هک گسترده باج افزار WannaCry در سراسر جهان؛ شرایط اضطراری بیمارستان های انگلیس
روز جمعه بیش از ۷۰ هزار کامپیوتر در سراسر جهان به یک باج افزار آلوده شدند. سازمان ملی بهداشت انگلیس و چندین بیمارستان در همین کشور، یک شرکت مخابراتی در اسپانیا، دفاتر فدکس در انگلیس، چند بانک در سراسر دنیا و حتی بر اساس گزارشات، وزارت کشور روسیه در میان سیستم های قربانی بوده اند.
هکرها از حفره «EternalBlue» که در ویندوز وجود داشته استفاده کرده اند (حفره ای که گفته می شود سازمان NSA پیشتر از آن برای دور زدن امنیت ویندوز بهره گرفته)؛ حفره ای که مایکروسافت دو ماه پیش آن را در یکی از به روز رسانی های ویندوز رفع کرده اما طبق معمول، همه به سرعت آپدیت نمی کنند و کامپیوترهایی که قربانی باج افزار شده اند از نسخه های قدیمی تر ویندوز استفاده کرده اند. (جدا از ۸.۴۵ درصد کاربران ویندوز که هنوز از اکس پی استفاده می کنند و مایکروسافت دیگر از آنها پشتیبانی نمی کند.)
ماجرا به شکل خلاصه از این قرار بوده: هکرهای گمنام که هنوز هویت شان مشخص نیست، ویروسی طراحی کرده و با آن سرورهای مجهز به نرم افزار مایکروسافت که پروتکل اشتراک فایل «Server Message Block» را اجرا می کرده را هدف قرار داده اند. تنها سرورهایی که به پچ ارائه شده در چهاردهم مارس یعنی «MS17-010» آپدیت نبودند، به باج افزار آلوده می شوند.
باجافزار واناکرای (WannaCry) که به نامهای WannaCrypt یا WanaCrypt0r 2.0 نیز شناخته میشود، ابزاری برای اجرای حملات باجافزاری است. در ماه می سال ۲۰۱۷ میلادی، حمله سایبری عظیمی با استفاده از این باجافزار کلید خورد که بالغ بر ۲۳۰ هزار رایانه را در ۹۹ کشور آلوده ساخت و به ۲۸ زبان از قربانیان باج طلب میکند. حمله مذکور آن گونه که یوروپول توصیف کرده است، بیسابقه بوده است.
این حمله سایبری، شرکت تلفونیکا و چند شرکت دیگر اسپانیا را مانند سازمان خدمات بهداشت ملی بریتانیا، فدکس و دویچه بان تحت تأثیر قرار داد. اهداف دیگر نیز در حدود ۹۹ کشور همزمان گزارش شدهاند. بالغ بر یک هزار رایانه در وزارت کشور، وزارت بحران و شرکت مخابراتی مگافون روسیه نیز گزارشی مبنی بر آلودگی دادهاند.
باجافزار واناکرای مطمئناً از اکسپلویت EternalBlue استفاده کرده است که توسط آژانس امنیت ملی ایالات متحده آمریکا برای حمله رایانههای دارای سیستمعامل مایکروسافت ویندوز نوشته شد. هرچند وصله نرمافزاری برای حذف اساسی آسیبپذیری در ۱۴ مارس ۲۰۱۷ منتشر شده بود اما تأخیر در اعمال بروزرسانیهای امنیتی، برخی کاربران و سازمانها را آسیبپذیر باقی گذاشت.
مدعی آلودهکننده این باجافزار یعنی EternalBlue توسط گروه هکری The Shadow Brokers در میان ابزارهای دیگر لو رفته از اکوئیشن گروپ در ۱۴ آوریل ۲۰۱۷ منتشر شد که مشخص بود جزئی از آژانس امنیت ملی ایالات متحده آمریکا باشد.
EternalBlue از آسیبپذیری MS17-010 در پیادهسازی بلوک پیام سرور سوء استفاده میکند. مایکروسافت توصیهای بحرانی به همراه یک وصله امنیتی برای رفع آسیبپذیری در ۱۴ مارس ۲۰۱۷ منتشر کرد. این وصله فقط ویندوز ویستا وسیستمعاملهای پس از آن، به جز ویندوز اکسپی را تعمیر نمود.
