حمله باج‌افزار واناکرای

حملهٔ باج‌افزار واناکرای (به انگلیسی: WannaCry) که یک حمله سایبری جهانی بود به نام‌های^[5]WannaCrypt یا^[6]WanaCrypt0r 2.0 نیز شناخته می‌شود، ابزاری برای اجرای حملات باج‌افزاری است. در ماه می سال ۲۰۱۷ میلادی، حمله سایبری عظیمی با استفاده از این باج‌افزار آغاز شد که بیش از ۲۳۰ هزار رایانه را در ۱۵۰ کشور جهان را آلوده ساخت و به ۲۸ زبان از قربانیان باج طلب می‌کند. حمله مذکور آن گونه که یوروپول توصیف کرده‌است، بی‌سابقه بوده‌است.^[7]

حمله باج‌افزار واناکرای

نماگرفتی از یادداشت باقی مانده باج‌افزار در یک سیستم آلوده
تاریخ	۱۲ مه ۲۰۱۷ – ۱۵ مه ۲۰۱۷ (شیوع اولیه)[1]
مدت	۴ روز
مکان	در سراسر جهان
با نام دیگر	Transformations: Wanna → Wana Cryptor → Crypt0r Cryptor → Decryptor Cryptor → Crypt → Cry Addition of "2.0" Short names: Wanna → WN → W Cry → CRY
نوع	حمله سایبری
موضوع	رمزگذاری فایل‌های باج‌افزار با تقاضای ۳۰۰ تا ۶۰۰ دلار آمریکا (از طریق بیت‌کوین)
علت	کرم واناکرای
نتیجه	۲۰۰٬۰۰ قربانی +۳۰۰٬۰۰۰ رایانه آلوده‌شده[2][3][4]
بازداشت‌شده‌ها	هیچ
مظنون(ها)	گروه لازاروس
متهم(ها)	دو شهروند کره شمالی متهم شدند
محکومیت(ها)	هیچ

واناکرای

زیرشاخه	باج‌افزار
خاستگاه	پیونگ‌یانگ، کره شمالی
نویسنده(گان)	گروه لازاروس (تأیید نشده)

این حمله سایبری، چند شرکت در اسپانیا مانند تلفونیکا و همچنین «سازمان ملی تأمین بهداشت و درمان» (NHS) بریتانیا،^[8] فدکس و دویچه بان^[9][10][11] را تحت تأثیر قرار داد. اهداف دیگر نیز در حدود ۱۵۰ کشور همزمان گزارش شده‌اند.^[12][13] بالغ بر یک هزار رایانه در وزارت کشور، وزارت بحران و شرکت مخابراتی مگافون روسیه نیز گزارشی مبنی بر آلودگی داده‌اند.^[14]

محققان امنیت سایبری مدارکی را دال بر این موضوع کشف کرده‌اند که ممکن است کره شمالی با حمله بین‌المللی واناکرای به عنوان باج افزار در ارتباط باشد. این حمله سایبری در این ماه ۳۰۰٬۰۰۰ رایانه در ۱۵۰ کشور دنیا را مبتلا کرده‌است. دولت پیونگ‌یانگ چنین ادعایی را «مسخره» خوانده‌است.^[15] هکرهای اجراکننده این باج‌افزار، در ازای دریافت رمزارز بیت‌کوین اقدام به آزادسازی فایل‌های رمزگذاری‌شده می‌نمودند که همین موضوع، ردیابی آنها را با دشواری مواجه می‌نمود.^[16]

پیش‌زمینه

باج‌افزار واناکرای از اکسپلویت اترنال بلو استفاده کرده‌است که توسط آژانس امنیت ملی ایالات متحده آمریکا برای حمله رایانه‌های دارای سیستم‌عامل مایکروسافت ویندوز نوشته شد.^[17][18] وجود اترنال بلو، نخستین‌بار توسط گروه رخنه‌گر «The Shadow Brokers» در ۸ آوریل ۲۰۱۷ مشخص شد.^[19] اترنال بلو در میان ابزارهای دیگر لو رفته از اکوئیشن گروپ در ۱۴ آوریل ۲۰۱۷ منتشر شد. مشخص شده که اکوئیشن گروپ جزئی از آژانس امنیت ملی آمریکا است.^[20][21]

اترنال بلو از آسیب‌پذیری MS17-010^[19] در پیاده‌سازی بلوک پیام سرور سوء استفاده می‌کند. مایکروسافت توصیه‌ای بحرانی به همراه یک وصله امنیتی برای رفع آسیب‌پذیری در ۱۴ مارس ۲۰۱۷ منتشر کرد.^[19] اما این وصله فقط ویندوز ویستا و سیستم‌عامل‌های پس از آن، به جز ویندوز اکس‌پی را تعمیر نمود.

