حمله باجافزار واناکرای
حملهٔ باجافزار واناکرای (به انگلیسی: WannaCry) که یک حمله سایبری جهانی بود به نامهایWannaCrypt یاWanaCrypt0r 2.0 نیز شناخته میشود، ابزاری برای اجرای حملات باجافزاری است. در ماه می سال ۲۰۱۷ میلادی، حمله سایبری عظیمی با استفاده از این باجافزار آغاز شد که بیش از ۲۳۰ هزار رایانه را در ۱۵۰ کشور جهان را آلوده ساخت و به ۲۸ زبان از قربانیان باج طلب میکند. حمله مذکور آن گونه که یوروپول توصیف کردهاست، بیسابقه بودهاست.
تاریخ | ۱۲ مه ۲۰۱۷ – ۱۵ مه ۲۰۱۷ (شیوع اولیه) |
---|---|
مدت | ۴ روز |
مکان | در سراسر جهان |
با نام دیگر | Transformations: Wanna → Wana Cryptor → Crypt0r Cryptor → Decryptor Cryptor → Crypt → Cry Addition of "2.0" Short names: Wanna → WN → W Cry → CRY |
گونه | حمله سایبری |
موضوع | رمزگذاری فایلهای باجافزار با تقاضای ۳۰۰ تا ۶۰۰ دلار آمریکا (از طریق بیتکوین) |
علت | کرم واناکرای |
نتیجه |
|
بازداشتشدهها | هیچ |
مظنون(ها) | گروه لازاروس |
متهم(ها) | دو شهروند کره شمالی متهم شدند |
محکومیت(ها) | هیچ |
زیرشاخه | باجافزار |
---|---|
خاستگاه | پیونگیانگ، کره شمالی |
نویسنده(گان) | گروه لازاروس (تأیید نشده) |
این حمله سایبری، چند شرکت در اسپانیا مانند تلفونیکا و همچنین «سازمان ملی تأمین بهداشت و درمان» (NHS) بریتانیا، فدکس و دویچه بان را تحت تأثیر قرار داد. اهداف دیگر نیز در حدود ۱۵۰ کشور همزمان گزارش شدهاند. بالغ بر یک هزار رایانه در وزارت کشور، وزارت بحران و شرکت مخابراتی مگافون روسیه نیز گزارشی مبنی بر آلودگی دادهاند.
محققان امنیت سایبری مدارکی را دال بر این موضوع کشف کردهاند که ممکن است کره شمالی با حمله بینالمللی واناکرای به عنوان باج افزار در ارتباط باشد. این حمله سایبری در این ماه ۳۰۰٬۰۰۰ رایانه در ۱۵۰ کشور دنیا را مبتلا کردهاست. دولت پیونگیانگ چنین ادعایی را «مسخره» خواندهاست. هکرهای اجراکننده این باجافزار، در ازای دریافت رمزارز بیتکوین اقدام به آزادسازی فایلهای رمزگذاریشده مینمودند که همین موضوع، ردیابی آنها را با دشواری مواجه مینمود.
پیشزمینه
باجافزار واناکرای از اکسپلویت اترنال بلو استفاده کردهاست که توسط آژانس امنیت ملی ایالات متحده آمریکا برای حمله رایانههای دارای سیستمعامل مایکروسافت ویندوز نوشته شد. وجود اترنال بلو، نخستینبار توسط گروه رخنهگر «The Shadow Brokers» در ۸ آوریل ۲۰۱۷ مشخص شد. اترنال بلو در میان ابزارهای دیگر لو رفته از اکوئیشن گروپ در ۱۴ آوریل ۲۰۱۷ منتشر شد. مشخص شده که اکوئیشن گروپ جزئی از آژانس امنیت ملی آمریکا است.
اترنال بلو از آسیبپذیری MS17-010 در پیادهسازی بلوک پیام سرور سوء استفاده میکند. مایکروسافت توصیهای بحرانی به همراه یک وصله امنیتی برای رفع آسیبپذیری در ۱۴ مارس ۲۰۱۷ منتشر کرد. اما این وصله فقط ویندوز ویستا و سیستمعاملهای پس از آن، به جز ویندوز اکسپی را تعمیر نمود.
هرچند وصله نرمافزاری MS17-010 برای حذف اساسی آسیبپذیری در ۱۴ مارس ۲۰۱۷ منتشر شده بود اما تأخیر در اعمال بروزرسانیهای امنیتی، برخی کاربران و سازمانها را آسیبپذیر باقی گذاشت. توجه شود که ویندوز ۱۰ از این حمله مصون است.
