Slovenski proizvođač automobila Revoz iz Novog Mesta, u vlasništvu francuskog Renaulta, tek je u kasnim jutarnjim satima u subotu uspio otkloniti računalni kvar izazvan virusom u računalnom sustavu zbog kojega je otpao rad u noćnoj smjeni i dio jutarnje smjene, a pretpostavlja se da je bio dio općeg kibernetičkog napada nepoznatih hakera u skoro 100 zemalja u svijetu.
Tvrtka je, kako javljaju mediji, dobila poruku da u roku od tri dana za deblokadu svog kompjutorskog sustava mora platiti otkupninu ili će se svota koja se za to traži biti udvostručena.
Sve računalne jedinice u Revozu od jučer su bile zaključane odnosno blokirane, a na zaslonima se pojavila poruka nepoznatih ucjenjivača da tvrtka za ponovno djelovanje sustava treba isplatiti 300 američkih dolara u bitcoinima. Prijetilo se da će se u suprotnom svota za otkup udvostručiti ako do isplate ne dođe u roku od tri dana, a da će nakon sedam dana sve datoteke tvrtke biti izbrisane.
Nacionalni centar za obranu od kibernetičkih napada objavio je da se radilo o iznudi računalnim virusom WannaCry.
Obustava proizvodnje
U međuvremenu je i sam Renault izvijestio da je obustavio proizvodnju u svojim postrojenjima diljem Francuske nakon što su ona postala žrtvama istog napada.
Njemački nacionalni željeznički operater Deutsche Bahn u subotu je izvijestio da zbog cyber napada ima problema s prikazom voznih redova na zaslonima instaliranima na željezničkim kolodvorima, no navodi da problema u samom prometovanju vlakova zasad nema. Kažu da su angažirali dodatno osoblje kako bi putnicima mogli dati sve informacije koje su navikli gledati preko zaslona.
Šef turske uprave za informacijske i komunikacijske tehnologije (BTK) u subotu je također izvijestio da žrtava hakerskog napada ima i u Turskoj, ali zasad nema detaljnijih informacija.
Kaos u bolnicama
Britanski Nacionalni centar za kibernetičku sigurnost u subotu je izvijestio da njegove ekipe neprekidno rade na ponovnom osposobljavanju računalnih sustava koji su nakon napada izazvali kaos u britanskim bolnicama. U međuvremenu je tamošnja podružnica Nissana objavila da je njezina tvornica u Sunderlandu postala žrtvom napada, ali zasad nema podataka je li proizvodnja obustavljena. Među pogođenima je i međunarodna kurirska služba FedEx. Žrtve su i telekomunikacijska kompanija Telefonica u Španjolskoj, portugalski Telecom i Telefonica u Argentini.
U SAD-u je pogođen tek manji broj meta.
Bez presedana
Iz Europola su u subotu objavili kako je riječ o napadu bez presedana.
Napad izveden takozvanim ucjenjivačkim softverom (ransomware) blokira pristup računalnom sustavu i potom traži novac, u ovom slučaju između 300 i 600 dolara, kako bi ga odblokirao.
Neke od žrtava platile su ucjenjivačima digitalnom valutom bitcoinom, kazali su sigurnosni stručnjaci, ali ne znaju o kojem je broju žrtava riječ.
Stručnjaci proizvođača softvera Avast kazali su da su identificirali 57.000 zaraženih računala u 99 zemalja, a među najviše pogođenima su Rusija, Ukrajina i Tajvan. Na interaktivnim kartama koje su objavili ugledni inozemni mediji, vidi se da je među pogođenim državama i Hrvatska, ali zasad se ne zna ima li u Lijepoj našoj nekih većih sustava koji su napadnuti.
Silazna putanja
Neki stručnjaci smatraju da se prijetnja za sada smanjila, dijelom zahvaljujući jednom stručnjaku iz Britanije koji je ograničio širenje zaraze.
"U silaznoj smo putanji, zaraze su jako rijetke, jer se malver (zlonamjerni softver) ne može spojiti na registriranu domenu", rekao je Vikram Thakur, voditelj istraživanja pri Symantecu.
"Brojke su jako male i brzo se smanjuju."
No napadači bi mogli izmijeniti kod i ponovno pokrenuti ciklus. To se još nije dogodilo, ali vjerojatno hoće, rekao je stručnjak koji je možda zaustavio širenje napada.
Ministri financija G7 obećali su u subotu na sastanku u Italiji da će udružiti snage u borbi protiv sve veće prijetnje međunarodnih kibernetičkih napada, po nacrtu završne izjave skupa.
Problemi u Aziji
U Aziji su pogođene neke bolnice, škole, sveučilišta i druge institucije, a puni razmjeri štete još nisu poznati jer je vikend. Situacija će biti jasnija u ponedjeljak.
Kineska agencija Xinhua izvijestila je da su pogođene neke srednje škole i sveučilišta, ne navodeći točno koliko i koje.
U Vijetnamu su prijavljeni deseci slučajeva, ali identitet žrtava nije objavljen. Južnokorejska agencija Yonhap izvijestila je da je pogođena sveučilišna bolnica, dok su u Indoneziji pogođene dvije bolnice.
Napad je počeo u Europi, a dok su napadači pozornost usmjerili na SAD, filteri su već identificirali novu prijetnju i označili poruke s ucjenjivačkim softverom, dodao je.
Američko Ministarstvo domovinske sigurnosti kazalo je da razmjenjuje informacije s domaćim i stranim partnerima i da je spremno pružiti tehničku potporu.
