Un val masiv de ransomware perturbă sistemele IT la nivel mondial – WannaCryptor


Acest fenomen s-a propagat  suprinzator de repede. Pentru cei care nu au citit știrile din ultimele zile, trebuie să știți că un val masiv de malware a lovit la nivel global, creând valuri uriașe în sfera securității IT, efectele find semnificative pentru victime. Vinovatul? O secvență ransomware, numită WannaCryptor de către ESET, cunoscută și sub forma Wanna Cry și Wcrypt, s-a răspândit rapid folosind fișiere NSA scoase din uz, cum ar fi cazul exploit-ului eternalblue SMB.

Spre deosebire de majoritatea codurilor malware de tip encrypting, acesta are capabilități asemănătoare viermilor, permițându-i să se răspândească de la sine. În consecință, s-a propagat într-adevăr foarte repede. Acesta este mesajul pe care îl văd victimele versiunii de atac adaptat pentru vorbitorii de în limba engleză.Hat tip to @fendifille for sharing this screenshot with the world

Povestea a început în sectorul de telecomunicații din Spania și s-a răspândit rapid din acel moment, mai departe și mai departe. Au apărut la scurt timp rapoarte care indicau că organizații din domeniul sănătății din Marea Britanie au fost afectate, alături de multe alte victime:  diverse site-uri comerciale, site-uri ale unor companii mari. Oameni din întreaga lume au postat capturi de ecran ale malware-ului de la computere aflate în birouri, spitale și școli. Mai jos este versiunea în italiană:

Hat tip to @fendifille for sharing this photo

Cea mai gravă problemă cu care se confruntă victimele este următoarea: fișierele atinse de atac sunt criptate, iar atacatorul este singura sursă pentru cheia necesară procesului de revenire la starea inițială. Acest lucru poate avea consecințe cumplite, mai ales în sectorul sănătății. Înregistrările criptate ale pacienților, fișierele medicului și alte elemente nu mai pot fi utilizate sau accesate decât dacă există o un back-up al informațiilor compromise.

Răscumpărarea cerută pentru decriptarea fișierelor pare să fie de aproximativ 300 de dolari, ceea ce reprezintă, de fapt, o valoare mai mică decât în cazul altor atacuri cu ransomware văzute până acum, dar adevăratul cost va fi constituit din timpul, fișierele pierdute și toate celelalte daune colaterale cauzate de acest program malware.

Există, de asemenea, o altă temă care apare în urma acestui atac: responsabilitatea. Exploit-ul utilizat, eternalblue, este disponibil, în mod deschis, pentru descărcare de pe o multitudine de forumuri. Iar furnizarea pe un forum public a unui exploit bine construit ce poate afecta sute de mii de mașini active pare puțin cam mult. Ce s-a întâmplat cu dezvăluirea RESPONSABILĂ???

Răspunsul responsabil

Pentru a vă proteja împotriva celor mai recente amenințări, puteți face multe lucruri utile și ar trebui să începeți cît mai repede să le implementați și respectați riguros:

  • Instalați un software anti-malware - este posibil să fi auzit acest sfat de foarte multe ori și poate părea repetitiv. Cu toate acestea, dacă nu ar fi fost întâlnite situații în care s-a afirmat: "Este un server și avem firewall-uri, așa că nu voi pune anti-malware pe această mașină" sau "Am prea multe probleme pentru a instala un antivirus pe acest server ", nu ar mai fi amintit acest element. Dar acest fenomen a avut loc. Prin urmare, este indicat ferm să instalați un software anti-malware cu reputație, ce poate opri acest fenomen înainte de a vă afecta.
  • Spre exemplu, modulul de protecție a rețelei ESET blocase deja încercările de exploatare a vulnerabilității ce au survenit la nivelul rețelei înainte ca acest malware să fi fost chiar creat. ESET a crescut nivelul de protecție pentru această amenințare specifică, identificată ca Win32/Filecoder.WannaCryptor.D în actualizarea motorului de detectare 15404 (12 mai 2017, 13:20 UTC/GMT +02:00). Înainte, ESET LiveGrid a fost protejat împotriva acestui atac special începând cu ora 11:26 (UTC/GMT +02:00).
  • Actualizați-vă PC-urile care rulează pe platforma Windows! Este cunoscut că patch-urile pot fi foarte greu de instalat în întreaga rețea. Acest patch este însă esențial să îl instalați. Acesta a fost disponibil de la mijlocul lunii aprilie și, de fapt, oprește exploit-ul să câștige un punct de infiltrare în mediul dumneavoastră. Listarea patch-urilor pentru întreaga listă a fișierelor de la Equation Group poate fi consultată aici.
  • Fiți isteți! - Specialiștii care investighează infectările, exploit-uri și diverse alte elemente legate de securitatea informației, sunt de părere că întelegerea reprezintă jumătate din bătălie. Mai ales atunci când codurile implicate în breșe de securitate sunt rapid propagate și create în acestă manieră. Folosind Threat Intelligence, s-a reușit crearea regulilor corespunzătoare YARA care au identificat dropper-ele, fișierele și caracteristicile referitoare la fișierele de exploatare scoase de la Equation Groups. Au existat multe detectări ale acestor elemente. Acest tip de informații și, mai important, feed-urile furnizate, vă pot ajuta să luați decizii mai bune cu privire la ce trebuie protejat și cum poate fi protejat (la fel ca în cazul patch-urilor MS aplicate)

Există mai multe detalii cu privire la amenințarea reprezentată de WannaCryptor și la strategiile de protecție specifice ESET, pe care le puteți identifica în acest articol din baza de cunoștințe ESET. Pentru a verifica sumele pe care actorii rău-intenționați le-au primit în fonduri de tip bitcoin, puteți verifica acest link.

Actualizare 1: Dacă aveți mașini cu Windows XP, Windows 8 sau Windows Server 2003, pentru care nu a fost disponibil niciun patch echivalent în martie, aveți noroc; în mod neobișnuit, datorită caracterului grav al valului de răspândire cu WannaCryptor, Microsoft a postat în mod public actualizări pentru aceste versiuni ale sistemului de operare. Aceste actualizări vor fi, în mod normal, puse la dispoziția celor care au încheiat acorduri de asistență personalizată ce le permit să continue să obțină actualizări pentru versiuni de sisteme de operare care nu mai sunt suportate public. Dacă aveți astfel de sisteme, dar acestea nu pot fi actualizate din motive de reglementare sau de conformitate (de exemplu), atunci abordați cu atenție modul strategic în care puteți să izolați aceste mașini de la rețea, pe termen lung.

Actualizare 2: Este posibil să fi văzut știrea prin care cineva a reușit să "oprească" atacul prin înregistrarea unui domeniu. ("Cum să oprim accidental un atac cibernetic global") Deși pare că cineva a oferit mai mult timp pentru a întării apărarea, nu înseamnă că nu vor mai exista atacuri. Într-adevăr, există deja rapoarte de actualizări ale malware-ului care nu includ un comutator switch off". Cu alte cuvinte, dacă încă nu ați efectuat patch-urile, realizați acest lucru cît mai repede!

sursa foto @fendifille

MICHAEL AGUILAR

CORESPONDENT INDEPENDENT

oana May 15, 2017

Lasa un comentariu