هرچند وصله نرم‌افزاری MS17-010 برای حذف اساسی آسیب‌پذیری در ۱۴ مارس ۲۰۱۷ منتشر شده بود اما تأخیر در اعمال بروزرسانی‌های امنیتی، برخی کاربران و سازمان‌ها را آسیب‌پذیر باقی گذاشت.^[22] توجه شود که ویندوز ۱۰ از این حمله مصون است.^[23]

عملکرد

در تاریخ ۱۲ می ۲۰۱۷، باج‌افزار WannaCry آلوده‌سازی رایانه‌های سراسر جهان را آغاز کرد. این باج‌افزار پس از دستیابی به رایانه‌ها، درایو دیسک سخت این رایانه‌ها را رمزگذاری می‌کند^[24][25] و سپس برای سوء استفاده از آسیب‌پذیری SMB برای انتشار به صورت تصادفی در رایانه‌های متصل به اینترنت^[26] و همچنین بین رایانه‌های روی شبکه محلی تلاش می‌کند.^[27]

تأثیر

اقدامات تهاجمی این باج‌افزار بر اساس اعلام یوروپول بی‌سابقه بوده‌است. این حمله بسیاری از بیمارستان‌های خدمات بهداشتی ملی بریتانیا را تحت تأثیر قرار داده‌است. در تاریخ ۱۲ می ۲۰۱۷، برخی خدمات این سازمان از موارد اورژانسی غیر بحرانی دور شدند و چند آمبولانس به جای اشتباهی ارسال شدند. هزاران رایانه سازمان ملی تأمین بهداشت و درمان بریتانیا که همچنان از ویندوز اکس‌پی استفاده می‌کنند ۴۲ سرویس موقعیت‌یاب را اشتباه گزارش داده‌اند. شرکت خودروسازی نیسان موتورز در تاین و ور، یکی از کارخانه‌های بزرگ خودروسازی، تولید خود را پس از آلوده شدن توسط این باج‌افزار متوقف کرد. شرکت خودروسازی رنو نیز تولیدات خود را در چند کارخانه خود در تلاش برای متوقف‌سازی این باج‌افزار متوقف نمود.

نقشه کشورهای آلوده شده به باج‌افزار واناکرای^[28]

فهرستی از شرکت‌ها و موسسات آلوده شده

• «سازمان ملی تأمین بهداشت و درمان» (NHS) بریتانیا
• ایستگاه راه‌آهن در شهر فرانکفورت آلمان
• دانشگاه میلانو-بیکوکا در ایتالیا
• بانکو بیلبائو ویسکایا آرخنتاریا
• خودروسازی نیسان
• کتابخانه در عمان
• خودروسازی رنو
• مگافون روسیه
• دویچه بان
• تلفونیکا
• فدکس
• بانک سپه ایران

خنثی‌سازی

کلید قطع اضطراری

چند ساعت پس از انتشار اولیه این باج‌افزار در ۱۲ می ۲۰۱۷، یک «کلید قطع اضطراری» تصریح شده در داخل بدافزار کشف شد. این کلید امکان داد که با ثبت یک دامنه اینترنتی گسترش اولیه آلودگی متوقف شود. این کلید قطع اضطراری به یک کدنویسی اشتباه در مجموعه مجرمان تظاهر می‌نمود و انتظار می‌رفت گونه‌ها بدون این کلید قطع اضطراری ساخته شوند.

