Wannacry mohol spomaliť iný škodlivý program

Objavili sa správy o ďalšom škodlivom programe, ktorý využíva rovnakú metódu šírenia ako ransomvér Wannacry. Jeho cieľom je potajomky ťažiť kryptomenu.

Chaos a neporiadok, ktorý spôsobil ransomvér Wannacry, sa zapíše do dejín. A to nielen preto, že okrem iného spôsobil problémy aj nemocnici v Nitre či britskej NHS. Rozsah útoku a rýchlosť jeho šírenia bola bezprecedentná. Útočníci to dosiahli tým, že použili softvérové nástroje EternalBlue a Doublepulsar z dielne americkej NSA. Tie unikli už v apríli ako súčasť materiálov, ktoré uverejnila skupina Shadow Brokers. Využívali zraniteľnosť v sieťovom protokole SMB (server message block), čo je technológia umožňujúca okrem iného zdieľanie priečinkov na lokálnej sieti. Práve jej zneužitie spôsobilo, že sa ransomvér dokázal hlavne v uzavretých podnikových sieťach šíriť extrémne rýchlo.

Neskôr sa však ukázalo, že ransomvér nebol jediný škodlivý program využívajúci uniknuté nástroje, ktoré Shadow Brokers vypustili do sveta. Ako upozornila na svojom blogu firma ESET, ešte pred Wannacry sa objavil malvér, ktorého cieľom nebolo svoju obeť vydierať, ale využiť jej počítač na ťaženie digitálnej kryptomeny pre svojich tvorcov. Bezpečnostná firma Proofpoint ho pomenovala Adylkuzz a varovala, že podľa jej údajov sa šíri rýchlejšie ako Wannacry a mohol už na celom svete infikovať niekoľko stotisíc počítačov.

Na rozdiel od Wannacry sa tento softvér naoko neprejavoval a snažil sa zostať nenápadný. Dokonca poskytoval svojim obetiam aj istú výhodu. V rámci svojej činnosti okamžite zablokoval port, cez ktorý sa šíril nielen on, ale aj ransomvér. Špekuluje sa teda, či existencia tohto kódu nie je jedným z dôvodov, prečo sa Wannacry šíril pomalšie, ako sa čakalo.

Tým sa však dobré správy končia. Napriek tomu, že na prvý pohľad vyzerá tento program v podstate neškodne. Maximálne ako nepríjemnosť, ktorá spomalí chod počítača. Opak je pravdou. Hlavnou úlohou síce je vytváranie (ťaženie) virtuálnej meny monero (podobná bitcoinu) a cieľom útočníkov je zarobiť peniaze. Lenže infikovaný počítač je pod ich kontrolou. A nikde nie je napísané, že ho časom nezneužijú na iné účely, napríklad ako súčasť botnetu či na šírenie iného škodlivého kódu.

Práve preto je používanie zastaraných verzií operačných systémov, ktorým sa skončila podpora a nevychádzajú na ne už opravy, obrovským rizikom. O to viac keď sa podobné počítače používajú napríklad v zdravotníctve a sú na nich uložené citlivé údaje.

(JF)