WannaCry ransomware hücumu 2017-ci ilin may ayında WannaCry ransomware kriptovalyutası tərəfindən dünya miqyasında həyata keçirilən kiberhücum idi və bu, Microsoft Windows əməliyyat sistemi ilə işləyən kompüterləri hədəf alaraq, məlumatları şifrələmək və Bitcoin kriptovalyutasında fidyə ödənişləri tələb etməkdir. Windows sistemləri üçün Birləşmiş Ştatların Milli Təhlükəsizlik Agentliyi (NSA) tərəfindən hazırlanmış EternalBlue istismarından istifadə etməklə yayıldı.[1] EternalBlue hücumdan bir ay əvvəl The Shadow Brokers adlı qrup tərəfindən oğurlanıb və sızdırılıb. Microsoft isə əvvəllər istismarı bağlamaq üçün yamaqlar buraxmışdı, WannaCry-nin yayılmasının çox hissəsi bunları tətbiq etməyən və ya istifadə müddəti bitmiş köhnə Windows sistemlərindən istifadə edən təşkilatlardan idi. Bu yamalar təşkilatların kibertəhlükəsizliyi üçün vacib idi, lakin bir çoxları əhəmiyyətini bilmədiyi üçün tətbiq edilmədi. Bəziləri 24/7 işləməyə ehtiyac olduğunu, yamaqların dəyişdirilməsi, personalın və ya onları quraşdırmaq üçün vaxtın olmaması və ya digər səbəblərə görə əvvəllər işləyən proqramların sıradan çıxması riskindən çəkindiklərini iddia etdi.
WannaCry | |
---|---|
Tarix | 12 may 2008 |
Başlama tarixi | 12 may 2017 |
Vikianbarda əlaqəli mediafayllar |
Hücum 12 may 2017-ci il saat 07:44 UTC-də başladı və bir neçə saat sonra Marcus Hutchins tərəfindən aşkar edilmiş öldürmə açarının qeydiyyatı ilə 15:03 UTC-də dayandırıldı.[2] Öldürmə açarı artıq yoluxmuş kompüterlərin şifrələnməsinin və ya WannaCry-nin daha da yayılmasının qarşısını aldı. Hücumun 150 ölkədə 300.000-dən çox[3] kompüterə təsir etdiyi təxmin edilirdi, ümumi ziyan yüz milyonlarla milyardlarla dollar arasında dəyişir. Təhlükəsizlik mütəxəssisləri qurdun ilkin qiymətləndirilməsi nəticəsində hücumun Şimali Koreyadan və ya ölkə üçün işləyən qurumlardan törədildiyinə inanıblar.
2017-ci ilin dekabrında Birləşmiş Ştatlar və Böyük Britaniya hücumun arxasında Şimali Koreyanın olduğunu rəsmən bəyan ediblər.[4]
WannaCry-nin yeni variantı Tayvan Yarımkeçirici İstehsalat Şirkətini (TSMC) 2018-ci ilin avqust ayında bir neçə çip istehsalı fabrikini müvəqqəti olaraq bağlamağa məcbur etdi. Virus TSMC-nin ən qabaqcıl qurğularında olan 10.000 maşına yayıldı.[5]
WannaCry, məlumatları şifrələmək (kilidləmək) və Bitcoin kriptovalyutasında ödənişləri tələb etməklə Microsoft Windows əməliyyat sistemi ilə işləyən kompüterləri hədəf alan ransomware kriptovalyutasıdır. Qurd WannaCrypt,[6] Wana Decrypt0r 2.0,[7] WanaCrypt0r 2.0,[8] və Wanna Decryptor[9] kimi də tanınır. Şəbəkə qurdu hesab olunur, çünki o, özünü avtomatik yaymaq üçün nəqliyyat mexanizmini də ehtiva edir. Bu nəqliyyat kodu həssas sistemləri skan edir, sonra giriş əldə etmək üçün EternalBlue istismarından və DoublePulsardan istifadə edir. özünün surətini quraşdırmaq və icra etmək üçün alət. WannaCry versiyaları 0, 1 və 2 Microsoft Visual C++ 6.0 istifadə edərək yaradılmışdır.[10]
