Πολιτική

Τι αναφέρει ο Διευθυντής του ENISA για τις πρόσφατες κυβερνοεπιθέσεις «WannaCry»


Ένα κακόβουλο λογισμικό, τουλάχιστον 200.000 θύματα σε ολόκληρο τον κόσμο. Ο λόγος για το λυτρισμικό «WannaCry» το οποίο έχει προκαλέσει ανησυχίες στην κοινότητα διαδικτυακής ασφάλειας, τόσο για την ταχύτητα με την οποία εξαπλώθηκε όσο και για τις επικείμενες παραλλαγές του που μπορεί να εμφανιστούν στο άμεσο μέλλον.

Ο διευθυντής διοίκησης του Ευρωπαϊκού Οργανισμού για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA), κ. Πάουλο Εμπαντίνιας

(Paulo Empadinhas), μίλησε αποκλειστικά στο ΑΠΕ-ΜΠΕ σχετικά με αυτή την επίθεση που έχει συγκλονίσει ολόκληρο τον κόσμο.

-Το WannaCry έχει κλονίσει ολόκληρο τον πλανήτη. Ποιες είναι οι κινήσεις του ENISA για την αντιμετώπιση αυτής της απειλής;

-Ως ο Ευρωπαϊκός Οργανισμός για την Ασφάλεια στο Διαδίκτυο, παρακολουθούμε στενά την κατάσταση και εργαζόμαστε 24 ώρες το 24ωρο με τους εταίρους μας, προκειμένου να διασφαλίσουμε την προστασία των Ευρωπαίων πολιτών και των επιχειρήσεων, καθώς και τη σταθερότητα της Ψηφιακής Ενιαίας Αγοράς. Ο ENISA συνεργάζεται με αρκετά κράτη μέλη της ΕΕ για την αξιολόγηση της κατάστασης σε ευρωπαϊκό επίπεδο. Για τον σκοπό αυτόν, δημιουργήθηκε μια ειδική ομάδα εργασίας. Ενημερώνουμε την Ευρωπαϊκή Επιτροπή σχετικά με την εξέλιξη των επιθέσεων και συνεργαζόμαστε με τους εταίρους μας στο Δίκτυο CSIRT της ΕΕ.

Στα Windows 7, 8, 8.1, και 10 με UAC (Έλεγχος Λογαριασμού Χρήστη) τα οποία είχαν ενεργοποιημένο το Shadow Copies πριν την κρυπτογράφηση, πιθανόν είναι δυνατή η επαναφορά των αρχείων μέσω του shadow copy.

ΜΗΝ πατάτε ΝΑΙ στο αναδυόμενο παράθυρο της ερώτησης που εμφανίζεται κατά τη διάρκεια της μόλυνσης. Δείτε την παρακάτω εικόνα.

Για περισσότερες πληροφορίες ανατρέξτε στο τεχνικό σημείωμα του ENISA (

size="2" face="Courier New Greek">https://www.enisa.europa.eu/publications/info-notes/wannacry-ransomware-outburst

size="2" face="Courier New Greek">)

Τονίζουμε τον κίνδυνο, μοιραζόμαστε τις πληροφορίες με τα κράτη μέλη της ΕΕ και βοηθάμε στον μεταξύ συντονισμό. Αυτές είναι οι δράσεις που μπορούν να γίνουν, επί του παρόντος, σε ευρωπαϊκό επίπεδο.

-Πως εξαπλώθηκε τόσο ραγδαία ο ιός;

-Η αρχική έκδοση του WCry, γνωστό και ως WannaCry ή WannaCrypt0r, εμφανίστηκε σε σχετικά μικρή κλίματα τον Φεβρουάριο του 2017 και στη συνέχεια παρατηρήθηκε μία ακόμα μικρή εκστρατεία τον Μάρτιο του τρέχοντος έτους. Η πρόσφατη παραλλαγή του λυτρισμικού (ransomware) εντοπίστηκε την Παρασκευή 12 Μαΐου 2017 και εξαπλώθηκε παγκοσμίως μέσα σε λίγες ώρες. Από τότε έχουν κυκλοφορήσει πολλαπλές παραλλαγές, καθώς το λυτρισμικό συνεχίζει να εξαπλώνεται.

