Výrobci antivirových systémů postupně zveřejňují své analýzy řádění ransomwaru WannaCry. Na svém blogu se pochlubil třeba Avast, který k dnešnímu dni detekoval více než 250 tisíc útoků ve 116 zemích. Podle Avastu se jednalo o největší ransomwarový útok v historii, krátce po vypuknutí epidemie totiž jeho analytici pozorovali až 10 000 detekcí viru za hodinu.
První úder dorazil v pátek během snídaně
Avast podobně jako Eset potvrzuje, že WannaCry se Česku víceméně vyhnul širokým obloukem, firma totiž u nás detekovala pouze 560 případů. Firma nicméně zároveň varuje, že 15 % její uživatelské základny nemělo potřebné záplaty na zranitelnost MS17-010, které přitom Microsoft zveřejnil už zkraje jara a aktuálně i pro staré a už nepodporované systémy včetně Windows XP.
Detekce ransomwaru WannaCry podle Avastu. První vlna dorazila v pátek.
Ačkoliv však byly XPéčka zdaleka nejzranitelnější, díky jejich nízkému tržnímu podílu a menší aktivitě na internetu byly hlavním terčem počítače s Windows 7, jejichž majitelé nenainstalovali patřičné záplaty.
Jaké výkupné asi vybrali?
Analytici z Avastu se také pokusili vystopovat, na jaké výkupné si mohli útočníci přijít. Sledovali totiž adresy bitcoinových plateb a zjistili, že došlo nejméně ke 260 operacím, díky kterým si mohli útočníci vydělat asi 41 BTC. To po přepočtu činí zhruba 70 tisíc dolarů, což je mnohem nižší částka, než škoda, kterou ransomware skutečně napáchal.
Cíl útoku byl podle Avastu zřejmý: Hlavně Rusko
Podle Esetu bylo Česko na chvostu
Podle Esetu bylo Česko v ransomwarové kampani až na 52. příčce (0,15 %) dokonce až za Slovenskem (0,26 %). Bezmála polovina útoků podle společnosti směřovala do Ruska (45,07 %). Z dalších zemí byla podle Esetu zasažena Ukrajina (11,88 %) a Tchaj-wan (11,55 %).
1. Rusko (45,07 %)
2. Ukrajina (11,88 %)
3. Tchaj-Wan (11,55 %)
4. Filipíny (2,95 %)
5. Egypt (2,38 %)
6. Irán (2,16 %)
7. Indie (1,69 %)
8. Thajsko (1,55 %)
9. Itálie (1,19 %)
10. Turecko (1,06 %)
...
37. Slovensko (0,26 %)
52. Česká republika (0,15 %)
Kaspersky Lab: Za útokem by mohl být Lazarus
Případ čerstvě komentují také analytici z Kaspersky Lab, kteří se pokusili ověřit tvrzení inženýrů z Googlu, podle kterých vedou stopy ke skupině Lazarus, která v minulosti podnikla již hromadu velkých útoků – třeba na Sony Pictures. WannaCry má velmi podobný rukopis, i když se může jednat o zastírací manévr. V minulosti se kvůli některým IP adresám objevily hypotézy, že do operací Lazara může být zapojená Severní Korea.
Po medializaci se objevily všemožné náhražky WannaCry. Třeba tato napsaná v Javě.
Vedle skutečného WannaCry se na internetu objevily i všemožné falešné náhražky, které se snažily využít aktuální popularity a vytáhnout z nepozorných surfařů také nějaký bitcoin.