EternalBlue Microsoft-un The Shadow Brokers tərəfindən buraxılmış Server Mesaj Bloku (SMB) protokolunun tətbiqinin istismarıdır. Tədbir ətrafında diqqət və şərhlərin çoxu ABŞ-nin Milli Təhlükəsizlik Agentliyinin (MSA) (istismarın oğurlandığı ehtimal edilən) artıq zəifliyi aşkarlamış, lakin ondan öz hücum işi üçün istismar yaratmaq üçün istifadə etməsinə səbəb olmuşdur, Microsoft-a bildirmək əvəzinə. Microsoft nəhayət zəifliyi aşkar etdi və 14 mart 2017-ci il çərşənbə axşamı onlar qüsuru təfərrüatlandıran və yamaqların olduğunu elan edən MS17-010 təhlükəsizlik bülleteni buraxdılar.[11][12] Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 və Windows Server 2016 olan o dövrdə hazırda dəstəklənən bütün Windows versiyaları üçün buraxılmışdı.[13]
Hücum 12 May 2017-ci il,[14][15] cümə günü, UTC vaxtı ilə 07:44-də Asiyada ilkin infeksiyaya işarə edən dəlillərlə başladı.[14][16] İlkin yoluxma, ehtimal ki, ilkin ehtimal edildiyi kimi e-poçt fişinqi deyil, açıq həssas SMB portu vasitəsilə olmuşdur. Bir gün ərzində kodun 150-dən çox ölkədə 230.000-dən çox kompüteri yoluxdurduğu bildirildi.[17][18]
Mart ayından Microsoft-un təhlükəsizlik yeniləməsini quraşdırmayan təşkilatlar hücumdan təsirləndi. Windows XP və Windows Server 2003 kimi hələ də dəstəklənməyən Microsoft Windows versiyaları ilə işləyənlər xüsusilə yüksək risk altında idilər, çünki 2014-cü ilin may ayından Windows XP və 2015-ci ilin iyul ayından Windows Server üçün heç bir təhlükəsizlik yaması buraxılmayıb. Bir Kaspersky Laboratoriyası araşdırması bildirmişdir ki, təsirə məruz qalan kompüterlərin 0,1 faizindən az hissəsi Windows XP ilə işləyir və təsirə məruz qalan kompüterlərin 98 faizi Windows 7 ilə işləyir. Nəzarət olunan sınaq mühitində Kryptos Logic kibertəhlükəsizlik firması müəyyən etdi ki, Windows XP sistemini WannaCry ilə yoluxdura bilməyib, çünki faydalı yük yüklənməyib və ya faylları həqiqətən icra etmək və şifrələmək əvəzinə əməliyyat sisteminin çökməsinə səbəb olub. Bununla belə, əl ilə icra edildikdə, WannaCry hələ də Windows XP-də işləyə bilər.[19][20][21]
Ransomware kampaniyası 150 ölkədə 200.000-ə yaxın kompüterin yoluxduğunu təxmin edən Europol-a görə misli görünməmiş miqyasda idi. Kaspersky Laboratoriyasının məlumatına görə, ən çox təsirlənən dörd ölkə Rusiya, Ukrayna, Hindistan və Tayvan olub.[22]
Hücumun vurduğu ən böyük agentliklərdən biri İngiltərə və Şotlandiyadakı Milli Səhiyyə Xidməti xəstəxanaları və 70.000-ə qədər cihaz, o cümlədən kompüterlər, MRT skanerləri, qan saxlama soyuducuları və teatr avadanlığı təsirlənmiş sayıla bilər. 12 Mayda bəzi NHS xidmətləri kritik olmayan fövqəladə halları geri çevirməli oldu və bəzi təcili yardım maşınları yönləndirildi. 2016-cı ildə İngiltərədəki 42 ayrı NHS trastında minlərlə kompüterin hələ də Windows XP ilə işlədiyi bildirildi. 2018-ci ildə Parlament üzvlərinin hesabatı belə nəticəyə gəldi ki, WannaCry hücumundan sonra yoxlanılan 200 NHS xəstəxanası və ya digər təşkilatlar hələ də kibertəhlükəsizlik yoxlamalarından keçə bilmir. Uels və Şimali İrlandiyadakı NHS xəstəxanaları hücumdan təsirlənmədi.[23][24]