Το λυτρισμικό βασίζεται σε μια ευπάθεια στο πρωτόκολλο Server Message Block (SMB) που χρησιμοποιείται από τους υπολογιστές για να παρέχει πρόσβαση σε κοινόχρηστους δίσκους και εκτυπωτές. Τέτοιες επιθέσεις είναι γενικά επιτυχείς όταν ένας χρήστης του διαδικτύου ανοίγει ένα μήνυμα ηλεκτρονικού ταχυδρομείου με συνημμένο που περιέχει κακόβουλο λογισμικό. Άλλες μέθοδοι περιλαμβάνουν την επίσκεψη σε έναν «ύποπτο» ιστότοπο όπου η ενεργοποίηση ενός συνδέσμου μπορεί να οδηγήσει στη λήψη του κακόβουλου λογισμικού απευθείας στον ηλεκτρονικό υπολογιστή του χρήστη.

Στη συγκεκριμένη περίπτωση, ο φορέας της μόλυνσης περιλαμβάνει τη στοχοποίηση ευάλωτων υπολογιστών με αναγνωρισμένες ανοιχτές θύρες SMB. Δεν απαιτείται καμία ενέργεια από τον χρήστη για την μόλυνση του υπολογιστή από τον ιό.

Το WannaCry αποτρέπει την πρόσβαση σε ποικίλους τύπους κοινών αρχείων, όπως έγγραφα, εικόνες και βίντεο, απαιτεί λύτρα και εξαπλώνεται αυτόματα. Το βασικό χαρακτηριστικό αυτής της επίθεσης είναι η ταχύτατη διάδοσή της, χρησιμοποιώντας μια γνωστή, κρίσιμη ευπάθεια που επηρεάζει τα συστήματα των Microsoft Windows, τα οποία το λυτρισμικό εκμεταλλεύεται χωρίς αλληλεπίδραση από την πλευρά των χρηστών. Επιπλέον, κάθε αρχείο που έχει προσβληθεί, κρυπτογραφείται με το δικό του κλειδί. Απαιτείται η καταβολή λύτρων σε Bitcoin (εικονικό νόμισμα) σε μια προσπάθεια να πραγματοποιηθεί η μεταφορά των χρημάτων με ανώνυμο τρόπο.

-Ποιες είναι οι συστάσεις του ENISA στους χρήστες που έχουν προσβληθεί από τον ιό; Πρέπει να πληρώσουν τα ζητούμενα λύτρα;

-Το λυτρισμικό είναι ένα είδος κακόβουλου λογισμικού (όπως ιοί και Trojans), το οποίο επηρεάζει τα συστήματα ηλεκτρονικών υπολογιστών των χρηστών και χειραγωγεί τα επηρεασμένα συστήματα με τρόπο τέτοιον ώστε τα θύματα να μην μπορούν πλέον να τα χρησιμοποιήσουν (εν μέρει ή πλήρως), όπως και τα δεδομένα που είναι αποθηκευμένα σε αυτά. Το θύμα, συνήθως λίγο αργότερα, λαμβάνει ένα αναδυόμενο (pop-up) μήνυμα εκβιασμού, ασκώντας πιέσεις στο θύμα να καταβάλει τα λύτρα (εξ ου και η ονομασία του συγκεκριμένου κακόβουλου λογισμικού) για να ανακτήσει την πλήρη πρόσβαση στο σύστημα και τα αρχεία.

Μιλάμε για εγκληματίες, οι οποίοι απαιτούν την καταβολή λύτρων και έτσι δεν μπορούμε ποτέ να γνωρίζουμε ότι ακόμα κι αν πληρώσουμε τα χρήματα, θα το σεβαστούν αυτό και θα λύσουν το πρόβλημα. Δεν υπάρχει καμία εγγύηση. Σε καμία περίπτωση δεν μπορούμε να συμβουλεύσουμε τους χρήστες να προχωρήσουν στην πληρωμή των λύτρων.

Ο ENISA προειδοποιεί ότι η καταβολή των λύτρων δεν εγγυάται την αποκρυπτογράφηση των αρχείων ή ότι ο υπολογιστής που είχε μολυνθεί από το λυτρισμικό δεν θα μολυνθεί ξανά. Σε ποικίλες περιπτώσεις αναφέρεται ότι η ενέργεια αποκρυπτογράφησης των αρχείων δεν είναι λειτουργική. Αντίθετα, συνιστούμε στους χρήστες να γυρίζουν το σύστημά τους σε ένα πρόσφατο αντίγραφο ασφαλείας.