وصله امنیتی

این آسیب‌پذیری ویندوز از نوع آسیب‌پذیری حمله روز صفر نیست. اما در ۱۴ مارس ۲۰۱۷ مایکروسافت یک وصله امنیتی به نام MS17-010 را برای تمام نسخه‌هایی که مورد حمله باج‌افزار WannaCry قرار گرفته‌اند از جمله ویندوز اکس‌پی، ویندوز سرور ۲۰۰۳ و ویندوز ۸ ارائه داد.^[23]

این وصله برای پروتکل بلوک پیام سرور SMB مورد استفاده ویندوز بود. مایکروسافت همچنین توصیه می‌کند که کاربران استفاده از پروتکل قدیمی SMB1 را متوقف کرده و به جای آن از SMB3 که جدیدتر و امن‌تر است استفاده کنند. سازمان‌هایی که این وصله امنیتی را ندارند به همین دلیل آلوده شدند. هرچند تابحال مدرکی دربارهٔ حمله خاص برنامه نویسان این باج‌افزار به این سازمان‌ها وجود نداشته‌است. هر سازمانی که همچنان از ویندوز اکس‌پی که به پایان عمر رسیده‌است استفاده می‌کند در معرض خطر بسیار زیادی است.

پیشگیری

• ساده‌ترین راه جهت پیشگیری از آلوده شدن رایانه، نصب وصله امنیتی MS17-010 برای همه نسخه‌های ویندوز است.
• سیستم‌عامل و ضدویروس و رایانه خود را به‌روز نگه دارید.
• درصورت امکان از ویندوزهای ایکس‌پی، سرور ۲۰۰۰ و سرور ۳۰۰۰ استفاده نکنید.
• پورت‌های ۴۴۵/۱۳۹ و ۳۳۸۹ را روی دیوار آتش مسدود کنید.
• به‌طور منظم از فایل‌های خود، نسخه پشتیبان تهیه کنید.

پس از آلودگی

• به محض آلوده شدن، کامپیوتر خود را از شبکه خارج کنید تا از تکثیر این کِرم جلوگیری شود.
• هرگز پول باج‌خواهی شده را پرداخت نکنید زیرا احتمال بازگشت اطلاعات قفل شده حتی پس از طریق پرداخت باج تقریباً غیرممکن است.
• با توجه به شدت آلودگی، احتمالاً بهترین روش پاکسازی، نصب دوباره ویندوز است.
• تاکنون راهی برای بازیافت اطلاعات رمزگذاری شده توسط باج‌افزار پیدا نشده‌است. اما چون احتمال کد آزادسازی پرونده‌های قفل شده در آینده وجود دارد، پیش از شروع عملیات پاکسازی، از اطلاعات خود نسخه پشتیبان تهیه کنید.

واکنش‌ها

• پس از آگاهی از تأثیر این حمله سایبری بر خدمات بهداشتی ملی بریتانیا، ادوارد اسنودن گفت اگر آژانس امنیت ملی آمریکا نقص مورد استفاده برای حمله به بیمارستان‌ها را به عنوان قانون افشای مسئولانه در زمان یافتن آن و نه در هنگام از دست دادن آن در اختیار داشت، این حمله باج‌افزاری امکان داشت رخ ندهد.
• ترزا می، نخست‌وزیر بریتانیا دربارهٔ این باج‌افزار گفت این باج‌افزار فقط خدمات بهداشتی ملی بریتانیا را هدف نگرفته‌است. این یک حمله بین‌المللی است. تعدادی کشور و سازمان آلوده شده‌اند.
• مایکروسافت وصله‌های امنیتی را برای ورژن‌های جدید ویندوز از جمله ویندوز اکس‌پی، ویندوز ۸ و ویندوز سرور ۲۰۰۳ که پشتیان نمی‌شوند، ایجاد کرد.

در ایران

بر اساس آماری که سازمان فناوری اطلاعات ایران در اواخر اردیبهشت ۱۳۹۶ منتشر کرد باج‌افزار واناکرای بیش از ۲ هزار قربانی در ایران داشته که در این میان استان‌های اصفهان و تهران بیشترین تعداد قربانی را داشته‌اند.^[29]

