Serangan perangkat pemeras WannaCry

Vektor infeksi yang diklaim, EternalBlue, dirilis oleh kelompok peretas The Shadow Brokers pada tanggal 14 April 2017^[12][13] bersama dengan alat lain yang tampaknya bocor dari Equation Group, diyakini merupakan bagian dari Badan Keamanan Nasional Amerika Serikat.

EternalBlue memanfaatkan kerentanan MS17-010^[14] dalam implementasi protokol Server Message Block (SMB) Microsoft. Microsoft telah merilis sebuah "critical" advisory, bersamaan dengan pembaruan tambalan untuk mengatasi kerentanan sebulan sebelumnya, pada tanggal 14 Maret 2017.^[14] Tambalan ini memperbaiki beberapa versi workstation dari sistem operasi Microsoft Windows, termasuk Windows Vista dan Windows 8.1, serta versi server dan embedded seperti Windows Server 2008 dan Windows Embedded POSReady 2009, namun bukan Windows XP yang lebih tua, menurut Microsoft.^[14]

Mulai 21 April 2017, periset keamanan mulai melaporkan bahwa komputer dengan backdoor DoublePulsar terpasang berada di puluhan ribu.^[15] Pada 25 April, laporan memperkirakan jumlah komputer yang terinfeksi bisa mencapai beberapa ratus ribu, dengan jumlah bervariasi antara 55.000 sampai hampir 200.000, tumbuh setiap hari.^[16][17]

Pada tanggal 12 Mei 2017, WannaCry mulai mempengaruhi komputer di seluruh dunia.^[19] Infeksi awal mungkin disebabkan oleh kerentanan pertahanan jaringan atau serangan pengelabuan tombak yang sangat bagus.^[20] Saat dieksekusi, malware pertama kali memeriksa "kill switch" nama domain. Jika tidak ditemukan, maka ransomware mengenkripsi data komputer,^[21][22][23] kemudian mencoba untuk memanfaatkan kerentanan SMB untuk menyebar ke komputer acak di Internet,^[24] dan "lateral" ke komputer pada Jaringan area lokal yang sama.^[25] Seperti pada perangkat pemeras modern lainnya, muatan menampilkan pesan yang menginformasikan pengguna bahwa file telah dienkripsi, dan menuntut pembayaran sekitar $300 dalam bitcoin dalam tiga hari atau $600 dalam waktu tujuh hari.^[22][26]

Kerentanan Windows bukanlah cacat zero-day, tapi satu di antaranya Microsoft menyediakan tambalan keamanan pada tanggal 14 Maret 2017,^[14] Hampir dua bulan sebelum serangan. Tambalan ke protokol Server Message Block (SMB) yang digunakan oleh Windows.^[27][28] Organisasi yang kekurangan tambalan keamanan ini terpengaruh karena alasan ini, walaupun sejauh ini tidak ada bukti bahwa ada yang secara khusus ditargetkan oleh pengembang perangkat pemeras.^[27] Setiap organisasi masih menjalankan Windows XP lama^[29] sangat berisiko tinggi karena sampai 13 Mei,^[30] tidak ada tambalan keamanan yang telah dirilis sejak April 2014.^[31] Setelah serangan tersebut, Microsoft merilis tambalan keamanan untuk Windows XP.^[30]

Menurut Wired, sistem yang terkena dampak juga akan dipasang backdoor DoublePulsar; Ini juga perlu dihapus saat sistem didekripsi.^[32]

Menurut laporan, tiga atau lebih alamat kode keras bitcoin, atau "dompet", digunakan untuk menerima korban pembayaran. Seperti semua dompet itu, transaksi dan saldo mereka bisa diakses publik bukan pemilik dompetnya. Untuk melacak pembayaran tebusan secara waktu, sebenarnya Twitterbot yang mengawasi masing-masing dari ketiga dompet ini telah disiapkan.^[33] Pada 14 Mei 2017 total $33.319,59 telah dibayarkan.

Pada tanggal 14 Mei, dua varian tambahan terdeteksi. Salah satu varian ini memiliki kill switch baru yang segera terdaftar, sementara yang lainnya tidak memiliki kill switch namun memiliki muatan rusak yang mencegah enkripsi berkas.^[34]

Kampanye uang tebusan belum pernah terjadi sebelumnya menurut skala Europol.^[35] Serangan tersebut mempengaruhi banyak rumah sakit Dinas Kesehatan di Inggris dan Skotlandia,^[36] dan sampai 70.000 perangkat — termasuk komputer, pemindai MRI, lemari es penyimpanan darah dan peralatan teater — mungkin telah terpengaruh.^[37] Pada tanggal 12 Mei, beberapa layanan NHS harus mematikan keadaan darurat yang tidak penting, dan beberapa ambulans dialihkan.^[4][38] Pada tahun 2016, ribuan komputer di 42 kepercayaan NHS terpisah di Inggris dilaporkan masih menjalankan Windows XP.^[29] Rumah sakit NHS di Wales dan Irlandia Utara tidak terpengaruh oleh serangan tersebut.^[39][4]

Nissan Motor Manufacturing UK di Tyne and Wear, salah satu pabrik manufaktur mobil paling produktif di Eropa, menghentikan produksi setelah perangkat pemeras menginfeksi beberapa sistem mereka. Renault juga menghentikan produksi di beberapa lokasi dalam upaya menghentikan penyebaran perangkat pemeras tersebut.^[40][41]

Dampak serangan bisa jadi jauh lebih buruk jika tidak ada kill-switch yang dibangun oleh pencipta malware tersebut.^[42][43]

Ahli keamanan Cybersecurity Ori Eisen mengatakan bahwa serangan tersebut tampaknya merupakan barang "tingkat rendah", dengan tuntutan uang tebusan sebesar $300 dan menyatakan bahwa hal yang sama dapat dilakukan pada infrastruktur penting, seperti pembangkit tenaga nuklir, bendungan atau sistem kereta api.^[44]

Microsoft juga telah merilis tambalan untuk memperbaiki eksploitasi yang digunakan oleh perangkat pemeras pada sistem operasi Windows XP, tandingan 64-bit, Windows Server 2003, dan Windows 8, meskipun semuanya tidak didukung selama masa itu.

Dalam urutan abjad: