Üle maailma levis reedel suur krüptolunavara laine

Foto: Andrew Hunter/Twitter

Reedese päeva jooksul laekusid erinevatest riikidest teated suuremahulistest krüptolunavara rünnakutest, mis võttis paljude asutuste arvutisüsteemid ja andmed pantvangi. Teateid rünnakute kohta tuli Portugalist, Hispaaniast, Itaaliast, Suurbritanniast, Saksamaalt, Venemaalt, Ukrainast, Taiwanist, Vietnamist, USAst, Hiinast ja mujalt. Kuigi täpsed detailid pole veel selged, on tegu ilmselt ühe lunavara-ussiga.

Eestist hetkel selle lunavara kohta ametlikke teateid pole.

Suurbritannia haigekassa pantvangis

Väga mastaapselt sai pihta Suurbritannia haigekassa süsteem, kus lunavara krüpteeris andmeid teadete järgi erinevates NHS (National Health Service) allüksustes. Kui näiteks perearst süsteemi sisse logis, teatas lunavara talle, et andmed on krüpteeritud ja nende dekrüpteerimiseks tuleb teha makse bitcoinides ligikaudu 300 dollari väärtuses. Kui kahe päeva jooksul ülekannet ei tehta, kahekordistub hind, seejärel neli päeva hiljem dekrüpteerimisvõimalus kaob.


NHS tegi reede õhtul avalduse, kus teatas, et töötajad ei pääse patsiendiandmetele ligi, samas “pole tõendeid, et patsiendiandmed oleks ohus”. Väidetavalt on lunavara löönud suuremal või vähemal määral häirinud 25 NHS regionaalse allüksuse ja lisaks ka perearstikeskuste tööd. Kiirabid on vastavalt olukorrale ümber suunatud ja patsiente hoiatatud arstiabi andmise tõrgete eest. Peaminister Theresa May esindaja sõnul hoitakse teda olukorraga kursis. Riik käsitleb lunavara lainet laiaulatusliku küberintsidendina.

“Hiiglaslik laine”

Kui Suurbritannia Fedexi arvutisüsteeme tabas lunavara nõue, on teadete kohaselt USAs Fedexis kästud kõikidel töötajatel mitte-kriitilise tähtsusega Windowsi arvutid välja lülitada.

Ühe viirusetõrje ettevõtte Avast andmetel on kõige enam on lunavara aktiveerumise kohta teateid Venemaalt, Ukrainast ja Taiwanist. Ettevõtte analüütikute hinnangul on tegu hiiglasliku lunavara leviku lainega. Kokku on kõigest see üksainus antiviiruse ettevõte saanud 57 000 teadet lunavara aktiveerumisest.

WannaCry ehk WanaCypt0r lunavaraga kõige rohkem pihta saanud riigid 12. mail. Allikas: AVG Avast

Venemaal on ühe allika teate järgi viirusepuhangu tõttu siseministeeriumi arvutivõrk osaliselt välja lülitatud. Samuti on riigis kõvasti pihta saanud suuruselt teine mobiilsideoperaator Megafon.

Saksamaal on märkas näiteks Frankfurdis ühistranspordis reisija avalikul ekraanil teadet selle kohta, et teenusepakkuja süsteemi on sama lunavara üle võtnud.

Hispaania telekomi andmed krüpteeritud

El Mundo allikate sõnul on suure Hispaania telekomi Telefonica arvutitest 85% krüpteeritud. Firma arvutite ekraanil on teade “Ooops, your files have been encrypted!”, mis sarnaneb Suurbritannias leviva lunavaraga. BBC teatel on lunavara lainega pihta saanud ka näiteks energeetika- ja taristuettevõtted Iberdrola ning Gas Natural.

WannaCry lunavara

Kuigi detaile eri riikides juhtunud intsidentide kohta veel täpselt pole, on esimeste muljete järgi tegu sama viirusega.

Hispaania küberintsidentide lahendamise üksus CN-CERT teatas, et lunavara on versioon viiruses WannaCry. Programm krüpteerib nakatunud arvutis kõik failid ja kasutab järgmiseks ära SMB protokollis olevat haavatavust, millega levib edasi samas võrgus olevatele Windowsiga arvutitele.

Microsoft väljastas küll 14. märtsil Windowsi SMB serveri turvauuenduse MS17-010, kuid WannaCry versiooni laiaulatuslik levik on tõendiks, et uuendust pole väga paljudes arvutites paigaldatud.

Pole tõendeid, et keegi teadlikult ja tahtlikult erinevaid arvuteid sihiks, kuna viirus levib automaatselt. Ühe teate järgi jõudis viirus ettevõtte sisevõrku kontorisse toodud sülearvutiga, kust see levis kulutulena kõikidesse arvutitesse, milles polnud eelnimetatud turvauuendust.

Mõned turvauurijad on juba väitnud, et tegu on algupäraselt USA luureagentuuri NSA “tööriistakastist” pärineva vahendiga. Nimelt lekitas mõni aeg tagasi end Shadow Brokeriks kutsuv grupeering hulga materjali ja infot arvutisüsteemide haavatavuste kohta, mida NSA olevat kasutanud luureoperatsioonidel. Üks neist vahenditest oligi haavatavus Windowsis, mida nüüd WannaCry lunavara ära kasutab.

Markantseks teeb praeguse puhangu siiski see, et turvauuendus selle vea vastu oli juba ligi kaks kuud saadaval.

Bitcoinid kuhjuvad kontodele

Lunavara nõue on seotud kindlate Bitcoini kontodega, kuhu on juba lunamaksed kuhjumas.

Rumeenia arvutiturbe ekspert Costin Raiu märkis, et lunavaranõue, mille viirus arvutikasutajale esitab, on näiteks nii rumeenia kui ka hispaania keeles üllatavalt täpne, kuid siiski mitte emakeelse autori poolt kirjutatud. Vigane on ka ingliskeelne lunavaranõue. Vene turvaekspertide sõnul on venekeelne tekst aga kirjutatud korrektselt.

Eestist teateid pole

Riigi infosüsteemi ameti arvutiturbe intsidentide üksus CERT-EE teatas, et reede õhtuse seisuga Eestist antud lunavara kohta teateid pole. Kui seda peaks Eestis tuvastatama, ootab CERT-EE selle kohta teateid cert@cert.ee.