-Ποιοι είναι οι λόγοι που τόσες μεγάλες εταιρείες και οργανισμοί επηρεάστηκαν από αυτή την επίθεση;

-Το συγκεκριμένο λυτρισμικό αξιοποιεί μια ευπάθεια που επηρεάζει τα Windows, τα οποία εκμεταλλεύεται χωρίς καμία ενέργεια από την πλευρά του χρήστη. Η ευπάθεια δημοσιοποιήθηκε πριν από 2 μήνες από μία ομάδα με την ονομασία Shadow Brokers, σε μια διαρροή τεχνικών πληροφοριών. Η Microsoft διέθεσε ένα διορθωτικό για τη συγκεκριμένη ευπάθεια, ωστόσο η εταιρεία δεν παρέχει υποστήριξη για πολλά παλαιά λειτουργικά συστήματα που συνεχίζουν να χρησιμοποιούνται σε ολόκληρο τον κόσμο. Έκτοτε, η Microsoft διέθεσε ένα διορθωτικό για τα περισσότερα από αυτά τα παλαιά συστήματα, όμως η εγκατάστασή του δεν είναι πάντα δυνατή λόγω λειτουργικών περιορισμών.

Το πρόβλημα έγκειται στο γεγονός ότι πολλές εταιρείες και οργανισμοί δεν προχώρησαν στην ενημέρωση των συστημάτων τους και ως εκ τούτου ήταν ευάλωτοι. Και αυτός είναι και ο κύριος λόγος για τον οποίο τόσοι πολλοί άνθρωποι επηρεάστηκαν. Ας θέσουμε ένα παράδειγμα. Ας υποθέσουμε ότι όλοι γνωρίζουν για την ύπαρξη ενός θανατηφόρου ιού και ότι το ιατρικό σύστημα έχει εκδώσει σύσταση για τη λήψη εμβολίου. Αν δεν κάνουμε το εμβόλιο, είμαστε πραγματικά ευάλωτοι και αφήνουμε τους εαυτούς μας εκτεθειμένους στον ιό.

Στην προκειμένη περίπτωση μιλάμε για την υγιεινή των υπολογιστών, ένας όρος που χρησιμοποιείται πλέον ευρέως. Πρέπει να εγκαθιστούμε πάντα τις διαθέσιμες ενημερώσεις στους υπολογιστές μας. Υπάρχουν τόσοι πολλοί άνθρωποι και εταιρείες που εργάζονται προκειμένου να αποτρέπουν φαινόμενα σαν κι αυτό, ωστόσο εάν δεν λάβουμε τα κατάλληλα μέτρα τότε μένουμε εκτεθειμένοι. Και εδώ έγκειται το πραγματικό πρόβλημα. Πρόκειται για την εκμετάλλευση μιας ευπάθειας, η οποία είχε ήδη εντοπιστεί, ωστόσο οι χρήστες δεν έλαβαν τα απαραίτητα μέτρα για την προστασία των συστημάτων τους.

-Η επίθεση θεωρείται πλέον υπό έλεγχο;

-Στην προκειμένη φάση μπορούμε να πούμε ότι έχει τεθεί υπό έλεγχο. Αυτό που πρέπει να γνωρίζουμε είναι ότι υπάρχει η πιθανότητα να εμφανιστούν νέες εκδόσεις αυτού του κακόβουλου λογισμικού. Πραγματικά περιμένουμε να κάνουν την εμφάνισή τους και άλλες παραλλαγές, αλλά φυσικά έχουμε ήδη ενημερώσει τα κράτη μέλη της ΕΕ για αυτή την πιθανότητα, ώστε να προσπαθήσουν να αποτρέψουν κάτι τέτοιο και να βρίσκονται σε ετοιμότητα.