Napadnut i Sberbank
Rusko ministarstvo unutarnjih poslova i ministarstvo za izvanredne situacije objavili su u petak da su također napadnuti, kao i najveća ruska banka Sberbank, inače najveći kreditor posrnulog hrvatskog koncerna Agrokora. Ministarstvo unutarnjih poslova objavilo je da je pogođeno 1000 računala te da je virus lokaliziran.
Privatne sigurnosne tvrtke identificirale su ucjenjivački softver kao novu varijantu softvera "WannaCry" koji se može automatski raširiti po velikim mrežama koristeći poznati bug u Windowsima.
Hakeri, koji još nisu preuzeli odgovornost niti su identificirani, stvorili su tzv. crva ili malver koji se sam širi, koristeći dio koda NSA poznat pod nazivom Eternal Blue koji je prošli mjesec objavila skupina Shadow Brokers, kazali su privatni stručnjaci.
"Ovo je jedan od najvećih globalnih napada ucjenjivačkim softwareom koji je kibernetička zajednica ikad vidjela", rekao je Rich Barger, direktor za istraživanja prijetnji u Splunku, jednoj od tvrtki koja je povezala WannaCry s NSA-om.
Shadow Brokersi objavili su Eternal Blue kao dio skupine alata za hakiranje koji po njihovim tvrdnjama pripadaju NSA.
Microsoft je objavio da pušta automatske nadogradnje Windowsa kako bi zaštitio klijente od ovog napada. Zaštitu od Eternal Bluea pustio je 14. ožujka.
MUP: Kako se zaštititi od cyber napada
Hrvatsko Ministarstvo unutarnjih poslova u subotu je objavilo priopćenje o globalnom hakerskom napadu. Zasad ne navode nikakve podatke o tome tko je među mogućim žrtvama u Lijepoj našoj, ali navode upute kako se zaštititi.
U nastavku prenosimo MUP-ovo priopćenje u cijelosti.
--------------------------------------------------
Zavod za sigurnost informacijskih sustava intenzivno prati razvoj nove vrste računalne ugroze koja se tijekom petka, 12. svibnja proširila diljem svijeta, a poznata je pod nazivom Wanna Decryptor, Wannacry ili Wcry. Radi se o samoreplicirajućem računalnom virusu čija je osnovna zadaća kriptiranje podataka koji se nalaze na zaraženom računalu.
Kao način širenja Wcry iskorištava ranjivost MS17-010 te korištenjem EternalBlue/DoublePulsar alata ostvaruje pristup na ciljana računala. Također, postoji mogućnost da se u svrhu zaraze ciljanih računala odnosno informacijskih sustava koristi i phishing metoda na način da se ciljanom korisniku isporuči poruka elektroničke pošte sa zaraženim privitkom čijim se otvaranjem pokreće izvršavanje zlonamjernog koda.
Popis sustava koji su podložni ovoj vrsti napada je sljedeći:
• Microsoft Windows Vista SP2
• Windows Server 2008 SP2 i R2 SP1
• Windows 7
• Windows 8.1
• Windows RT 8.1
• Windows Server 2012 i R2
• Windows 10
• Windows Server 2016.
Preporuke za sve korisnike ranjivih sustava su sljedeće:
Provesti hitnu nadogradnju svih ranjivih sustava primjenom zakrpe za operacijski sustav s oznakom MS17-010 (KB4013389). Zbog visoke kritičnosti ranjivosti, Microsoft je izdao zakrpe i za nepodržane operacijske sustave (Windows XP SP2 i Windows Server 2003). Više informacija o zakrpi i ranjivosti prisutno je na stranicama proizvođača:
1.https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
2.https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
Ako primjena zakrpe nije moguća, onemogućiti SMBv1 protokol prateći sljedeću proceduru (ovisno o inačici operacijskog sustava):
Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8 i Windows Server 2012:
1. sc.exe config lanmanworkstation depend=bowser/mrxsmb20/nsi
2. sc.exe config mrxsmb10 start=disabled
Windows 8.1, Windows Server 2012 R2 i noviji:
1. Radne stanice: Odabir opcije Control Panel -> Programs ->Turn Windows features on or off
Poslužitelji: Odabir opcije Server Manager -> Manage -> Remove Roles and Features
2. Onemogućavanje opcije SMB1.0/CIFS File Sharing Support
3. Ponovno pokrenuti računalo
Sustave koji nemaju administrativnu podršku, mogućnost nadogradnje ili postoji eksplicitna potreba za SMB protokolom verzije 1 potrebno je ukloniti iz računalne mreže
Onemogućiti komunikaciju prema TCP mrežnim portovima 139 i 445 TCP u računalnoj mreži organizacije. Blokiranje mrežnog prometa prema spomenutim mrežnim portovima može imati štetan utjecaj na uobičajeni rad ostalih sustava u informacijskom sustavu!
Ažurirati antivirusne definicije na najnoviju inačicu.
S iznimnim oprezom pregledavati primljene poruke elektroničke pošte. Prema dostupnim informacijama, jedan od vektora zaraze je poruka elektroničke pošte koja u privitku sadržava PDF datoteku s poveznicom na kompromitiranu web stranicu ili se poveznica na kompromitiranu stranicu nalazi u samom tijelu poruke elektroničke pošte. U oba slučaja, poveznica dohvaća zlonamjernu HTA datoteku kojom počinje zaraza sustava i daljnje širenje zlonamjernog programa po računalnoj mreži.U slučaju primitka sumnjive poruke elektroničke pošte koja sadržava gornja obilježja, potrebno je obavijestiti odgovorne osobe unutar organizacije.
Osigurati postojanje sigurnosne kopije sustava (backup) koja je pohranjena na siguran način, izvan računalne mreže (offline).