Octavian Palade
Despre atacul cibernetic WannaCry am tot scris zilele acestea, dar acum avem și o informare oficială din partea Centrului Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO). Am extras din articolul de pe site-ul CERT.RO numai datele referitoare la situația din România, iar materialul întreg poate fi găsit aici.
Astfel, aflăm că "încă din după amiaza zilei de Vineri 12 mai 2017, când s-au înregistrat primele semne ale fenomenului la nivel mondial, CERT-RO a constituit o echipă de monitorizare a evoluției campaniei WannaCry la nivel național".
Reprezentanții CERT-RO menționează că nu se poate realiza o evaluare exactă a numărului de organizații și utilizatori casnici afectați de WannaCry în România, doarece nu există o legislație națională "care să prevadă obligativitatea raportării incidentelor de securitate cibernetică”.
326 victime WannaCry în România
Pentru a putea face o estimare, experții în securitate informatică au colectat și procesat o serie de informații relevante pentru atacul cibernetic WannaCry din surse precum: jurnalele (log-urile) conexiunilor realizate de sistemele informatice exploatate cu serverele de tip sinkhole constituite de organizații partenere și cercetători (în special cele furnizate de MalwareTech, cercetătorul care a reușit să blocheze propagarea infecției); notificările primite de la organizații și utilizatori afectați din România; informațiile furnizate de organizațiile partenere ale CERT-RO, atât de la nivel național cât și internațional; informațiile colectate din diferite surse deschise.
În urma analizezi log-urilor furnizate de MalwareTech, CERT-RO a descoperit că aproximativ 326 de adrese IP publice din România au realizat conexiuni către site-ul web utilizat în mecanismul de „kill switch” al WannaCry. Asta înseamnă că toate cele 326 de sisteme din spatele IP-urilor au fost afectate, dar nu se știe câte dintre ele au fost criptate (având în vedere că s-au conectat la domeniul cu rol de „kill switch”, este foarte probabil ca majoritatea să nu fi fost criptate).
Mai mult, există posibilitatea ca în spatele celor 326 de adrese IP publice să se regăsească mai multe sisteme informatice exploatate (datorită mecanismului NAT – Network Address Translation care dă posibilitatea ca o întreagă rețea de PC-uri să comunice în internet printr-un singur IP public).
"Până în prezent CERT-RO a primit un număr de 3 notificări de incidente datorate WannaCry: două de la instituții publice și una de la o companie privată. Din informațiile disponibile cu privire la cele 326 adrese IP publice, a reieșit că printre sistemele afectate asociate acestor IP-uri se regăsesc companii ce activează în sectoarele energetic, transporturi, telecom sau auto, dar și 6 instituții publice. Cu toate acestea, datele nu arată dacă este vorba de sisteme ale instituțiilor respective sau dacă sunt IP-uri ce au fost date spre folosință către terți. Astfel, în urma verificărilor efectuate de reprezentanții instituțiilor respective a reieșit că trei dintre resursele informatice semnalate ca posibil infectate au fost date spre folosință către alte persoane juridice de drept privat", mai scriu cei de la CERT-RO.
Potrivit unui comunicat de presă al Agenției Europene pentru Securitatea Rețelelor și Sistemelor Informatice (ENISA), campania WannaCry a atins în jur de 190.000 de sisteme, localizate în peste 150 de țări, printre organizațiile afectate regăsindu-se și operatori de servicii esențiale (sănătate, energie, transport, finanțe, telecom).
