Cele mai afectate orase de atacul cibernetic de saptamana trecuta. Cum ne putem proteja de WannaCry

Ultimul update: Vineri 19 Mai 2017 06:53
Sursa: cert.ro
Data publicarii: Marti 16 Mai 2017 16:19
Categorie: Smart things
atac informatic

Bucurestiul, cu 92 de adrese IP afectate, Iasiul cu 38 si Clujul cu 15 sunt in topul oraselor in care a actionat cel mai eficient ransomeware-ul „WannaCry”.

In ultimele zile, utilizatori din intreaga lume au fost infectati prin intermediul campaniei ransomware ‘WannaCry’. Atacul este unul extrem de sever, iar raspandirea lui este inca in desfasurare. In acest articol, echipa CERT-RO isi propune sa realizeze o sinteza a datelor culese pana in prezent din surse proprii si surse deschise si sa ofere raspunsuri la cele mai frecvente intrebari primite, informeaza cert.ro.

Ce s-a intamplat de fapt?

Incepand cu a doua parte a zilei de vineri 12 mai 2017, multiple organizatii si utilizatori casnici din lume (inclusiv din Romania) au fost afectati de un malware de tip crypto-ransomware cunoscut sub denumirea de WannaCry (sau WannaCrypt, WanaCrypt0r, WCrypt, WCRY).

Amenintarile cibernetice de tip ransomware nu reprezinta o noutate, in ultimii ani inregistrandu-se o crestere evidenta a numarului de victime dar si a complexitatii si varietatii campaniilor/versiunilor de malware utilizate. Totusi, WannaCry se deosebeste de marea majoritate a campaniilor precedente prin faptul ca utilizeaza o capabilitate de raspandire rapida in retea specifica viermilor informatici (precum bine-cunoscutul Conficker).

Institutiile din Romania care au fost victimele virusului "WannaCry". Cea mai mare lovitura, la fabrica Dacia din Mioveni

Conform unui COMUNICAT de presa al Agentiei Europene pentru Securitatea Retelelor si Sistemelor Informatice (ENISA), campania WannaCry a atins in jur de 190.000 de sisteme compromise localizate in peste 150 de tari, printre organizatiile afectate regasindu-se si operatori de servicii esentiale (sanatate, energie, transport, finante, telecom).

Un aspect interesant este acela ca aceasta campanie a debutat intr-o zi de vineri, chiar inainte de weekend, fapt care a ingreunat procesul de detectie si raspuns.

Cum functioneaza WannaCry?

Pana in acest moment se stie sigur ca malware-ul se propaga prin exploatarea unei vulnerabilitati a protocolului SMB (Server Message Block) din cadrul sistemelor de operare Windows XP/7/8/8.1, Windows 10 nefiind vulnerabil. WannaCry utilizeaza un „exploit” (modul de exploatare) publicat de grupul ShadowBrokers cu cateva luni in urma, odata cu alte unelte de exploatare despre care se presupune ca ar fi fost dezvoltate de Agentia Nationala de Securitate a SUA (NSA).

Compania Microsoft a publicat inca din 14 martie 2017 o actualizare de securitate (patch) pentru rezolvarea acestei vulnerabilitati:MS17-010. Cu toate acestea, sistemele Windows carora nu le-a fost aplicat acest patch sunt in continuare vulnerabile.

In prezent nu se stie cu exactitate care a fost vectorul initial de infectie, existand doua variante posibile:

• Atacul initial a constat intr-o campanie de tip email phishing/spear-phishing, urmata de propagarea infectiei si la alte sisteme Windows accesibile prin retea si vulnerabile;

• Spatiul de adrese IP publice din Internet a fost scanat pentru a identifica sistemele Windows expuse si vulnerabile, acestea fiind ulterior exploatate de la distanta.

Varianta initiala a malware-ului WannaCry dispune de un mecanism de dezactivare („kill switch”) care functioneaza astfel: odata reusita exploatarea unui sistem informatic, malware-ul verifica mai intai daca poate realiza o conexiune catre un anume domeniu web, iar in caz afirmativ nu mai porneste procesul de criptare a fisierelor de pe statia compromisa. Domeniul respectiv este: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Cum ne putem proteja?
In vederea contracararii amenintarii WannaCry, utilizatorii sistemelor de operare Windows sunt sfatuiti sa intreprinda urmatoarele masuri:
1. Realizarea de copii de siguranta periodice (backup);
2. Aplicarea patch-ului de securitate MS17-010:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx;
3. Microsoft a publicat actualizari de securitate inclusiv pentru sistemele de operare care nu mai beneficiaza de suport, precum Windows XP:
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/;
4. Utilizarea unui antivirus/anti-malware eficient si actualizat;
5. Segmentarea retelei si implementarea unor reguli de firewall care sa blocheze traficul de retea inutil (spre exemplu porturile SMB: 139, 445);
6. Asigurati-va ca domeniul com este accesibil, tinand cont de faptul ca malware-ul nu comunica prin web proxy. Eventual instalati unealta oferita de CCN-CERT care previne executarea malware-ului:
https://www.ccn-cert.cni.es/en/updated-security/ccn-cert-statements/4485-nomorecry-tool-ccn-cert-s-tool-to-prevent-the-execution-of-the-ransomware-wannacry.html;
7. Manifestarea unei atentii sporite la deschiderea fisierelor si link-urilor provenite din surse necunoscute/incerte, mai ales cele din mesajele email;
8. Implementarea masurilor cuprinse in „Ghidul privind combaterea amenintarilor informatice de tip ransomware”, disponibil la adresa:
https://cert.ro/vezi/document/ghid-protectie-ransomware.

Ce putem face daca am fost afectati?

In eventualitatea infectarii cu ransomware, CERT-RO va recomanda sa intreprindeti de urgenta urmatoarele masuri:
1. Deconectarea imediata de la retea a sistemelor informatice afectate;
2. Restaurati fisierele compromise utilizand copiile de siguranta (backup);
3. Incercati recuperarea fisierelor din „Shadow Volume Copies” utilizand un program precum Shadow Explorer (sanse de reusita sporite daca utilizatorul nu a apasat „OK” la aparitia mesajului generat de UAC):
https://www.bleepingcomputer.com/tutorials/how-to-recover-files-and-folders-using-shadow-volumecopies/
4. Dezinfectati sistemele compromise utilizand un antivirus actualizat sau o unealta dedicata precum cele disponibile la adresele urmatoare (ambele trebuie utilizate):
https://www.pcrisk.com/removal-guides/10942-wcry-ransomware#a2,
https://github.com/countercept/doublepulsar-detection-script;
5. Raportati incidentul catre CERT-RO la adresa de email alerts@cert.ro.

WannaCry Seymour Hersh, jurnalist castigator al premiului Pulitzer
atac informatic Seymour Hersh, jurnalist castigator al premiului Pulitzer

Sursa: cert.ro Celebgossipz.com

Expertii cibernetici au descoperit o legatura intre atacurile informatice si Coreea de Nord. Avertismentul venit de la Seul

Expertii cibernetici au descoperit o legatura intre atacurile informatice si Coreea de Nord. Avertismentul venit de la Seul

Institutiile din Romania care au fost victimele virusului

Institutiile din Romania care au fost victimele virusului "WannaCry". Cea mai mare lovitura, la fabrica Dacia din Mioveni

Ce trebuie sa faceti pentru a va proteja impotriva

Ce trebuie sa faceti pentru a va proteja impotriva "apocalipsei cibernetice". Putin acuza SUA: "Duhuri scapate din lampa"

Dosar penal deschis de DIICOT dupa atacurile informatice care au vizat Romania. Campania WannaCry inca este in desfasurare

Dosar penal deschis de DIICOT dupa atacurile informatice care au vizat Romania. Campania WannaCry inca este in desfasurare

tapbusters

iLikeIT. Jocul de week-end: TapBusters

iLikeIT: "Dacobots", educatorul virtual care poate face învățarea interactivă

Robotul care ajută artiștii să dezvolte un nou stil de pictură

iLikeIT: Cum ne putem scrie propriul roman cu ajutorul Internetului

Identitatea hacker-ului care a piratat serialul ”Game of Thrones”, dezvăluită

iLikeIT. Locurile de pe net unde primiţi răspuns la aproape orice întrebare

fitness

iLikeIT. Fitness în faţa calculatorului. Platforma online creată de doi campioni români