در تاریخ ۱۲ می ۲۰۱۷، باجافزار WannaCry آلودهسازی رایانههای سراسر جهان را آغاز کرد. این باجافزار پس از دستیابی به رایانهها، درایو دیسک سخت این رایانهها را رمزگذاری میکند و سپس برای سوء استفاده از آسیبپذیری SMB برای انتشار به صورت تصادفی در رایانههای متصل به اینترنت و همچنین بین رایانههای روی شبکه محلی تلاش میکند.
این آسیبپذیری ویندوز از نوع آسیبپذیری Zero-Day نیست اما مایکروسافت برای هر آسیبپذیری یک وصله امنیتی در ۱۴ مارس ۲۰۱۷ در دسترس قرار داده است.
این وصله برای پروتکل بلوک پیام سرور SMB مورد استفاده ویندوز بود. مایکروسافت همچنین توصیه میکند که کاربران استفاده از پروتکل قدیمی SMB1 را متوقف کرده و به جای آن از SMB3 که جدیدتر و امنتر است استفاده کنند. سازمانهایی که این وصله امنیتی را ندارند به این دلیل آلوده شدند، هرچند تابحال مدرکی دربارهٔ حمله خاص برنامه نویسان این باجافزار به این سازمانها وجود نداشته است. هر سازمانی که همچنان از ویندوز اکسپی که به پایان عمر رسیده است استفاده میکند در معرض خطر بسیار زیادی است.
در پی این حمله سایبری، مایکروسافت یک وصله امنیتی برای ویندوز اکسپی منتشر کرده است.
اقدامات تهاجمی این باجافزار طبق یوروپول بیسابقه بوده است. این حمله بسیاری از بیمارستانهای خدمات بهداشتی ملی بریتانیا را تحت تأثیر قرار داده است. در تاریخ ۱۲ می سال جاری، برخی خدمات این سازمان از موارد اورژانسی غیر بحرانی دور شدند و چند آمبولانس به جای اشتباهی ارسال شدند. در سال ۲۰۱۶، هزاران رایانه در ۴۲ سرویس موقعیت یاب خدمات بهداشتی ملی بریتانیا را به طور جداگانه در انگلستان گزارش دادهاند که همچنان از ویندوز اکسپی استفاده میکنند. شرکت خودروسازی نیسان موتورز در تاین و ور، یکی از کارخانههای بزرگ خودروسازی، تولید خود را پس از آلوده شدن توسط این باجافزار متوقف کرد. شرکت خودروسازی رنو نیز تولیدات خود را در چند کارخانه خود در تلاش برای متوقفسازی این باجافزار متوقف نمود.
چند ساعت پس از انتشار اولیه این باجافزار در ۱۲ می ۲۰۱۷، یک «کلید قطع اضطراری» تصریح شده در داخل بدافزار کشف شد. این کلید امکان داد که با ثبت یک دامنه اینترنتی گسترش اولیه آلودگی متوقف شود. به هرحال، این کلید قطع اضطراری به یک کدنویسی اشتباه در مجموعه مجرمان تظاهر مینمود و انتظار میرفت گونهها بدون این کلید قطع اضطراری ساخته شوند.
در تاریخ ۱۳ می ۲۰۱۷، گزارش داده شد که مایکروسافت اقدامی غیرعادی مانند ارایه یک بروزرسانی امنیتی برای ویندوز اکسپی و ویندوز سرور ۲۰۰۳ در میانه این نسخهها که چرخه پشتیبانی خود را به اتمام رساندهاند و همچنین در بین یک وصله امنیتی برای ویندوز ۸ انجام داده است.
همان طور که اطلاع یافتید باج افزاری به نام «واناکرای» (WannaCry) طی دو-سه روز گذشته حملات گسترده ای را به سیستم های کامپیوتری متصل به اینترنت آغاز کرده و تا به امروز بالغ بر 10 هزار سازمان و 200 هزار فرد مختلف را در بیش از 150 کشور جهان هدف قرار داده. اگرچه راهکارهایی موقتی برای کند کردن سرعت انتشار این باج افزار پیشنهاد شده، اما امروز خبر از نسخه های جدید آن به گوش می رسد.
«باب وینرایت» رئیس یوروپل امروز با اشاره به «گستردگی باورنکردنی» حملات، اعلام کرد که با شروع هفته از روز دوشنبه شاهد فعالیت بیشتر باج افزار خواهیم بود. مایکروسافت در اقدامی غیر معمول بسته امنیتی ویژه ای را برای ویندوز اکس پی منتشر ساخت، اما کاربران باید به صورت دستی اقدام به نصب آن و به روز رسانی سیستم خود نمایند.
