גרסאות חדשות של WanaaCry מחסנות מפני הצפנת המחשב
עמי רוחקס דומבה
| 22/09/2019
באדיבות סופוס
סופוס (Sophos) פרסמה את WannaCry Aftershock, דו"ח המסכם את הידוע עד כה על הקוד הזדוני הידוע לשמצה WannaCry שהתגלה לראשונה בהתקפה גלובלית שהחלה ב-12 במאי, 2017. המחקר שביצעה SophosLabs מראה כי WannaCry לא נעלם, והוא עדיין טורף מסוכן האחראי על מיליוני ניסיונות הדבקה מדי חודש. עוד מגלה הדו"ח כי בעוד שהקוד הזדוני המקורי לא התעדכן עד היום, אלפי גרסאות אחרות, בעלות חיי מדף קצרים, מסתובבות בשטח.
הקיום המתמשך של איום WanaaCry מיוחס בעיקר הודות ליכולת של הגרסאות החדשות שלו לעקוף את "מתג החיסול". עם זאת, כאשר חוקרי סופוס ניתחו והפעילו מספר דוגמיות, הם גילו כי נוטרלה היכולת שלהן לבצע הצפנה של נתונים כתוצאה מהשחתה של הקוד.
כתוצאה מהדרך שבה WannaCry מדביק קורבנות חדשים – הוא בודק האם מחשב כבר הודבק, ואם כן, הוא ממשיך למטרה הבאה – הדבקה של מכשיר בקוד שאינו פעיל משמשת למעשה כאמצעי הגנה על המכשיר מפני הדבקה נוספת. באופן זה, הגרסאות החדשות של הקוד הזדוני פועלות כחיסון בלתי מכוון, כשהן מאפשרות למחשבים פגיעים ושאינם מעודכנים סוג של הגנה מפני התקפות חוזרות מצד אותו קוד זדוני. עם זאת, העובדה כי מחשבים אלה הודבקו מלכתחילה, מצביעה על כך כי לא בוצע במחשבים עדכון אבטחה מפני כלי הפריצה המרכזי שמשמש בהתקפות WannaCry – עדכון שפורסם כבר לפני יותר משנתיים.
WannaCry המקורי זוהה רק 40 פעמים, ומאז חוקרי מעבדת סופוס זיהו 12,480 גרסאות של הקוד המקורי. בחינה מקיפה יותר של יותר מ- 2,700 דוגמיות (המהוות 98% מכלל הזיהויים) חושפת כי כולן שוכללו כדי לעקוף את "מתג החיסול" – URL ספציפי שאם הקוד הזדוני מתחבר אליו הוא מסיים באופן אוטומטי את תהליך ההדבקה. בכולם היה גם רכיב תוכנת כופר, ואף אחד מהם אינו מסוגל להצפין נתונים.
באוגוסט 2019, נתוני טלמטריה של סופוס זיהוי 4.3 מיליון מופעים של WannaCry. מספר הגרסאות השונות שנצפו עמד על 6,963. מתוכן, 80% היו קבצים חדשים. חוקרי Sophos הצליחו להתחקות אחר ההופעה הראשונה של הגרסה הנפוצה ביותר כיום, אשר התרחשה רק יומיים אחר ההתקפה המקורית: 14 במאי, 2017. היא הועלתה ל- VirusTotal, ועדיין לא נצפתה בשטח.
"ההתפרצות של WannaCry ב-2017 שינתה לעד את אופק האיומים. המחקר שלנו ממחיש את מספר המחשבים שעדיין לא הותקנו עליהם עדכונים. ואם עדיין לא התקנתם עדכונים שפורסמו לפני יותר משנתיים, מה זה אומר לגבי עדכונים אחרים שפורסמו במהלך השנתיים האחרונות? במקרה הזה, כנראה שלחלק מהקורבנות היה מזל, מכיוון שגרסאות קודמות של הקוד הזדוני חיסנו אותם מפני גרסאות חדשות יותר. אבל לאף ארגון אסור להסתמך על כך. במקום זאת, ההתנהלות הבסיסית צריכה לכלול מדיניות של התקנת עדכונים ברגע שהם מתפרסמים, ולכלול הפעלה של פתרון אבטחה חזק המגן על כל נקודות הקצה, הרשתות והמערכות", אמר פיטר מקנזי, מומחה אבטחה בסופוס ומוביל המחקר.