جستارهای وابسته

• اترنال بلو
• دابل پولسار

پانویس

1. "The WannaCry ransomware attack was temporarily halted. But it's not over yet". 15 May 2017. Archived from the original on 28 October 2017. Retrieved 25 May 2017.
2. "Ransomware attack still looms in Australia as Government warns WannaCry threat not over". Australian Broadcasting Corporation. 14 May 2017. Archived from the original on 15 May 2017. Retrieved 15 May 2017.
3. Cameron, Dell (13 May 2017). "Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It". Gizmodo. Archived from the original on 9 April 2019. Retrieved 13 May 2017.
4. "Shadow Brokers threaten to release Windows 10 hacking tools". The Express Tribune. 31 May 2017. Archived from the original on 10 July 2017. Retrieved 31 May 2017.
5. https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-microsoftreleases-2. پارامتر |عنوان= یا |title= ناموجود یا خالی (کمک); پیوند خارجی در |وبگاه= وجود دارد (کمک); پارامتر |پیوند= ناموجود یا خالی (کمک)
6. https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-:0-3. پارامتر |عنوان= یا |title= ناموجود یا خالی (کمک)
7. https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-:3-4. پارامتر |عنوان= یا |title= ناموجود یا خالی (کمک); پیوند خارجی در |وبگاه= وجود دارد (کمک); پارامتر |پیوند= ناموجود یا خالی (کمک)
8. https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-5. پارامتر |عنوان= یا |title= ناموجود یا خالی (کمک)
9. https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-BBC_news-6. پارامتر |عنوان= یا |title= ناموجود یا خالی (کمک)
10. https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-7. پارامتر |عنوان= یا |title= ناموجود یا خالی (کمک)
11. https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-8. پارامتر |عنوان= یا |title= ناموجود یا خالی (کمک); پیوند خارجی در |وبگاه= وجود دارد (کمک); پارامتر |پیوند= ناموجود یا خالی (کمک)
12. https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-9. پارامتر |عنوان= یا |title= ناموجود یا خالی (کمک)
13. https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-cnn99countries-10. پارامتر |عنوان= یا |title= ناموجود یا خالی (کمک)
14. https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-:2-11. پارامتر |عنوان= یا |title= ناموجود یا خالی (کمک)
15. «http://www.reuters.com/article/us-cyber-northkorea-exclusive-idUSKCN18H020?utm_campaign=trueAnthem:+Trending+Content&utm_content=59213c2204d3016eae0b5215&utm_medium=trueAnthem&utm_source=twitter». Reuters. ۲۱ مه ۲۰۱۷. پیوند خارجی در |title= وجود دارد (کمک); پارامتر |پیوند= ناموجود یا خالی (کمک); پارامتر |تاریخ بازیابی= نیاز به وارد کردن |پیوند= دارد (کمک)
16. https://www.francetvinfo.fr/sante/affaires/cyberattaque-le-logiciel-malveillant-wannacry-met-en-difficulte-les-hopitaux-britanniques_2192065.html
17. https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-:0-3. پارامتر |عنوان= یا |title= ناموجود یا خالی (کمک)
18. https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-12. پارامتر |عنوان= یا |title= ناموجود یا خالی (کمک)
19. https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-microsoft.com-13. پارامتر |عنوان= یا |title= ناموجود یا خالی (کمک)
20. Fox-Brewster, Thomas (16 February 2015). "Equation = NSA? Researchers Uncloak Huge 'American Cyber Arsenal'". Forbes. Retrieved 24 November 2015.
21. "Latest Shadow Brokers dump – owning SWIFT Alliance Access, Cisco and Windows". Medium. 14 April 2017. Retrieved 15 April 2017.
22. https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-14. پارامتر |عنوان= یا |title= ناموجود یا خالی (کمک)
23. «#ازمابپرس؛ آیا باید نگران حمله سایبری باشم؟». بی‌بی‌سی فارسی. ۲۸ اردیبهشت ۱۳۹۶.
24. https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-:1-20. پارامتر |عنوان= یا |title= ناموجود یا خالی (کمک)
25. https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-21. پارامتر |عنوان= یا |title= ناموجود یا خالی (کمک)
26. https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-mbytes-22. پارامتر |عنوان= یا |title= ناموجود یا خالی (کمک)
27. https://en.wikipedia.org/wiki/WannaCry_ransomware_attack#cite_note-23. پارامتر |عنوان= یا |title= ناموجود یا خالی (کمک)
28. "Cyber-attack: Europol says it was unprecedented in scale". BBC. 13 May 2017.
29. «حمله سایبری جدید 'دوهزار قربانی در ایران داشته‌است'». بی‌بی‌سی فارسی. ۲۶ اردیبهشت ۱۳۹۶.

منابع

پیوند به بیرون

• دانلود وصله امنیتی MS17-010 از وبگاه مایکروسافت