Lankide:Manimol el tosco/Proba orria

Wannacry barietateko ransomware erasoak

Wannacry barietateko ransomware erasoak ( wannacry ransomware attack edo Wannacry double pulsar attack ingeleraz ) Wannacry bezala ezagutzen den zizare informatikoa erabiltzen duten erasoak dira (WannaCrypt, WanaCrypt0r 2.0 eta Wanna Decryptor bezala ezagutzen da ere), Microsoft windows sistema eragileei zuzenduta. Erasoan zehar, biktimaren datuak zifratzen dira eta Bitcoin cryptocurrencyarekin ordaindutako erreskate ekonomikoa eskatzen da, datuetara sartzeko baimena berreskuratzeko.

Erasoa 2016ko maiatzaren 12an hasi zen eta aurrekaririk gabeko tamaina gisa deskribatu egin da, 150 herrialde baino gehiagotan 230.000 ordenagailu baino gehiago infektatzen. Errusia, Ukraina, India eta Taiwan gehien kaltetutak izan ziren herrialdeak dira, baina Britainia Handiko osasun zerbitzu nazionala (NHS), Telefónica Espaniar konpainia, FedEx, Deutsche Bahn eta LATAM aire konpainiak ere zaurituak izan ziren, mundu osoko beste zuri askorekin batera.

Ransomware erasoek ordenagailuak kutsatzen dituzte erabiltzailea phising mezu elektroniko bat irekitzean. Hala ere, WannaCry infekzioaren kausa mezu elektronikoak izan litekeen ustez, eraso metodo hau ez da baieztatu. Behin instalatuta, WannaCryek EternalBlue izeneko exploit-a erabiltzen du, Estatu Batuetako Segurtasun Agentzi Nazionalak (NSA) garatutakoa, azken segurtasun eguneratzeak jaso ez duten sare lokalen eta urruneko ostalarien bidez zabaltzen, horrela, ageri dagoen edozein sistema zuzenean infektatzen. Microsoft-ek adabaki kritiko bat atera zuen 2017-ko Martxoaren 14-an gaur egun Microsoft-ek onartzen dituen sistemen ahulezia kentzeko, erasoa bi hilabete baino lehenago, ordea, erakunde askok ez zuten aplikatu.

Sistema zaharragoak erabiltzen dituzten makinak, Microsoft-ek eguneratzeak argitaratzen ez dituenentzat, Windows XP eta Windows Server 2003 bezalakoak, arriskuan daude baina Microsoft-ek sistema eragile horretarako eguneratzeak argitaratzeko ezohiko erabakia hartu du. Erasoaren hasieratik gutxira, web segurtasun ikertzaile bat, blogosferan "MalwareTech" gisa ezagutzen dena, ustekabean harraren "desaktibazio botoia" aktibatu zuen ransomware kodean aurkitutako domeinu izen bat erregistratzean. Honek infekzioaren hedapena atzeratu egin zuen, baina bertsio berriak detektatu dira eta "botoi" hori falta zaie.

Aurrekariak

Ustezko infekzio bektorea, EternalBlue, The Shadow Brockers-eko cracker taldea argitaratu zuen 2017ko apirilaren 14an, itxuraz Equation group taldeko iragaztutako beste tresnekin batera. Talde honek Estatu Batuetako Segurtasun Nazionaleko Agentziarekin lotura dutela uzte da.

EternalBlue-k, Microsoft-ek MS17-010 asmatutako implementazioan, Server Message Block (SMB) protokoloan duen ahultasuna aprobetxatu egiten du. Windows-eko ahultasun hau ez da “zero eguneko erasoa” baimentzen duen akatsa, bi hilabete lehenago, 2017ko martxoaren 14an, Microsoft-ek errore hori konpontzeko tresnak eta segurtasun adabaki bat argitaratu zituen baterako baizik. Adabakia Microsoft erabilitako SMB protokoloan atxikitzen zen, Microsoft-en Windows zenbait sistema eragileen bezeroa babesten zuen, Windows Vistaren aurrera ( Windows 8 izan ezik ), halaber bertsio kapsulatuak eta zerbitzarietakoak, Windows Server 2008ren aurretik bezala eta Windows Embedded POSReady 2009, alabaina adabakia es zuen sistema eragile zaharrena estaltzen, Windows XP. Dona Sarkar, Windows Insider programaren zuzendariaren arabera, Windows 10 ez zen kaltetuta atera.

2017ko apirilaren 21etik aurrera, DoublePulsar atzeko atea instalatuta duten hamar mila ordenagailu daudela informatu zuten segurtasun ikertzaileek. Apirilaren 25etik aurrera, hainbat berrik DoublePulsar-ekin infektatuta dauden ordenagailuak ehunka mila zenbakira iristen direla eta zenbaki hau esponentzialki goruntz dijoala egunak pasata zioten. Itxuraz, DoublePulsar instalatu egin zen erasoarekin batera.