Adylkuzz - Un nou atac cibernetic în desfășurare

Un nou atac cibernetic, care exploatează aceași vulnerabilitate ca atacul WannaCry, este în desfășurare. Acest atac are succes asupra sistemelor Windows vulnerabile, care nu au instalate patch-urile de securitate, mai precis cel lansat de Microsoft în data de 14 Martie 2017 (MS17-010). Este foarte probabil să mai apară diverse aplicații de tip malware care să fie livrate și rulate utilizând același exploit.

Virusul este denumit Adylkuzz, este detectat de majoritatea antivirușilor care nu au semnăturile actualizate. Se estimează că prezenta acestui virus pe sistemele infectate începe de undeva de la începutul lunii mai (in jurul datei de 2 mai) însă neavând comportament vizibil este greu de estimat când exact a început sa se multiplice.

Spre deosebire de atacul WannaCry, care bloca accesul utilizatorilor la datele de pe calculatoare, noul atac este un virus care utilizează puterea de calcul a sistemelor utilizatorilor pentru a le implica într-o rețea de tip botnet și are menirea de a "produce" monede virtuale (cryptocurrency) pentru creatorii acestuia.

Principalul simptom al infectării cu acest virus este ca sistemul de calcul funcționează greu.

In contextul acestei situații, recomandam:

1. Utilizatorilor

  • In cazul în care în ultimele zile ați observat încetinirea funcționarii calculatoarelor anunțați de urgenta departamentul IT
  • Nu deschideți e-mailuri primite de la expeditori necunoscuți
  • Nu descărcați atașamente și nu accesați link-uri care par suspecte

2. Departamentelor IT:

  • Notificarea utilizatorilor cu privire la aspectele descrise mai sus
  • Crearea unui punct de contact care să preia sesizările utilizatorilor și să le ofere instalarea in regim de urgentă a patch-urilor de securitate pe toate sistemele de operare Microsoft din organizație (a se vedea https://technet.microsoft.com/en-us/library/security/ms17-010.aspx);
  • Actualizarea semnăturilor pentru sistemele de tip IDS
  • Scanarea sistemelor pentru a verifica existenta virusului
  • Notificarea incidentelor de securitate informatică către structurile cu atribuții in domeniu (CERT-RO)

Pe termen lung, pentru a evita astfel de incidente sunt necesare următoarele:

  • Utilizarea de sisteme de operare care sunt în perioada în care primesc patch-uri de securitate - deoarece exemplificând - pentru Windows XP Microsoft a publicat patch-ul abia in 13 mai, la aproximativ doua luni după ce sistemele normale au primit update-ul și oricum efectuat în condiții excepționale
  • Actualizarea produselor de securitate instalate in companie: protecție endpoint, firewall, IDS;
  • Backup regulat al datelor esențiale, într-o locație sigură, și verificarea periodică a copiilor de backup
  • Crearea unei structuri care sa răspundă prompt in cazul unor incidente de securitate informatică;
  • Educarea permanenta a utilizatorilor;

certSIGN urmărește prin structura specializata evoluția evenimentelor.