عملکرد
در تاریخ ۱۲ می ۲۰۱۷، باجافزار WannaCry آلودهسازی رایانههای سراسر جهان را آغاز کرد. این باجافزار پس از دستیابی به رایانهها، درایو دیسک سخت این رایانهها را رمزگذاری میکند و سپس برای سوء استفاده از آسیبپذیری SMB برای انتشار به صورت تصادفی در رایانههای متصل به اینترنت و همچنین بین رایانههای روی شبکه محلی تلاش میکند.
تأثیر
اقدامات تهاجمی این باجافزار بر اساس اعلام یوروپول بیسابقه بودهاست. این حمله بسیاری از بیمارستانهای خدمات بهداشتی ملی بریتانیا را تحت تأثیر قرار دادهاست. در تاریخ ۱۲ می ۲۰۱۷، برخی خدمات این سازمان از موارد اورژانسی غیر بحرانی دور شدند و چند آمبولانس به جای اشتباهی ارسال شدند. هزاران رایانه سازمان ملی تأمین بهداشت و درمان بریتانیا که همچنان از ویندوز اکسپی استفاده میکنند ۴۲ سرویس موقعیتیاب را اشتباه گزارش دادهاند. شرکت خودروسازی نیسان موتورز در تاین و ور، یکی از کارخانههای بزرگ خودروسازی، تولید خود را پس از آلوده شدن توسط این باجافزار متوقف کرد. شرکت خودروسازی رنو نیز تولیدات خود را در چند کارخانه خود در تلاش برای متوقفسازی این باجافزار متوقف نمود.
فهرستی از شرکتها و موسسات آلوده شده
خنثیسازی
کلید قطع اضطراری
چند ساعت پس از انتشار اولیه این باجافزار در ۱۲ می ۲۰۱۷، یک «کلید قطع اضطراری» تصریح شده در داخل بدافزار کشف شد. این کلید امکان داد که با ثبت یک دامنه اینترنتی گسترش اولیه آلودگی متوقف شود. این کلید قطع اضطراری به یک کدنویسی اشتباه در مجموعه مجرمان تظاهر مینمود و انتظار میرفت گونهها بدون این کلید قطع اضطراری ساخته شوند.
وصله امنیتی
این آسیبپذیری ویندوز از نوع آسیبپذیری حمله روز صفر نیست. اما در ۱۴ مارس ۲۰۱۷ مایکروسافت یک وصله امنیتی به نام MS17-010 را برای تمام نسخههایی که مورد حمله باجافزار WannaCry قرار گرفتهاند از جمله ویندوز اکسپی، ویندوز سرور ۲۰۰۳ و ویندوز ۸ ارائه داد.
این وصله برای پروتکل بلوک پیام سرور SMB مورد استفاده ویندوز بود. مایکروسافت همچنین توصیه میکند که کاربران استفاده از پروتکل قدیمی SMB1 را متوقف کرده و به جای آن از SMB3 که جدیدتر و امنتر است استفاده کنند. سازمانهایی که این وصله امنیتی را ندارند به همین دلیل آلوده شدند. هرچند تابحال مدرکی دربارهٔ حمله خاص برنامه نویسان این باجافزار به این سازمانها وجود نداشتهاست. هر سازمانی که همچنان از ویندوز اکسپی که به پایان عمر رسیدهاست استفاده میکند در معرض خطر بسیار زیادی است.
پیشگیری
- سادهترین راه جهت پیشگیری از آلوده شدن رایانه، نصب وصله امنیتی MS17-010 برای همه نسخههای ویندوز است.
- سیستمعامل و ضدویروس و رایانه خود را بهروز نگه دارید.
- درصورت امکان از ویندوزهای ایکسپی، سرور ۲۰۰۰ و سرور ۳۰۰۰ استفاده نکنید.
- پورتهای ۴۴۵/۱۳۹ و ۳۳۸۹ را روی دیوار آتش مسدود کنید.
- بهطور منظم از فایلهای خود، نسخه پشتیبان تهیه کنید.
پس از آلودگی
- به محض آلوده شدن، کامپیوتر خود را از شبکه خارج کنید تا از تکثیر این کِرم جلوگیری شود.
- هرگز پول باجخواهی شده را پرداخت نکنید زیرا احتمال بازگشت اطلاعات قفل شده حتی پس از طریق پرداخت باج تقریباً غیرممکن است.
- با توجه به شدت آلودگی، احتمالاً بهترین روش پاکسازی، نصب دوباره ویندوز است.