Οδηγίες αντιμετώπισης του λυτρισμικού «WannaCry»

Εάν τα συστήματά σας έχουν πληγεί από το λυτρισμικό, εφαρμόστε τις ακόλουθες συστάσεις το συντομότερο δυνατόν:

>Δημιουργήστε αντίγραφα ασφαλείας ώστε να προστατεύσετε το σύστημα και τα αρχεία σας

>Ενημερώστε το σύστημα με το διορθωτικό (

size="2" face="Courier New Greek">https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

size="2" face="Courier New Greek">) που έχει διαθέσει η Microsoft, το οποίο αντιμετωπίζει την ευπάθεια του SMB. Το διορθωτικό έχει γίνει διαθέσιμο από τον Μάρτιο του 2017. Στην περίπτωση μαζικής εξάπλωσης κακόβουλου λογισμικού που επηρεάζει παλαιότερα συστήματα της Microsoft (π.χ. Windows XP, Server 2003, 8) η εταιρεία έχει διαθέσει διορθωτικό και για αυτές τις εκδόσεις (

size="2" face="Courier New Greek">https://blogs.technet.microsoft.com/msrc/2017/05/12/client-guidance-for-wannacrypt-attacks

size="2" face="Courier New Greek">).

>Ενημερώστε το αλεξίιο πρόγραμμα (anti-virus) στην τελευταία έκδοσή του. Οι εταιρείες προστασίας από ιούς μπορούν πλέον να ανιχνεύσουν όλες τις πρόσφατες παραλλαγές του λυτρισμικού.

>Εξετάστε την προσθήκη κανόνα στον δρομολογητή (router) ή το τείχος προστασίας σας για να εμποδίσετε εισερχόμενη SMB κυκλοφορία στη θύρα 445 από μη αξιόπιστες πηγές. Επιπλέον, φιλτράρετε τη θύρα 139 του NetBIOS και τη θύρα 3389 του RDP ώστε να εμποδίσετε το WannaCry να μολύνει άλλες συσκευές στο ίδιο τμήμα του δικτύου.

>Η Microsoft προσφέρει οδηγίες για το πώς να το κάνετε αυτό

(https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012

size="2" face="Courier New Greek">)

Για την ανίχνευση του λυτρισμικού διατίθενται ποικίλοι τρόποι

(https://securingtomorrow.mcafee.com/executive-perspectives/analysis-wannacry-ransomware-outbreak/

size="2" face="Courier New Greek">)

Ωστόσο, αναμένουμε ότι θα υπάρξουν νέες παραλλαγές του συγκεκριμένου κακόβουλου λογισμικού, οι οποίες πιθανόν να είναι ακόμα πιο επιθετικές. Ως γενική δήλωση, αυτό που είναι σημαντικό εδώ είναι ότι τα θέματα ασφάλειας στο Διαδίκτυο αυξάνονται καθημερινά σε ολόκληρο τον κόσμο, γιατί πρόκειται για μια νέα μέθοδο που χρησιμοποιείται από εγκληματίες, μια νέα μέθοδος εγκληματικότητας που μπορεί να επηρεάσει όλα όσα σχετίζονται με το διαδίκτυο. Είναι λοιπόν, πολύ σημαντικό οι χρήστες, οι εταιρείες και τα ιδρύματα να επικαιροποιούν τις πολιτικές ασφαλείας τους.

Επιπλέον, ας κάνουμε μια μικρή αναλογία που βοηθά να κατανοήσουμε αυτή την κατάσταση. Στα σπίτια μας, στις εταιρείες μας, γνωρίζουμε πάντα τα βασικά νούμερα τηλεφώνου για υπηρεσίες έκτακτης ανάγκης (αστυνομία, πυροσβεστική κ.λπ.). Πρέπει επίσης να είμαστε έτοιμοι για μια κατάσταση έκτακτης ανάγκης στον κυβερνοχώρο και όλοι πρέπει να είμαστε έτοιμοι να κατανοήσουμε τι ακριβώς πρέπει να κάνουμε σε τέτοιες περιπτώσεις. Αυτός είναι ο λόγος για τον οποίο είναι σημαντικό να γνωρίζουμε ποιοι φορείς, σε κάθε χώρα, μπορούν να μας βοηθήσουν σε περίπτωση που κάτι τέτοιο συμβεί, ώστε να βρισκόμαστε σε ετοιμότητα (CSIRT). Διαθέτουμε πολύ ικανά ιδρύματα στα κράτη μέλη της ΕΕ, τα οποία μπορούν πραγματικά να βοηθήσουν σε τέτοιου είδους καταστάσεις.

ΑΠΕ-ΜΠΕ