Cele mai afectate orase de atacul cibernetic de saptamana trecuta. Cum ne putem proteja de WannaCry
Bucurestiul, cu 92 de adrese IP afectate, Iasiul cu 38 si Clujul cu 15 sunt in topul oraselor in care a actionat cel mai eficient ransomeware-ul „WannaCry”.
In ultimele zile, utilizatori din intreaga lume au fost infectati prin intermediul campaniei ransomware ‘WannaCry’. Atacul este unul extrem de sever, iar raspandirea lui este inca in desfasurare. In acest articol, echipa CERT-RO isi propune sa realizeze o sinteza a datelor culese pana in prezent din surse proprii si surse deschise si sa ofere raspunsuri la cele mai frecvente intrebari primite, informeaza cert.ro.
Ce s-a intamplat de fapt?
Incepand cu a doua parte a zilei de vineri 12 mai 2017, multiple organizatii si utilizatori casnici din lume (inclusiv din Romania) au fost afectati de un malware de tip crypto-ransomware cunoscut sub denumirea de WannaCry (sau WannaCrypt, WanaCrypt0r, WCrypt, WCRY).
Amenintarile cibernetice de tip ransomware nu reprezinta o noutate, in ultimii ani inregistrandu-se o crestere evidenta a numarului de victime dar si a complexitatii si varietatii campaniilor/versiunilor de malware utilizate. Totusi, WannaCry se deosebeste de marea majoritate a campaniilor precedente prin faptul ca utilizeaza o capabilitate de raspandire rapida in retea specifica viermilor informatici (precum bine-cunoscutul Conficker).
Conform unui COMUNICAT de presa al Agentiei Europene pentru Securitatea Retelelor si Sistemelor Informatice (ENISA), campania WannaCry a atins in jur de 190.000 de sisteme compromise localizate in peste 150 de tari, printre organizatiile afectate regasindu-se si operatori de servicii esentiale (sanatate, energie, transport, finante, telecom).
Un aspect interesant este acela ca aceasta campanie a debutat intr-o zi de vineri, chiar inainte de weekend, fapt care a ingreunat procesul de detectie si raspuns.
Cum functioneaza WannaCry?
Pana in acest moment se stie sigur ca malware-ul se propaga prin exploatarea unei vulnerabilitati a protocolului SMB (Server Message Block) din cadrul sistemelor de operare Windows XP/7/8/8.1, Windows 10 nefiind vulnerabil. WannaCry utilizeaza un „exploit” (modul de exploatare) publicat de grupul ShadowBrokers cu cateva luni in urma, odata cu alte unelte de exploatare despre care se presupune ca ar fi fost dezvoltate de Agentia Nationala de Securitate a SUA (NSA).
Compania Microsoft a publicat inca din 14 martie 2017 o actualizare de securitate (patch) pentru rezolvarea acestei vulnerabilitati:MS17-010. Cu toate acestea, sistemele Windows carora nu le-a fost aplicat acest patch sunt in continuare vulnerabile.
In prezent nu se stie cu exactitate care a fost vectorul initial de infectie, existand doua variante posibile:
• Atacul initial a constat intr-o campanie de tip email phishing/spear-phishing, urmata de propagarea infectiei si la alte sisteme Windows accesibile prin retea si vulnerabile;
• Spatiul de adrese IP publice din Internet a fost scanat pentru a identifica sistemele Windows expuse si vulnerabile, acestea fiind ulterior exploatate de la distanta.
Varianta initiala a malware-ului WannaCry dispune de un mecanism de dezactivare („kill switch”) care functioneaza astfel: odata reusita exploatarea unui sistem informatic, malware-ul verifica mai intai daca poate realiza o conexiune catre un anume domeniu web, iar in caz afirmativ nu mai porneste procesul de criptare a fisierelor de pe statia compromisa. Domeniul respectiv este: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Cum ne putem proteja?
In vederea contracararii amenintarii WannaCry, utilizatorii sistemelor de operare Windows sunt sfatuiti sa intreprinda urmatoarele masuri:
1. Realizarea de copii de siguranta periodice (backup);
2. Aplicarea patch-ului de securitate MS17-010:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx;
3. Microsoft a publicat actualizari de securitate inclusiv pentru sistemele de operare care nu mai beneficiaza de suport, precum Windows XP:
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/;
4. Utilizarea unui antivirus/anti-malware eficient si actualizat;
5. Segmentarea retelei si implementarea unor reguli de firewall care sa blocheze traficul de retea inutil (spre exemplu porturile SMB: 139, 445);
6. Asigurati-va ca domeniul com este accesibil, tinand cont de faptul ca malware-ul nu comunica prin web proxy. Eventual instalati unealta oferita de CCN-CERT care previne executarea malware-ului:
https://www.ccn-cert.cni.es/en/updated-security/ccn-cert-statements/4485-nomorecry-tool-ccn-cert-s-tool-to-prevent-the-execution-of-the-ransomware-wannacry.html;
7. Manifestarea unei atentii sporite la deschiderea fisierelor si link-urilor provenite din surse necunoscute/incerte, mai ales cele din mesajele email;
8. Implementarea masurilor cuprinse in „Ghidul privind combaterea amenintarilor informatice de tip ransomware”, disponibil la adresa:
https://cert.ro/vezi/document/ghid-protectie-ransomware.
Ce putem face daca am fost afectati?
In eventualitatea infectarii cu ransomware, CERT-RO va recomanda sa intreprindeti de urgenta urmatoarele masuri:
1. Deconectarea imediata de la retea a sistemelor informatice afectate;
2. Restaurati fisierele compromise utilizand copiile de siguranta (backup);
3. Incercati recuperarea fisierelor din „Shadow Volume Copies” utilizand un program precum Shadow Explorer (sanse de reusita sporite daca utilizatorul nu a apasat „OK” la aparitia mesajului generat de UAC):
https://www.bleepingcomputer.com/tutorials/how-to-recover-files-and-folders-using-shadow-volumecopies/
4. Dezinfectati sistemele compromise utilizand un antivirus actualizat sau o unealta dedicata precum cele disponibile la adresele urmatoare (ambele trebuie utilizate):
https://www.pcrisk.com/removal-guides/10942-wcry-ransomware#a2,
https://github.com/countercept/doublepulsar-detection-script;
5. Raportati incidentul catre CERT-RO la adresa de email [email protected].
