WannaCry

Vikipediya, azad ensiklopediya
Naviqasiyaya keç Axtarışa keç
WannaCry
Tarix 12 may 2008
Başlama tarixi 12 may 2017
Vikianbarın loqosu Vikianbarda əlaqəli mediafayllar

WannaCry ransomware hücumu 2017-ci ilin may ayında WannaCry ransomware kriptovalyutası tərəfindən dünya miqyasında həyata keçirilən kiberhücum idi və bu, Microsoft Windows əməliyyat sistemi ilə işləyən kompüterləri hədəf alaraq, məlumatları şifrələmək və Bitcoin kriptovalyutasında fidyə ödənişləri tələb etməkdir. Windows sistemləri üçün Birləşmiş Ştatların Milli Təhlükəsizlik Agentliyi (NSA) tərəfindən hazırlanmış EternalBlue istismarından istifadə etməklə yayıldı.[1] EternalBlue hücumdan bir ay əvvəl The Shadow Brokers adlı qrup tərəfindən oğurlanıb və sızdırılıb. Microsoft isə əvvəllər istismarı bağlamaq üçün yamaqlar buraxmışdı, WannaCry-nin yayılmasının çox hissəsi bunları tətbiq etməyən və ya istifadə müddəti bitmiş köhnə Windows sistemlərindən istifadə edən təşkilatlardan idi. Bu yamalar təşkilatların kibertəhlükəsizliyi üçün vacib idi, lakin bir çoxları əhəmiyyətini bilmədiyi üçün tətbiq edilmədi. Bəziləri 24/7 işləməyə ehtiyac olduğunu, yamaqların dəyişdirilməsi, personalın və ya onları quraşdırmaq üçün vaxtın olmaması və ya digər səbəblərə görə əvvəllər işləyən proqramların sıradan çıxması riskindən çəkindiklərini iddia etdi.

Hücum 12 may 2017-ci il saat 07:44 UTC-də başladı və bir neçə saat sonra Marcus Hutchins tərəfindən aşkar edilmiş öldürmə açarının qeydiyyatı ilə 15:03 UTC-də dayandırıldı.[2] Öldürmə açarı artıq yoluxmuş kompüterlərin şifrələnməsinin və ya WannaCry-nin daha da yayılmasının qarşısını aldı. Hücumun 150 ölkədə 300.000-dən çox[3] kompüterə təsir etdiyi təxmin edilirdi, ümumi ziyan yüz milyonlarla milyardlarla dollar arasında dəyişir. Təhlükəsizlik mütəxəssisləri qurdun ilkin qiymətləndirilməsi nəticəsində hücumun Şimali Koreyadan və ya ölkə üçün işləyən qurumlardan törədildiyinə inanıblar.

2017-ci ilin dekabrında Birləşmiş Ştatlar və Böyük Britaniya hücumun arxasında Şimali Koreyanın olduğunu rəsmən bəyan ediblər.[4]

WannaCry-nin yeni variantı Tayvan Yarımkeçirici İstehsalat Şirkətini (TSMC) 2018-ci ilin avqust ayında bir neçə çip istehsalı fabrikini müvəqqəti olaraq bağlamağa məcbur etdi. Virus TSMC-nin ən qabaqcıl qurğularında olan 10.000 maşına yayıldı.[5]

Xakteristikası

[redaktə | mənbəni redaktə et]

WannaCry, məlumatları şifrələmək (kilidləmək) və Bitcoin kriptovalyutasında ödənişləri tələb etməklə Microsoft Windows əməliyyat sistemi ilə işləyən kompüterləri hədəf alan ransomware kriptovalyutasıdır. Qurd WannaCrypt,[6] Wana Decrypt0r 2.0,[7] WanaCrypt0r 2.0,[8]Wanna Decryptor[9] kimi də tanınır. Şəbəkə qurdu hesab olunur, çünki o, özünü avtomatik yaymaq üçün nəqliyyat mexanizmini də ehtiva edir. Bu nəqliyyat kodu həssas sistemləri skan edir, sonra giriş əldə etmək üçün EternalBlue istismarından və DoublePulsardan istifadə edir. özünün surətini quraşdırmaq və icra etmək üçün alət. WannaCry versiyaları 0, 1 və 2 Microsoft Visual C++ 6.0 istifadə edərək yaradılmışdır.[10]

EternalBlue Microsoft-un The Shadow Brokers tərəfindən buraxılmış Server Mesaj Bloku (SMB) protokolunun tətbiqinin istismarıdır. Tədbir ətrafında diqqət və şərhlərin çoxu ABŞ-nin Milli Təhlükəsizlik Agentliyinin (MSA) (istismarın oğurlandığı ehtimal edilən) artıq zəifliyi aşkarlamış, lakin ondan öz hücum işi üçün istismar yaratmaq üçün istifadə etməsinə səbəb olmuşdur, Microsoft-a bildirmək əvəzinə. Microsoft nəhayət zəifliyi aşkar etdi və 14 mart 2017-ci il çərşənbə axşamı onlar qüsuru təfərrüatlandıran və yamaqların olduğunu elan edən MS17-010 təhlükəsizlik bülleteni buraxdılar.[11][12] Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 və Windows Server 2016 olan o dövrdə hazırda dəstəklənən bütün Windows versiyaları üçün buraxılmışdı.[13]

