Trojan WannaCry na wszystkich ekranach

Pojawienie się trojana WannaCry, będącego programem ransomware, sprawiło kłopoty firmom działającym w wielu obszarach. Najbardziej ucierpiały przedsiębiorstwa, które zawierają w swojej infrastrukturze systemy osadzone.

Teoretycznie systemy osadzone nie są interesującym celem dla autorów programów z rodziny ransomware — zapłacenie okupu za dostęp do systemu, który ma zastosowanie czysto praktyczne, nie zawiera żadnych cennych danych, a jego dysk twardy i tak jest co jakiś czas formatowany, jest dosyć wątpliwe. Lecz WannaCry nie wybiera swoich celów. Charakterystyczna natura wykorzystywanych przez niego luk umożliwiła mu rozprzestrzenianie się w sieciach lokalnych i zainfekowanie wszystkich maszyn, które nie były załatane i zabezpieczone.

Nie wiadomo skąd

Nie można powiedzieć, że ta plaga otworzyła nam oczy: problem niewystarczającego bezpieczeństwa systemów osadzonych nie jest nowy i od dawna wiadomo, że są one gorzej chronione (jeśli w ogóle) niż stacje robocze i serwery. A trojan WannaCry unaocznił to dosyć brutalnie.

Gdy mowa o systemie osadzonym, na myśl przychodzą bankomaty i terminale usługowe. Część z nich rzeczywiście została zainfekowana, mimo że była na nich zainstalowana ochrona — ze względu na przepisy, a także postrzeganie ich jako urządzeń podatnych na zagrożenia. Większym wyzwaniem była infekcja paneli informacyjnych, wyposażenia medycznego czy automatów sprzedażowych.

Właściciele zainfekowanych systemów osadzonych wcale nie czują się lepiej, wiedząc, że nie zapłacili okupu przestępcom — nadal ponoszą koszty ataku.

• Niedziałające automaty sprzedażowe, bankomaty i kioski biletowe oznaczają mniejsze wpływy finansowe.
• Informacja o okupie wyświetlana na ekranach umieszczonych w miejscach publicznych sugeruje klientom, że firma nie dba wystarczająco o dobrą ochronę. Trudno jest oszacować szkody wyrządzone na reputacji firmy przez taką sytuację. Czy klient, który zobaczy taką informację, skorzysta ponownie z usług?
• Zainfekowane terminale wymagają naprawy. Jeśli używasz setek terminali, trudno zliczyć kwotę, jaką należy wydać, zwłaszcza biorąc pod uwagę ich geograficzne rozproszenie oraz pilność przeinstalowania systemów operacyjnych i dokonania zmian w ustawieniach bezpieczeństwa. Ponadto niektóre urządzenia mogą korzystać z przestarzałego oprogramowania, którego reinstalacja może być nie lada wyzwaniem, o ile w ogóle będzie możliwa.

Nietypowe wiadomości na ekranach nie umknęły uwadze sieciom społecznościowym.

Jak rozwiązać ten problem

Dlaczego systemom osadzonym brakuje ochrony? Powody są dwa. Po pierwsze, do chwili obecnej ich zabezpieczenia były często pomijane. Po drugie, zwykle korzystają one ze starego sprzętu i używają kanałów internetowych o niskiej przepustowości, a także przestarzałych systemów operacyjnych. Są one zbyt proste, aby można było zainstalować na nich programy zabezpieczające.

Trzeba przyznać, że WannaCry przysłużył się światu, piętnując pierwszy problem. Prawdą jest, że ochrona systemów osadzonych przy użyciu tradycyjnych programów zabezpieczających przed szkodliwymi programami nie jest zbyt skuteczna. Dlatego utworzyliśmy Kaspersky Embedded Systems Security odpowiedni dla szerokiej gamy systemów osadzonych. Potrzebuje on mniej zasobów niż produkty na komputery stacjonarne, a mimo to zapobiega infekcji, wykorzystując wiele funkcji zabezpieczających stosowanych w przypadku komputerów stacjonarnych.

W przypadku ataku szyfrującego szkodliwego programu (takiego jak WannaCry) rozwiązanie to działa następująco:

• Tryb odmowy domyślnej jest najważniejszą technologią wykorzystywaną przez nasz produkt. Uniemożliwia on wykonanie dowolnego kodu, w tym skryptów, jeśli nie znajdują się one na białej liście. W takiej sytuacji nawet gdy szyfrujący szkodliwy program zdoła przedostać się do systemu, na przykład poprzez ukrycie się w legalnym pakiecie oprogramowania, nie będzie można go wykonać.
• Komponent odpowiedzialny za ochronę pamięci analizuje integralność procesów w pamięci i zapobiega próbom wykorzystania zarówno znanych, jak i nowych luk.
• Kaspersky Embedded Systems Security zawiera zaporę sieciową sterowaną z jednego miejsca, która umożliwia szybkie wyłączenie portu wykorzystywanego przez lukę po jej wykryciu.
• Możliwości naszego produktu zwiększa technologia kontrolująca urządzenia USB po ich podłączeniu. Zapobiega to infekcji przy użyciu niezaufanych urządzeń USB, na przykład przed incydentami podczas prac konserwacyjnych.
• Opcjonalny moduł zabezpieczający przed szkodliwymi programami czyści system ze wszelkich zainfekowanych plików.

Według naszych danych wszystkie urządzenia chronione przez Kaspersky Embedded Systems Security oparły się pladze trojana WannaCry. Rozwiązanie to chroni aktualnie setki tysięcy systemów osadzonych na całym świecie, można zatem powiedzieć, że przeszło ono poważny test w rzeczywistych warunkach. Jeśli w infrastrukturze sieciowej znajdują się systemy osadzone z Windows Embedded, szczerze polecamy wypróbowanie naszego rozwiązania.