Wymuszenie okupu na skalę globalną – przestępcy mają coraz łatwiejszy dostęp do niebezpiecznych narzędzi.

W piątek masowa kampania ransomware (oprogramowanie złośliwe, które szyfruje dyski i blokuje dostęp do przechowywanych na nich danych w celu wymuszenia okupu) sparaliżowała jednego z największych operatorów telekomunikacyjnych Hiszpanii, firmę Telefonika. Komputery co najmniej kilkudziesięciu pracowników zostały zablokowane, a pracownicy zobaczyli żądanie zapłaty kilkuset dolarów w celu odzyskania dostępu do komputerów.

Co ciekawe, w wyniku tego ataku, ewakuowano pracowników z budynku siedziby firmy w Madrycie. Jednocześnie media hiszpańskie przekazały informację o prawdopodobnych infekcjach tym samym oprogramowaniem banków BBVA, Santander oraz firm Vodafone i Iberdrola. Informacje te potwierdziła również dedykowana komórka ds. cyberbezpieczeństwa i kryptologii (Centro Criptológico Nacional) wywiadu hiszpańskiego (Centro Nacional de Inteligencia – CNI).

Marcin Ludwiszewski, Dyrektor, lider obszaru cyberbezpieczeństwa w Deloitte

Kilka godzin później o skutkach ataku ransomware na służbę zdrowia (w tym szpitale) w Wielkiej Brytanii poinformowała sama premier Wielkiej Brytanii – Teresa May. W mediach społecznościowych pojawiły się również informacje o ransomware w innych krajach, w tym z zdjęcia podróżnych kolei niemieckiej (Detusche Bahn), na których pokazał się ekran ransomware z treścią żądania okupu.

To chyba pierwszy tak masowy i skuteczny atak ransomware (niektóre z wstępnych szacunków podają kilkadziesiąt tysięcy komputerów w kilkunastu krajach). Można mówić o incydencie o skali światowej. Prawdopodobnie oprogramowanie wykorzystuje elementy z narzędzi amerykańskiej agencji – National Security Agency, które jakiś czas temu ujawniła w sieci grupa Shadow Brokers. Nie potwierdzono, które z podatności wykorzystuje ransomware. Nie wiadomo też, kto jest twórcą oprogramowania, czy atak był celowy czy raczej, stanowi skutek uboczny innych działań. Sprawa jest rozwojowa, dlatego też dokładne skutki i zasięg incydentu poznamy w ciągu kilku następnych dni.

Niektóre instytucje i firmy Polsce zaczęły już zmagania z opisywanym oprogramowaniem złośliwym. Ransmoware nie wybiera, dlatego może atakować pojedynczych użytkowników jak i duże firmy. Te z nich, które nie monitorują na bieżąco bezpieczeństwa swojej infrastruktury sieciowej, prawdopodobnie przekonają się o tym w poniedziałek rano.

Autor komentarza:

Marcin Ludwiszewski, Dyrektor, lider obszaru cyberbezpieczeństwa w Deloitte