حمله واناکرای از عصر جمعه آغاز شد و سیستم خدمات بهداشتی ملی انگلستان را به زانو درآورد، چندین کارخانه شرکت رنو در فرانسه را تعطیل ساخت و بسیاری مراکز دیگر را با مشکل مواجه ساخت. متخصص امنیتی 22 ساله با نام مستعار MalwareTech توانست با ثبت یک نام دامنه و ایجاد sinkhole سرعت حملات را تا حد زیادی کاهش دهد، اما او معتقد است به زودی موج بعدی حملات آغاز خواهد شد.
از زمان انتشار نسخه اصلی، متخصصین دو نسخه جدید از این باج افزار را نیز یافته اند که یکی از آنها به روش ثبت دامنه متوقف شده اما راهکاری برای دیگری وجود ندارد. گفتنیست این بدافزار از یک رخنه امنیتی به نام EternalBlue در ویندوز اکس پی سوء استفاده کرده و زمانی که کامپیوتر را آلوده ساخت، اقدام به رمزگذاری روی فایل های آن می نماید، و سپس راه خود را به دستگاه های دیگر باز می کند.
تبهکاران از هر قربانی 300 دلار باج می گیرند تا از طریق اپلیکیشن مخصوص، قابلیت رمزگشایی و دسترسی دوباره به فایل ها را در اختیار آنها قرار دهند و همان طور که حدس می زنید، پرداخت ها از طریق بیت کوین انجام می گیرد. البته کارشناسان امنیتی معتقدند تاکنون فقط حدود 20 هزار دلار نصیب هکرها شده است. یوروپل با همکاری اف بی آی و دیگر نهادهای امنیتی شدیداً به دنبال عوامل این حمله مخرب هستند تا از بروز موارد مشابه نیز جلوگیری نمایند.
تهیه پوشش امنیتی
چنانچه از سیستم عامل ویندوز 10 استفاده می کنید باید بدانید که باج افزار wanna cry از حفره امنیتی در ویندوز 10 استفاده می کند. هر چند که مایکروسافت برای پوشش این حفره امنیتی در ماه مارس آپدیتی را منتشر کرد. بنابراین این نکته ی بسیار مهمی است که استفاده کنندگان از این ویندوز ، می بایست از این پوشش امنیتی استفاده کنند، به این دلیل که کمتر در معرض خطر حک شدن توسط اینگونه باج افزارها باشند.
شکایت نکنید
زمانی که در محل کار مدیر سیستم، به منظور بروزرسانی سیستم، شبکه را به هم می ریزد که این بروزرسانی می تواند شامل نصب نرم افزارهای جدید یا پوشش امنیتی باشد.
حسرت نخورید
به نظر می رسد این باج افزارها به کامپیوترهایی حمله می کند که سیستم عامل ویندوز 10 آنها پوشش امنیتی ندارد، اما این به آن معنا نیست که کامپیوترهای حاوی سیستم اپل یا لینکس باید از این سیستم مطمئن باشند. آنها هم همچنین باید به صورت منظم با پوشش امنیتی که قبلا گفته شد، سیستم را بروزرسانی کنند.
سیستم حفاظتی را چک کنید
اگر شما در یک شبکه کاری هستید که در حال حاضر دارای سیستم امنیتی نیست، نصب کردن نرم افزارهای آنتی ویروس و محافظتی ضروری است. بسیاری از این نرم افزارها حتی در مواقعی که شما فایل های ویروسی را دانلود و ذخیره می کنید، از سیستم محافظت می کند.
همیشه پشتیبان تهیه کنید
مهمترین نکته این است که همیشه و به طور منظم از سیستم خود، فایل پشتیبان تهیه کنید. از این طریق حتی اگر باج افزاری شما را مورد حمله قرار دهد، شما به راحتی به تمام فایلهای خود دسترسی پیدا خواهید کرد. اما توجه داشته باشید فایل پشتیبان شما نباید بر روی کامپیوتر باشد بلکه باید روی هارد خارجی قرار داده شود.
و نکته اخر اینکه اگر شما از شبکه های اینترنتی عمومی استفاده می کنید، به سیستم خود بگوید که شما از یک شبکه عمومی اینترنتی استفاده می کنید { معمولا سیستم از شما در مورد این قضیه می پرسد}. این نکته از این نظر اهمیت دارد که سیستم عامل به شما می گوید که آیا در یک محیط پرخطر در حال فعالیت هستید یا نه. در نتیجه بعضی از پورتهای ضعیف شده و در معرض خطر را می بندد.