5.6.17

Teorije o WannaCrypt napadu

Nakon nepunih mjesec dana od pojave malicioznog programa WannaCrypt došlo je vrijeme za rezimiranje viđenoga.

WannaCrypt nije bio pucanj iz praznog pištolja, mnoge tvrtke su ga osjetile na vlastitoj koži. Uzmimo u obzir i da su informatičari u brojnim tvrtkama potrošili najmanje vikend za krpanje Windows zakrpi na svojim računalima, tako da su troškovi savjesnim organizacijama ipak bili podnošljivi. U prošlom zapisu sam najavio da je onaj udarni vikend bio tek prvo poluvrijeme a većina nas se pribojavala ponedjeljka i onog što slijedi nakon tog ponedjeljka.

Ipak, događaji koji su uslijedili su, srećom, demantirali pesimiste među nama. Ključnu ulogu je odigralo ne toliko hitno krpanje sustava koliko misteriozno ugrađen “kill switch” u programskom kodu WannaCrypt-a koji je spriječio njegovo širenje. Strah i iščekivanje su nakon toga zamijenile teorije o porijeklu WannaCrypt-a i stvarnim motivima njegovih autora.

Je li se zaista radilo o amaterski i brzopleto napisanom programu koji je propustio predvidjeti vlastiti bug? Je li moguće da tako kataklizmičan program zarađuje tek 130.000 USD u nepunih mjesec dana (iznos na dan pisanja ovog teksta).

Vjerujem da ste čuli teorije o sjeverno-korejskom porijeklu, no meni je zanimljiva i teorija koju je iznio Joseph Carson, stručnjak iz tvrtke Thycotic. On smatra da je WannaCrypt zapravo manipulacija vrijednošću valute Bitcoin koja rezultira nečime što najbliže možemo usporediti s insiderskom trgovinom. Naime, prema postojećim ekonomskim teorijama, vrijednost Bitcoina se povećava proporcionalno s kvadratom broja korisnika, slijedeći zakonitosti koje općenito vrijede za telekomunikacijske mreže.

Što se dogodilo? Pojavom WannaCrypt-a, porastao je  broj osoba koje se otvorili vlastiti digitalni novčanik, što je rezultiralo i porastom vrijednosti Bitcoin-a (tečaj Bitcoina je 1.5.2017. iznosio 1.379 USD,  a nakon manjih fluktuacija oko 12.5.2017. (dana pojave WannyCrypt-a), na dan 20.5.2017. tečaj je iznosio 2.158 USD).  Prema iznesenom scenariju, kriminalci su se prethodno opskrbili dovoljnom količinom Bitcoina koju su prodavali u tjednu nakon njegove pojave, kreirajući tipičnu “pump and dump” shemu.

No, ovo nije jedina veza između ranjivosti EthernalBlue i kripto valuta. Desetak dana prije WannaCrypt-a pojavio se malware koji iskorištava iste NSA ranjivosti (EthernalBlue/DoublePulsar) da bi instalirao softver Adylkuzz koji na računalu korisnika prikriveno rudari kriptovalutu Monero. Dakle, ovaj malware nije destruktivan kao WannaCrypt, a za napadače ostvaruje jednako značajnu dobit. Dapače, tamo gdje se pojavio napravio je promjene na sustavu i spriječio prodor WannaCrypta. Gledajući sa strane korisnika to je bio možda i dobar deal: dajete nešto performansi i procesorskog vremena napadačima a zauzvrat ste zaštićeni od WannyCrypta.

Očigledno, ovi događaji reflektiraju promjene u razmišljanju cyber-kriminalaca i ponovo nas uče da treba očekivati neočekivano, a pravo pitanje zapravo ostaje zbog čega je EthernalBlue ranjivost ostala prikrivena nekoliko godina?