WannaCry
(dosł. „chcę się płakać”; znany również jako WannaCrypt, WannaCry, WCrypt lub WCRY, WCry, WanaCrypt0r 2.0 i Wanna Decryptor) – to program złośliwego oprogramowania szantażującego, robaka sieciowego i program ransomware, który wymaga pieniędzy, infekując tylko komputery z systemem operacyjnym Microsoft Windows, który wykorzystuje luki w zabezpieczeniach systemu Windows i po zainfekowaniu dziurawej maszyny szyfruje na niej dane w celu zablokowania dostępu do nich. Korzysta z protokołu SMBv1, ułatwiającego komunikację między komputerami a drukarkami i innymi urządzeniami w sieci.
Eksperci zauważyli, że program ransomware WannaCry zachowuje się jak robak: szerzy się w sieciach, próbując dostać się do komputera, na którym docelowo szyfruje pliki, korzysta z dwóch metod ataku znalezionych w kodzie, który wyciekł z Amerykańskiej Agencji Bezpieczeństwa Narodowego (National Security Agency, NSA) (EternalBlue i DoublePulsar). Kiedy pliki są już zaszyfrowane, użytkownik otrzymuje komunikat ostrzegawczy. Nie ma już w tym momencie dostępu do plików, a bywa, że nie może się nawet zalogować na komputerze. Program żąda zapłacenia w ciągu 3 dni okupu w walucie bitcoin o równowartości 600 dolarów. Po upływie tego terminu kwota okupu zostaje podwojona. W przypadku braku zapłaty okupu w ciągu 7 dni od momentu infekcji możliwość odszyfrowania plików zostanie utracona na zawsze.
Robak rozmnażał się za pośrednictwem EternalBlue, exploita NSA dla starszych systemów Windows. EternalBlue został skradziony i wyciekł przez grupę The Shadow Brokers na kilka miesięcy przed atakiem.
Pierwsza wersja WannaCry pojawiła się 16 stycznia 2017 r., a masowe jej rozpowszechnienie rozpoczęło się 12 maja 2017 r. – komputery zostały po raz pierwszy zaatakowane w Hiszpanii, a następnie w innych krajach. Największa liczbę zakażeń odnotowano w Rosji, Chinach, Ukrainie, Indii, Tajwanu i Brazylii. W krótkim czasie od robaka ucierpiało ponad 300 tys. komputerów w ponad 150 krajach, a całkowite szkody sięgają od setek milionów, a nawet miliardów dolarów. Przestępcy żądali zapłaty w 28 językach.
Robak WannaCry atakował zarówno użytkowników indywidualnych, jak i organizacje rządowe, szpitale, banki, uczelnie, przedsiębiorstwa kolejowe, gazownie, elektrownie, firmy z branży technicznej, dostawców usług telekomunikacyjnych i dziesiątki innych firm i instytucji publicznych. Wśród ofiar ataku znalazły się publiczny brytyjski system służby zdrowia, Deutsche Bahn, hiszpańska firma Telefónica, FedEx, Hitachi i Renault. W wielu brytyjskich szpitalach konieczne stało się odwołanie przeprowadzenia zaplanowanych procedur medycznych, badań i pilnych operacji. W sierpniu 2018 r. nowy wariant oprogramowania WannaCry wymusił na firmie Taiwan Semiconductor Manufacturing Company (TSMC) tymczasowe zamknięcie kilku fabryk produkujących chipy. Wirus rozprzestrzenił się na 10 tys. maszyn w najbardziej zaawansowanych obiektach TSMC.
W grudniu 2017 r. Stany Zjednoczone, Wielka Brytania i Australia formalnie zapewniły, że za atakiem stoi północnokoreańska grupa Lazarus. W 2014 r. hakerzy – znani z tego, że używali w swoich działaniach waluty bitcoin – usunęli ponad terabajt danych z bazy danych firmy Sony Pictures. W 2015 r. utworzyli także złośliwy backdoor, a w 2016 r. byli zaangażowani w cyberatak na bank centralny Bangladeszu, z którego skradziono 81 mln dolarów.
Całkowity koszt ataków WannaCry szacuje się na ponad 1 mld dolarów. Według danych Europolu był to największy atak tego rodzaju w ostatnim czasie.
Wkrótce po WannaCry doszło do destrukcyjnego ataku szkodliwego oprogramowania typu wiper (rodzaj cyberataku, który całkowicie wymazuje komputery, niszcząc rekordy z docelowych systemów bez zbierania okupu) znanego jako NotPetya/Petya. Ta krótka, ale na dużą skalę epidemia, potencjalnie powiązana z podmiotem państwowym, wpłynęła na wiele organizacji na całym świecie.
Critical Alert Wannacry. WannaCrypt Ransomware 1 Indian Computer Emergency Response Team (CERT-In) Ministry of Electronics and Information Technology Government of India, https://www.cyberswachhtakendra.gov.in/ documents/WannacryWannaCryptRansomware_CRITICAL_ALERT_CERT-In.pdf [dostęp: 23.04.2019]; T. Domański, WannaCry sieje takie spustoszenie, że Microsoft wypuścił aktualizację nawet dla starego Windowsa, https://www.spidersweb.pl/2017/05/wannacry-ransomware.html [dostęp: 23.04.2019]; A. Koujalagi, S. Patil, P. Akkimaradi, The Wannacry Ransomeware, A Mega Cyber Attack And Their Consequences On The Modern India, „International Journal of Management Information Technology and Engineering (BEST: IJMITE)” 2018, vol. 6, is. 4; Report by the Comptroller and Auditor General, Department of Health Investigation: WannaCry cyber attack and the NHS. SESSION 2017–2019, 25 APRIL 2018, https://www.nao.org.uk/wp-content/uploads/2017/10/Investigation-WannaCry-cyber-attack-and-the-NHS.pdf [dostęp: 23.04.2019]; “WannaCry” ransomware attack. Technical intelligence analysis. May 2017, https://www.ey.com/Publication/vwLUAssets/ey-wannacry-ransomware-attack/$File/ey-wannacry-ransomware-attack.pdf [dostęp: 23.04.2019]; WannaCry Ransomware Compiled by ThaiCERT, a member of the Electronic Transactions Development Agency. Version 1.0 (15 May 2017), https://www.nksc.lt/doc/ENISA-WannaCry-v1.0.pdf [dostęp: 23.04.2019]; What is WannaCry/Wanacrypt0r?, https://ics-cert.us-cert.gov/sites/default/files/FactSheets/ NCCIC%20ICS_FactSheet_WannaCry_Ransomware_S508C.pdf [dostęp: 23.04.2019]; #WannaCry Report Panda Security, May, 22.05.2017 Confidential Information, https://www.pandasecurity.com/mediacenter/src/uploads/2017/05/1705-Informe_ WannaCry-v160-en.pdf [dostęp: 23.04.2019].