UPDATE: Un nou atac Ramsomware la scară globală

UPDATE 28.06.2017
Modalitatea de răspandire în rețea a ransomware-ului a fost reevaluată, iar exploatarea vulnerabilității EternalBlue s-a dovedit a fi doar una dintre ele. În plus, fişierul malware se poate răspandi şi prin foldere partajate (file-shares) şi prin re-utilizarea de sesiuni de comunicație deschise în cadrul rețelei. Aceste aspecte conduc la concluzia că prezentul atac este mult mai sofisticat decat WannaCry/WannaCrypt.

În acelasi timp, furnizorul de servicii de e-mail Posteo care găzduia adresa de comunicare cu atacatorul (wowsmith123456@posteo.net) a comunicat faptul că respectiva adresă de e-mail a fost inchisă, făcând astfel imposibilă comunicarea dintre victimele care doresc să plătească recompensa solicitată (aproximativ 300 USD) şi atacator şi, implicit, comunicarea de către atacator a cheilor criptografice de decriptare. Prin urmare, plățile efectuate ulterior acestei operațiuni sunt tardive şi inutile.

Îngrijorator este faptul că monitorizarea portofelului Bitcoin asociat atacului arată că încă sunt victime care plătesc răscumpararea, suma acumulată până în acest moment fiind de aproximativ 9700 de USD.

Toate aceste elemente sugerează ideea că atacul în sine este mai mult orientat spre distrugerea de date decât spre câştiguri financiare imediate (aşa cum în mod tradițional sunt executate atacurile de tip ransomware). În acest sens reiterăm recomandarea de a efectua şi menține un backup al datelor.

27.06.2017
Un nou atac de tip ramsomware afectează în acest moment rețelele de calculatoare. Cercetările preliminare indică o variațiune a unui malware mai vechi, cunoscut sub mai multe nume (Petya/Petrwrap/GoldenEye), care exploatează pentru a se răspândi în rețea aceeași vulnerabilitate pe care s-a bazat atacul ransomware din luna mai 2017 (WannaCry/WannaCrypt), respectiv EternalBlue, pentru care Microsoft a furnizat un patch de securitate în luna martie a anului curent. Infecția inițiala are loc prin e-mail, în sensul că mesajul are un atașament de tip executabil.

Succesul atacului relevă faptul că există o serie de organizații care nu şi-au însușit consecințele atacului global de tip ransomware precedent. De altfel, din informații publice reiese ca sunt cel puțin 1,9 milioane de sisteme informatice expuse în Internet care încă utilizează protocolul SMB v1 (exploatat de vulnerabilitatea menționată).

Până acum au fost afectate mai multe companii din domeniul transporturilor, energiei şi bancar, precum şi POS-uri sau ATM-uri.
Malware-ul se comportă similar cu WannaCry/WannaCrypt, răscumpărarea solicitata fiind aproximativ aceeași (300 USD).

Prin urmare, vă recomandam:

  • Instalarea în regim de urgență a patch-urilor de securitate, în special MS17-010 publicat de Microsoft în luna martie 2017;
  • Notificarea utilizatorilor să nu acceseze link-uri sau atașamente din cadrul mail-urilor suspecte primite;
  • Notificarea incidentelor de securitate informatică către structurile cu atribuții în domeniu (CERT-RO);
  • Actualizarea semnăturilor pentru sistemele de securitate din cadrul organizației;
  • În cazul infectării, victimele nu ar trebui să plătească suma solicitată. Plata nu asigură eliminarea recurenței incidentului, la un moment ulterior şi totodată, încurajează această practică;

În situația în care considerați că sistemele dumneavoastră sunt vulnerabile, ne puteți contacta pentru sprijin calificat.

Pe termen lung, pentru a evita astfel de incidente sunt necesare următoarele:

  • Inventarierea sistemelor informatice din organizație şi instalarea patch-urilor de securitate. Acest lucru trebuie realizat cu regularitate astfel încât să se asigure menținerea la zi a acestora;
  • Actualizarea cu regularitate a produselor de securitate instalate în companie;
  • Monitorizarea de securitate trebuie să acopere cei mai frecvenți vectori de atac (în special sistemele de tip e-mail şi sistemele care sunt accesate din Internet);
  • Backup regulat al datelor esențiale, într-o locație sigură, off-line;
  • Educarea permanenta a utilizatorilor;
  • • Stabilirea unui plan de comunicare a incidentelor de securitate informatică, astfel încât persoanele responsabile de aceste aspecte să afle cât mai repede de astfel de incidente, în vederea tratăriii;

certSIGN urmărește prin structura specializata evoluția evenimentelor.