Hücum 12 May 2017-ci il,[14][15] cümə günü, UTC vaxtı ilə 07:44-də Asiyada ilkin infeksiyaya işarə edən dəlillərlə başladı.[14][16] İlkin yoluxma, ehtimal ki, ilkin ehtimal edildiyi kimi e-poçt fişinqi deyil, açıq həssas SMB portu vasitəsilə olmuşdur. Bir gün ərzində kodun 150-dən çox ölkədə 230.000-dən çox kompüteri yoluxdurduğu bildirildi.[17][18]

Mart ayından Microsoft-un təhlükəsizlik yeniləməsini quraşdırmayan təşkilatlar hücumdan təsirləndi. Windows XPWindows Server 2003 kimi hələ də dəstəklənməyən Microsoft Windows versiyaları ilə işləyənlər xüsusilə yüksək risk altında idilər, çünki 2014-cü ilin may ayından Windows XP və 2015-ci ilin iyul ayından Windows Server üçün heç bir təhlükəsizlik yaması buraxılmayıb. Bir Kaspersky Laboratoriyası araşdırması bildirmişdir ki, təsirə məruz qalan kompüterlərin 0,1 faizindən az hissəsi Windows XP ilə işləyir və təsirə məruz qalan kompüterlərin 98 faizi Windows 7 ilə işləyir. Nəzarət olunan sınaq mühitində Kryptos Logic kibertəhlükəsizlik firması müəyyən etdi ki, Windows XP sistemini WannaCry ilə yoluxdura bilməyib, çünki faydalı yük yüklənməyib və ya faylları həqiqətən icra etmək və şifrələmək əvəzinə əməliyyat sisteminin çökməsinə səbəb olub. Bununla belə, əl ilə icra edildikdə, WannaCry hələ də Windows XP-də işləyə bilər.[19][20][21]

Ransomware kampaniyası 150 ölkədə 200.000-ə yaxın kompüterin yoluxduğunu təxmin edən Europol-a görə misli görünməmiş miqyasda idi. Kaspersky Laboratoriyasının məlumatına görə, ən çox təsirlənən dörd ölkə Rusiya, Ukrayna, HindistanTayvan olub.[22]

Hücumun vurduğu ən böyük agentliklərdən biri İngiltərə və Şotlandiyadakı Milli Səhiyyə Xidməti xəstəxanaları və 70.000-ə qədər cihaz, o cümlədən kompüterlər, MRT skanerləri, qan saxlama soyuducuları və teatr avadanlığı təsirlənmiş sayıla bilər. 12 Mayda bəzi NHS xidmətləri kritik olmayan fövqəladə halları geri çevirməli oldu və bəzi təcili yardım maşınları yönləndirildi. 2016-cı ildə İngiltərədəki 42 ayrı NHS trastında minlərlə kompüterin hələ də Windows XP ilə işlədiyi bildirildi. 2018-ci ildə Parlament üzvlərinin hesabatı belə nəticəyə gəldi ki, WannaCry hücumundan sonra yoxlanılan 200 NHS xəstəxanası və ya digər təşkilatlar hələ də kibertəhlükəsizlik yoxlamalarından keçə bilmir. UelsŞimali İrlandiyadakı NHS xəstəxanaları hücumdan təsirlənmədi.[23][24]

