S prvními myšlenkami o sebereplikujícím se kódu přišel už matematik John von Neumann v době, kdy navrhoval obecné počítačové principy. První experimentální viry a červy se objevily v 70. a 80. letech, ale teprve s rozšířením PC se z nich stala reálná hrozba.

S příchodem internetu se prohloubila o trójské koně, které přinášely spyware, ransomware, kradly hesla, ničily data a poté, co je tajné služby weaponizovaly, se staly nástrojem regulérní kyberválky. V roce 2010 ji předvedl Stuxnet a nová hrozba WannaCrypt je svým způsobem jeho duchovním dítětem.

Nebezpečnost WannaCryptu vychází z kombinace několika faktorů: vlastností a výkonu moderních procesorů, které hardwarově akcelerují kryptografii standardu AES, úniku hackerských nástrojů vyvinutých americkou NSA a pozdně provedeným updatem patchů, které opravovaly slabinu, jenž WannaCrypt používá.

Nejagresivnější útok všech dob. Ne však na dlouho...

WannaCrypt využil kyberzbraně vyvinuté NSA, jde o nástroje EternalBlue a Double Pulsar, určené k pronikání do cílových systémů. Nástroje využívaly slabiny, o kterých Microsoft nevěděl a které opravil teprve poté, co došlo ke krádeži hackerských nástrojů a celá věc se dostala na veřejnost.

Hackerská skupina Shadow Brokers, která je pravděpodobně ukradla, se nástroje NSA pokusila prodat v aukci a když se nenašel zájemce, tak je prostě publikovala a umožnila tak hackerům v podstatě vytvořit WannaCrypt.

WannaCrypt patří do kategorie kryptografického ransomware, využívá tedy kryptografii k tomu, aby znepřístupnil vaše vlastní soubory. Typická infekce probíhá tak, že systém napadne v podobě přílohy, nainstaluje se, začne se šířit po síti chybou ve starší implementaci protokolu pro sdílení souborů Samba – a všude, kam se dostane, začne kódovat uživatelské dokumenty, fotky, videa a podobně.

V okamžiku, kdy je zakódováno, představí uživateli "nabídku, kterou nelze odmítnout": Nabídne opětovné odemknutí souborů za 300 dolarů v bitcoinech. Pokud uživatel nezaplatí, za tři dny se zvýší výpalné na 600 dolarů. Experti ovšem platit nedoporučují jednak proto, že není garance odemčení dat, a také proto, že placení zvyšuje pravděpodobnost dalších podobných útoků.

První vlna WannaCryptu, která udeřila v pátek 12. května, byla zastavena díky dvaadvacetiletému bezpečnostnímu specialistovi Marcusovi Hutchinsovi, který zjistil, že ransomware testuje existenci domény iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com sloužící jako bezpečnostní pojistka, která měla zastavit šíření ransomware.

Nevybíraví kyberzločinci

Než se podařilo šíření zastavit, došlo k infikování 230 000 systémů ve 150 zemích, včetně telekomunikací, zdravotnických, logistických a dalších kritických systémů. Mezi napadenými organizacemi najdeme Hitachi, anglickou NHS (National Health Service), německou O2, rumunskou automobilku Dacia, ale také Fakultní nemocnici ve slovenské Nitře.

Útok byl veden velmi nevybíravě a je docela děsivé, že se podle všeho cíleně zaměřoval na zdravotnické systémy, u kterých předpokládal nízkou míru zabezpečení a přitom vysokou hodnotu uložených dat. Pro normální kyberútok jde přitom o cíle relativně bezcenné.

Jakmile byla první vlna ransomware zastavena, jeho tvůrci se rychle rozhodli připravit další verzi, která na bezpečnostní pojistku nereagovala. Druhá vlna měla nakonec menší dopad než se čekalo, přesto postihla řadu systémů po celém světě včetně Ruska a Číny.

V té době se už infekcí zabývala řada specialistů, kteří přišli na způsoby, jak WannaCry detekovat a v některých případech provést i extrakci klíčů z paměti, pokud nebyl systém restartován. V podstatě se dá říct, že zastavení první vlny poskytlo kriticky nutný čas k tomu, aby si administrátoři uvědomili, že musí systémy záplatovat a dal čas bezpečnostním expertům pro vývoj nástroje na detekci a odstranění ransomware.

Už delší dobu se hovořilo o tom, že primárním cílem byly nepodporované Windows XP, ale statistiky ukazují, že ve finále byl počet takto napadených systémů zanedbatelný, většinou byly postiženy Windows 7. Po hromadném patchování počítačů se rychlost šíření infekce podařilo minimalizovat a zdá se, že momentálně je riziko napadení poměrně malé.

Další útoky? Určitě přijdou

Problém je, že s pomocí pokročilých technik dokonce i konvenční hackerské útoky začínají mít rysy kyberválky. Nový malware EternalRocks, který také využívá průnikové techniky NSA, se po instalaci přejmenuje na WannaCrypt, aby zmátl bezpečnostní experty, kteří se ho pokusí odstranit.

Podle všeho nejde ani zdaleka o poslední případ, další podobné můžeme očekávat. Podle všeho má skupina Shadow Brokers podstatně větší počet dosud neuvolněných hackerských nástrojů NSA. Můžeme tedy v budoucnu očekávat další balík podobného ransomware.

Celá kauza ukazuje, že vývoj kyberzbraní založených na utajených slabinách je rizikový i u etablovaných tajných služeb. Ty se snaží nejen hledat exploity, ale nejenže je neoznamují výrobci, ale jsou motivovány je dlouhodobě udržovat aktivní.

Další problém je v tom, že se uživatelé i správci systémů nesnaží updatovat systémy včas, což částečně souvisí s tím, že řada updatů nepřináší jen bezpečnostní patche, ale také změny, které můžou způsobovat potíže s existujícím softwarem.

Odkládání patchů pak přispívá ke zvyšování rizika útoku. A nakonec tu máme nikdy nekončící problém s lidským faktorem – chybějící nebo špatně řešené zálohování, otevírání čehokoliv, co přijde emailem a tak dále.

Navíc jde o fantastickou munici pro politiky, kteří chtějí zakázat kryptografii a kryptoměny. V Británii se tyto nápady objevují pravidelně a probublávají i na kontinent, kde si i technicky nevzdělaní politici všimli, že ransomware je založen na kryptografii a výpalné se má platit přes kryptoměny.

Vysvětlovat jim, že zákaz kryptografie znamená efektivní ukončení počítačového věku je, zdá se, nikdy nekončící práce. Spíše by se měli soustředit na to, aby tajné služby hlídaly svůj kybernetický arzenál a nenechaly si ho krást. To ale je, podle všeho, rovněž jen iluze. V podstatě nám tak nezbývá než spoléhat na bezpečnostní experty, kteří snad zastaví příští podobné útoky včas.