- تاکنون راهی برای بازیافت اطلاعات رمزگذاری شده توسط باجافزار پیدا نشدهاست. اما چون احتمال کد آزادسازی پروندههای قفل شده در آینده وجود دارد، پیش از شروع عملیات پاکسازی، از اطلاعات خود نسخه پشتیبان تهیه کنید.
واکنشها
- پس از آگاهی از تأثیر این حمله سایبری بر خدمات بهداشتی ملی بریتانیا، ادوارد اسنودن گفت اگر آژانس امنیت ملی آمریکا نقص مورد استفاده برای حمله به بیمارستانها را به عنوان قانون افشای مسئولانه در زمان یافتن آن و نه در هنگام از دست دادن آن در اختیار داشت، این حمله باجافزاری امکان داشت رخ ندهد.
- ترزا می، نخستوزیر بریتانیا دربارهٔ این باجافزار گفت این باجافزار فقط خدمات بهداشتی ملی بریتانیا را هدف نگرفتهاست. این یک حمله بینالمللی است. تعدادی کشور و سازمان آلوده شدهاند.
- مایکروسافت وصلههای امنیتی را برای ورژنهای جدید ویندوز از جمله ویندوز اکسپی، ویندوز ۸ و ویندوز سرور ۲۰۰۳ که پشتیان نمیشوند، ایجاد کرد.
در ایران
بر اساس آماری که سازمان فناوری اطلاعات ایران در اواخر اردیبهشت ۱۳۹۶ منتشر کرد باجافزار واناکرای بیش از ۲ هزار قربانی در ایران داشته که در این میان استانهای اصفهان و تهران بیشترین تعداد قربانی را داشتهاند.
جستارهای وابسته
- اترنال بلو
- دابل پولسار
پانویس
- ↑ "The WannaCry ransomware attack was temporarily halted. But it's not over yet". 15 May 2017. Archived from the original on 28 October 2017. Retrieved 25 May 2017.
- ↑ "Ransomware attack still looms in Australia as Government warns WannaCry threat not over". Australian Broadcasting Corporation. 14 May 2017. Archived from the original on 15 May 2017. Retrieved 15 May 2017.
- ↑ Cameron, Dell (13 May 2017). "Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It". Gizmodo. Archived from the original on 9 April 2019. Retrieved 13 May 2017.
- ↑ "Shadow Brokers threaten to release Windows 10 hacking tools". The Express Tribune. 31 May 2017. Archived from the original on 10 July 2017. Retrieved 31 May 2017.
- ↑ https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-microsoftreleases-2.
- ↑ https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-:0-3.
- ↑ https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-:3-4.
- ↑ https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-5.
- ↑ https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-BBC_news-6.
- ↑ https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-7.
- ↑ https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-8.
- ↑ https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-9.
- ↑ https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-cnn99countries-10.
- ↑ https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-:2-11.
- ↑ «http://www.reuters.com/article/us-cyber-northkorea-exclusive-idUSKCN18H020?utm_campaign=trueAnthem:+Trending+Content&utm_content=59213c2204d3016eae0b5215&utm_medium=trueAnthem&utm_source=twitter». Reuters. ۲۱ مه ۲۰۱۷.
- ↑ https://www.francetvinfo.fr/sante/affaires/cyberattaque-le-logiciel-malveillant-wannacry-met-en-difficulte-les-hopitaux-britanniques_2192065.html
- ↑ https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-:0-3.
- ↑ https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-12.
- ↑ https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-microsoft.com-13.
- ↑ Fox-Brewster, Thomas (16 February 2015). "Equation = NSA? Researchers Uncloak Huge 'American Cyber Arsenal'". Forbes. Retrieved 24 November 2015.
- ↑ "Latest Shadow Brokers dump – owning SWIFT Alliance Access, Cisco and Windows". Medium. 14 April 2017. Retrieved 15 April 2017.
- ↑ https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-14.
- ↑ «#ازمابپرس؛ آیا باید نگران حمله سایبری باشم؟». بیبیسی فارسی. ۲۸ اردیبهشت ۱۳۹۶.
- ↑ https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-:1-20.
- ↑ https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-21.
- ↑ https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-mbytes-22.
- ↑ https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-23.
- ↑ "Cyber-attack: Europol says it was unprecedented in scale". BBC. 13 May 2017.
- ↑ «حمله سایبری جدید 'دوهزار قربانی در ایران داشتهاست'». بیبیسی فارسی. ۲۶ اردیبهشت ۱۳۹۶.
منابع
پیوند به بیرون
- دانلود وصله امنیتی MS17-010 از وبگاه مایکروسافت