2019 šlo celosvětově o 4,3 miliony počítačů
  • Objevují se tisíce nově vzniklých, krátkodobých variant malwaru: Sophos pozoroval celkem 12 380 aktivních variant na konci 2018 a 6 963 v srpnu 2019 (80 % z nich nových)
  • Analýza přibližně 2 000 WannaCry vzorků z roku 2018 ukázala, že sice dokáží obejít známý „kill switch“, ale nejsou schopny zašifrovat data v systému

Další existence WannaCry je pro firmy hrozbou hlavně díky schopnosti nových variant malwaru překonat „kill switch“, který Microsoft vložil do jedné z aktualizací svého operačního systému Windows. Když ale odborníci ze Sophosu analyzovali a otestovali několik variant malwaru, zjistili, že vlivem chyby v kódu ztrácí schopnost šifrovat data.

Vzhledem ke způsobu, jakým WannaCry infikuje nové oběti – zkontroluje, zdali je počítač ransomwarem nakažen a pokud ano, přesune se na další cíl – je počítač nakažený novou, nefunkční variantou malwaru chráněn proti nakažení jinou, často starší, ale funkční verzí malwaru. Nové odvozeniny WannaCry tak fungují jako nečekaná vakcína: neaktualizovaným a zranitelným počítačům poskytují imunitu vůči dalším útokům od toho samého malwaru.

Problematický je samotný fakt, že počítače vůbec mohly být nakaženy. To totiž napovídá, že aktualizace, která opravuje hlavní zranitelnost zneužívanou malwarem WannaCry, nebyla dosud na těchto strojích nainstalovaná – a tato aktualizace je už více než dva roky stará.

Původní malware WannaCry byl sám o sobě detekován pouze 40krát. Od té doby výzkumníci ze SophosLabs odhalili na 12 480 variant původního kódu. Bližší ohledání více než 2 700 vzorků, které jsou dohromady zodpovědné za 98 % všech infekcí, odhalilo, že všechny z nich dokáží „kill switch“ Microsoftu překonat. Obranný prvek ve Windows je konkrétní URL, ke kterému se malwaru automaticky pokouší připojit a pokud tak učiní, skončí proces infikování počítače. Všechny z testovaných vzorků malwaru ale zároveň nebyly schopny data v systému zašifrovat.

V srpnu 2019 detekoval Sophos 4,3 miliony instancí WannaCry z 6 963 odlišných variant. 5 555, tedy 80 % z nich, byly novými variantami.

Výzkumníci Sophosu také vypátrali původ v současnosti nejrozšířenější varianty WannaCry; ta je překvapivě jen o dva dny starší než původní ransomware. 14. května 2017 byla nahrána na server VirusTotal, v té době však ještě nebyla tato verze veřejně šířena.

„Epidemie WannaCry z roku 2017 navždy změnila celou oblast kybernetických hrozeb. Náš výzkum poukazuje na množství neaktualizovaných počítačů, které ovšem uživatelé nadále používají. Pokud nemají nainstalované ani přes dva roky staré aktualizace, o kolik dalších oprav přišli? V tomto případě měly některé oběti štěstí, protože nefunkční verze malwaru je ochrání proti dalším, nebezpečnějším variantám. Žádná organizace by ale neměla na něco takového spoléhat. Standardním postupem má být instalace aktualizací ve chvíli, kdy vyjdou, doplněné o robustní bezpečnostní řešení, které chrání všechny koncového body, sítě a systémy,“ popsal Peter Mackenzie, bezpečnostní odborník v Sophosu a hlavní autor výzkumu.

V ČR je WannaCry poměrně nevýrazný: Za srpen zde byl malware a jeho varianty detekován pouze v 1 490 případech, což činí jen 0,034 % všech detekcí.

Štítky: 
Bezpečnost, Ransomware, Malware, Sophos
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Vliv bezpečnostních řešení na pojistné události v kyberbezpečnosti

4. 4. 2025. (redaktor: František Doupal, zdroj: Sophos)
Z průzkumu společnosti Sophos vyplývá, že hodnota pojistného plnění z kybernetického pojištění, které uplatňují organizace využívající služby MDR, je v průměru o 97,5 % nižší než u organizací, které se spoléhají pouze na ochranu koncových bodů. Čtěte více

Celosvětové výdaje na kybernetickou bezpečnost letos vzrostou o 12,2 %

27. 3. 2025. (redaktor: František Doupal, zdroj: IDC)
IDC očekává, že celosvětové výdaje na bezpečnost vzrostou v roce 2025 meziročně o 12,2 %. Rostoucí složitost a četnost kybernetických hrozeb - urychlená umělou inteligencí - nutí organizace přijímat pokročilejší obranná opatření. V důsledku toho se předpokládá, že výdaje na bezpečnost budou po období mezi lety 2023 až 2028 trvale růst až na 377 miliard dolarů. Čtěte více

Stabilní a odolný: Takový byl podle IDC vloni trh s bezpečnostními zařízeními

12. 3. 2025. (redaktor: František Doupal, zdroj: IDC)
Podle společnosti IDC byly celkové tržby na trhu s bezpečnostními zařízeními stabilní. Ve čtvrtém čtvrtletí roku 2024 trh vykázal 1,5% růst v tržbách a dosáhly 5,1 miliardy dolarů (meziroční nárůst 77 milionů dolarů). Z hlediska tržeb si vloni nejlépe vedl region EMEA s meziročním nárůstem o 12,4 %. Dodávky činily 1,2 milionu kusů (2,7% nárůst ve srovnání se stejným obdobím roku 2023). Čtěte více

Boris Hlinka (Synology): Partneři oceňují náš provázaný ekosystém

27. 11. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
S Borisem Hlinkou, produktovým manažerem společnosti Synology pro Českou republiku a Slovensko, jsme hovořili nejen o novinkách v portfoliu tohoto výrobce. Kromě samotných produktů jsme se zaměřili také na důležitost komplexního ekosystému, rostoucí roli modelu SaaS, význam doplňkových služeb nebo dnes všudypřítomnou umělou inteligenci. Čtěte více