  1. "WannaCry-dən iki il sonra bir milyon kompüter risk altında qalır". TechCrunch (ingilis). 2019-06-12. 2021-06-04 tarixində arxivləşdirilib. İstifadə tarixi: 2021-01-16.
  2. "WannaCry-ni dayandıran domen adı nədir?". 2017-06-15. 2023-01-21 tarixində arxivləşdirilib. İstifadə tarixi: 2023-01-21.
  3. Chappell, Bill; Neuman, Scott. "ABŞ Şimali Koreyanın WannaCry Ransomware hücumuna görə "birbaşa məsuliyyət daşıdığını" deyir". NPR (ingilis). 2017-12-19. 2022-12-02 tarixində arxivləşdirilib. İstifadə tarixi: 2022-12-02.
  4. "Kiberhücum: ABŞ və Böyük Britaniya WannaCry-də Şimali Koreyanı günahlandırır". BBC News (ingilis). 2017-12-19. 2021-02-08 tarixində arxivləşdirilib. İstifadə tarixi: 2021-02-18.
  5. "TSMC Chip Maker İstehsalın dayandırılmasında WannaCry zərərli proqram təminatını günahlandırır". The Hacker News (ingilis). 2018-08-09 tarixində arxivləşdirilib. İstifadə tarixi: 2018-08-07.
  6. MSRC Team. "WannaCrypt hücumları üçün Müştəri Rəhbərliyi". Microsoft. 2017-03-13. 2017-05-21 tarixində arxivləşdirilib. İstifadə tarixi: 2017-05-13.
  7. Jakub Kroustek. "Avast NHS və Telefonica-ya yoluxmuş WanaCrypt0r 2.0 ransomware haqqında məlumat verir". Avast Security News. Avast Software, Inc. 2017-05-12. 2019-05-05 tarixində arxivləşdirilib. İstifadə tarixi: 2017-05-14.
  8. Fox-Brewster, Thomas. "NSA Kiber Silahı Kütləvi Qlobal Ransomware Başlanmasının Arxasında Ola bilər". Forbes. 2018-06-28 tarixində arxivləşdirilib. İstifadə tarixi: 2017-05-12.
  9. Woollaston, Victoria. "Decryptor istəyirsiniz: NHS hücumunun arxasındakı "fidyə proqramının atom bombası" nədir?". WIRED UK (ingilis). 2018-03-17 tarixində arxivləşdirilib. İstifadə tarixi: 2017-06-13.
  10. Shields, Nathan P. "Criminal Complaint". United States Department of Justice. 2018-06-08. 2018-09-06 tarixində arxivləşdirilib. İstifadə tarixi: 2018-09-06.
  11. "NHS kiberhücum: Edvard Snouden deyir ki, NSA kiberhücumun qarşısını almalı idi". The Independent. 2017-05-16 tarixində arxivləşdirilib. İstifadə tarixi: 2017-06-13.
  12. Graham, Chris. "NHS kiberhücum: Tarixdəki 'ən böyük fidyə proqramı' hücumu haqqında bilməli olduğunuz hər şey". The Daily Telegraph. 2017-05-13. 2017-05-13 tarixində arxivləşdirilib. İstifadə tarixi: 2017-05-13.
  13. "NSA-dan sızan Shadow Brokers indiyədək ən zərərli buraxılışını buraxdı". Ars Technica (ingilis). 2017-05-13 tarixində arxivləşdirilib. İstifadə tarixi: 2017-04-15.
  14. 1 2 Brenner, Bill. "WannaCry: fişinq çəngəlinə çatmayan ransomware qurdu". Naked Security. Sophos. 2017-05-16. 2017-07-11 tarixində arxivləşdirilib. İstifadə tarixi: 2017-05-18.
  15. Newman, Lily Hay. "Ransomware Meltdown Mütəxəssislərinin Xəbərdarlığı Buradadır". Wired. 2017-05-12. 2017-05-19 tarixində arxivləşdirilib. İstifadə tarixi: 2017-05-13.
  16. Yuzifovich, Yuriy. "WannaCry: DNS cəbhəsindən baxışlar". Security and Data Science. nominum. 2017-05-21 tarixində arxivləşdirilib. İstifadə tarixi: 2017-05-18.
  17. "Kiberhücum: Europol bunun miqyasda görünməmiş olduğunu söylədi". BBC News (ingilis). 2017-05-13. 2017-05-14 tarixində arxivləşdirilib. İstifadə tarixi: 2017-05-13.
  18. "'Görünməmiş' kiberhücum ən azı 150 ölkədə 200 000-ə çatıb və təhlükə getdikcə artır". CNBC. 2017-05-14. 2017-05-15 tarixində arxivləşdirilib. İstifadə tarixi: 2017-05-16.
  19. Brandom, Russell. "Windows XP kompüterləri əsasən WannaCry-ə qarşı immun idi". The Verge. Vox Media. 2017-05-30. 2021-02-11 tarixində arxivləşdirilib. İstifadə tarixi: 2020-12-10.
  20. "WannaCry: İki Həftə və 16 Milyon Fidyədən Sonra Qarşısının Alınması". Kryptos Logic. 2017-05-30 tarixində arxivləşdirilib. İstifadə tarixi: 2017-05-30.
  21. "Παγκόσμιος τρόμος: Πάνω από 100 χώρες "χτύπησε" ο WannaCry που ζητάει λύτρα!". newsit.gr. 13 May 2017. 2019-11-16 tarixində arxivləşdirilib. İstifadə tarixi: 2019-11-16.
  22. Jones, Sam. "Təzə kiberhücumlara hazırlaşmaq üçün qlobal xəbərdarlıq". Financial Times. 2017-05-14.
  23. Marsh, Sarah. "Zərərli proqram tərəfindən vurulan NHS etibarları – tam siyahı". The Guardian. London. 2017-05-12. 2017-05-15 tarixində arxivləşdirilib. İstifadə tarixi: 2017-05-12.
  24. "NHS kiberhücum: Həkimlər və xəstəxanalar ransomware tərəfindən vuruldu". BBC News (ingilis). 2017-05-12. 2017-05-12 tarixində arxivləşdirilib. İstifadə tarixi: 2017-05-12.

Xarici keçidlər

[redaktə | mənbəni redaktə et]