באדיבות סופוס
סופוס (Sophos) פרסמה את WannaCry Aftershock, דו"ח המסכם את הידוע עד כה על הקוד הזדוני הידוע לשמצה WannaCry שהתגלה לראשונה בהתקפה גלובלית שהחלה ב-12 במאי, 2017. המחקר שביצעה SophosLabs מראה כי WannaCry לא נעלם, והוא עדיין טורף מסוכן האחראי על מיליוני ניסיונות הדבקה מדי חודש. עוד מגלה הדו"ח כי בעוד שהקוד הזדוני המקורי לא התעדכן עד היום, אלפי גרסאות אחרות, בעלות חיי מדף קצרים, מסתובבות בשטח.
הקיום המתמשך של איום WanaaCry מיוחס בעיקר הודות ליכולת של הגרסאות החדשות שלו לעקוף את "מתג החיסול". עם זאת, כאשר חוקרי סופוס ניתחו והפעילו מספר דוגמיות, הם גילו כי נוטרלה היכולת שלהן לבצע הצפנה של נתונים כתוצאה מהשחתה של הקוד.
כתוצאה מהדרך שבה WannaCry מדביק קורבנות חדשים – הוא בודק האם מחשב כבר הודבק, ואם כן, הוא ממשיך למטרה הבאה – הדבקה של מכשיר בקוד שאינו פעיל משמשת למעשה כאמצעי הגנה על המכשיר מפני הדבקה נוספת. באופן זה, הגרסאות החדשות של הקוד הזדוני פועלות כחיסון בלתי מכוון, כשהן מאפשרות למחשבים פגיעים ושאינם מעודכנים סוג של הגנה מפני התקפות חוזרות מצד אותו קוד זדוני. עם זאת, העובדה כי מחשבים אלה הודבקו מלכתחילה, מצביעה על כך כי לא בוצע במחשבים עדכון אבטחה מפני כלי הפריצה המרכזי שמשמש בהתקפות WannaCry – עדכון שפורסם כבר לפני יותר משנתיים.
WannaCry המקורי זוהה רק 40 פעמים, ומאז חוקרי מעבדת סופוס זיהו 12,480 גרסאות של הקוד המקורי. בחינה מקיפה יותר של יותר מ- 2,700 דוגמיות (המהוות 98% מכלל הזיהויים) חושפת כי כולן שוכללו כדי לעקוף את "מתג החיסול" – URL ספציפי שאם הקוד הזדוני מתחבר אליו הוא מסיים באופן אוטומטי את תהליך ההדבקה. בכולם היה גם רכיב תוכנת כופר, ואף אחד מהם אינו מסוגל להצפין נתונים.
באוגוסט 2019, נתוני טלמטריה של סופוס זיהוי 4.3 מיליון מופעים של WannaCry. מספר הגרסאות השונות שנצפו עמד על 6,963. מתוכן, 80% היו קבצים חדשים. חוקרי Sophos הצליחו להתחקות אחר ההופעה הראשונה של הגרסה הנפוצה ביותר כיום, אשר התרחשה רק יומיים אחר ההתקפה המקורית: 14 במאי, 2017. היא הועלתה ל- VirusTotal, ועדיין לא נצפתה בשטח.
"ההתפרצות של WannaCry ב-2017 שינתה לעד את אופק האיומים. המחקר שלנו ממחיש את מספר המחשבים שעדיין לא הותקנו עליהם עדכונים. ואם עדיין לא התקנתם עדכונים שפורסמו לפני יותר משנתיים, מה זה אומר לגבי עדכונים אחרים שפורסמו במהלך השנתיים האחרונות? במקרה הזה, כנראה שלחלק מהקורבנות היה מזל, מכיוון שגרסאות קודמות של הקוד הזדוני חיסנו אותם מפני גרסאות חדשות יותר. אבל לאף ארגון אסור להסתמך על כך. במקום זאת, ההתנהלות הבסיסית צריכה לכלול מדיניות של התקנת עדכונים ברגע שהם מתפרסמים, ולכלול הפעלה של פתרון אבטחה חזק המגן על כל נקודות הקצה, הרשתות והמערכות", אמר פיטר מקנזי, מומחה אבטחה בסופוס ומוביל המחקר.
