Кибер атаки - Изнудване на света - Икономика

Актуални новини в Süddeutsche Zeitung

атаки

Табло

икономика

Мюнхен

Култура

общество

Знание

Кибер атаки: Изнудването на света

Отваряне на снимката в нова страница

Охраняван и въпреки това хакнат: защитното покритие около реактора за бедствия в Чернобил. Радиоактивността трябваше да се измерва на ръка след неотдавнашната кибератака.

(Снимка: Serg Glovny/imago/ZUMA Press)

Известни компании стават жертва на втора голяма кибератака в рамките на няколко седмици. Експертите не препоръчват плащането на искания откуп.

От Янис Брюл и Хакан Танриверди

Хаос на летището в Киев, на касите на супермаркетите в атомната електроцентрала в Чернобил: Нов софтуер за изнудване парализира компютърните системи на Windows във вторник. Създателите му искат откуп от $ 300 на компютър, преди да го пуснат. Жертвите са платили повече от 10 000 долара.

Какво е ransomware?

Ransomware е името на програми, които заключват операционната система за своя потребител. За това са криптирани или отделни съответни файлове, или части от твърдия диск. С текущата версия, която експертите са нарекли Petna, заразените компютри са принудени да се рестартират в рамките на един час. След това ще се появи съобщение: „Ами сега, важните ви файлове са криптирани.“ Нападателите изискват откуп, за да пуснат файловете отново.

който е засегнат?

Включени са повече от 10 000 компютъра. Фокусът на атаките беше очевидно върху две държави. Според анализ на компанията за ИТ сигурност Kaspersky, 60 процента от засегнатите системи са в Украйна и 30 процента в Русия. Компаниите, които са докладвали за изнудване, включват датската корабоплавателна компания Maersk, руския производител на петрол Rosneft, американската фармацевтична компания Merck и американската хранителна компания Mondelez (марки Milka, Oreo). След повредата на компютъра радиоактивността трябваше да се измерва ръчно в руините на атомната електроцентрала в Чернобил в Украйна. Важните технически системи на станцията функционираха нормално.

Федералната служба за информационна сигурност (BSI) заяви, че "някои компании" са били атакувани в Германия, но властта не е предоставила никакви подробности. Метро потвърди, че компанията е засегната. Само няколко работни компютри в Украйна обаче бяха заразени без влияние върху клиентите на пазарите на едро там. Според производител на потребителски стоки Beiersdorf ИТ и телефонни системи са се провалили в централата на Хамбург и в глобалните клонове, според говорител. Имейлите до пресцентъра не преминаха. Вирусът се разпространява в глобалните компании.

Как става Петна?

Според изследователите на ИТ сигурността софтуерът използва няколко канала на компютъра, включително уязвимост, наречена "Eternal Blue" в т. Нар. SMB протокол, която беше открита от американската тайна служба. SMB се използва за контрол на това кои файлове и директории се споделят в мрежа. Софтуерът използва този маршрут за достъп до други компютри. Уязвимостта е използвана при атаката Wanna-Cry, парализирала системите по света преди месец. „Много организации все още не са актуализирали своите системи“, казва ИТ специалистът Джейк Уилямс. Петна също използва поне две функции на Windows за вътрешно разпространение в мрежите. Fabian Wosar от компанията за ИТ сигурност Emsisoft обяснява: Ако компютър, който има необходимите администраторски права в мрежата, е заразен с Petna, зловредният софтуер ще се разпространи от там. Не е ясно как върви световното разпространение. Описаните пътища се използват за придвижване в мрежата. Но как изобщо се качи на машините? В игра влиза украинска компания.

Каква роля играе Аздок?

Няколко фирми за ИТ сигурност посочват, че софтуерната компания Medoc може да бъде отговорна за разпространението на Petna. Това би обяснило защо Украйна е особено засегната. Софтуерът на компанията се използва за счетоводство. Microsoft заяви, че нейните анализатори могат да докажат, че някои инфекции идват от Medoc. Според изследователите на сигурността процесът на актуализация е отвлечен от Medoc: всяка компания, изтеглила новата версия на софтуера, е вкарала контрабандно пакет с данни в тяхната система. Украинската полиция, отговорна за киберпрестъпността, също обяви Medoc за подозрителна. Самата компания отрича, че нейната система е била използвана за атаката.

Може ли атаката да бъде спряна?

Ако компютърът е заразен, потребителите трябва да предотвратят рестартиране, казва експертът по ИТ сигурност Матю Хики. Компютърът кодира файловете само след рестартиране. Вместо това потребителите трябва да стартират системата от компактдиска на операционната система, за да запазят файловете. Ако обаче потребителите вече са рестартирали компютъра, файловете са криптирани - може би безвъзвратно. Ето защо изследователите на ИТ сигурността препоръчват редовно архивиране.

Заслужава ли си да платите откуп?

Не. Експертите съветват да не плащате. Има достатъчно примери, при които системите са останали криптирани след плащането на откупа. Освен това операторите на Petna използваха имейл адрес от немския доставчик Posteo. След като откупът бъде изплатен, жертвите трябва да изпратят доказателство за плащането на този адрес. Но Posteo е блокирал пощенския акаунт. Така че в момента няма начин жертвите да комуникират с нападателите, дори ако са платили. Вероятно няма да получите данните си дори след плащане.

Кой е виновен за уязвимостта?

Атаката се извършва на фона на дебат за тайните служби и тяхната отговорност за ИТ сигурността в обществото. Защото дупката в сигурността, която Петна експлоатира, първоначално беше открита от АНБ. В някои случаи разузнавателните агенции пазят подобни вратички в тайна, за да не позволят на производителите да ги затворят. Те искат да използват вратичките за шпионаж или саботаж. В случая с Eternalblue обаче NSA загуби контрол. Неизвестни хакери хакнаха група хакери, за които се смята, че са част от NSA, и разпространиха информация за уязвимостта. Сега престъпниците също могат да извършат нападението, както в случая с Wanna Cry. Въпреки това е твърде лесно да се потърси отговорност само на американските шпиони - те не са вградили уязвимостта, а само са я открили. А компаниите със системи, оптимизирани за собствени цели през годините, често се затрудняват да инсталират нови версии на операционни системи. Те често отлагат мярката за сигурност поради причини за време и разходи.