Atac Ramsomware la scara globala. Cum ne protejam impotriva unor astfel de amenintari

Spatiul cibernetic este acum tinta unui atac informatic la nivel mondial.. Acest atac este sustinut, de tip “campanie” si se bazeaza pe un malware de tip Ramsomware, mai precis WannaCry.
In data de 12 Mai 2017 mai multe organizatii la nivel global au fost tinta acestei campanii. Odata infectata o masina din reteaua organizatiei, malware-ul WannaCry se propaga utilizand o vulnerabilitate SMB. Totodata, odata infectate, datele existente pe sisteme sunt criptate iar victimelor li se solicita plata unei sume de aproximativ 300 de USD (in bitcoin) pentru decriptare si, din rapoartele existente, unele victime au inceput deja sa platesca, ceea ce asigura succesul campaniei.
Acest atac are succes asupra sistemelor Windows vulnerabile, care nu au instalate patch-urile de securitate, mai precis cel lansat de Microsoft in data de 14 Martie 2017 (MS17-010).
De notat faptul WannaCry sterge copiile de siguranta create de serviciile Windows (Windows Backup si System Restore).
Cel mai adesea infectia survine ca urmare a accesarii unui link, transmis prin e-mail.

Printre IP-urile identificate ca avand legatura cu atacul sunt (conform https://securingtomorrow.mcafee.com/executive-perspectives/analysis-wannacry-ransomware-outbreak/)
  • 197.231.221.221
  • 128.31.0.39
  • 149.202.160.69
  • 46.101.166.19
  • 91.121.65.179
  • 2.3.69.209
  • 146.0.32.144
  • 50.7.161.218
  • 217.79.179.177
  • 213.61.66.116
  • 212.47.232.237
  • 81.30.158.223
  • 79.172.193.32
  • 38.229.72.16
Prin urmare, in contextul acestei situatii recomandam:
  • instalarea in regim de urgenta a patch-urilor de securitate pe toate sistemele de operare Microsoft din organizatie (a se vedea https://technet.microsoft.com/en-us/library/security/ms17-010.aspx);
  • notificarea utilizatorilor sa nu acceseze link-uri sau atasamente din cadrul mail-urilor suspecte primite
  • notificarea incidentelor de securitate informatica catre structurile cu atributii in domeniu (CERT-RO)
  • actualizarea semnaturilor pentru sistemele de tip IDS
  • in cazul infectarii victimele nu ar trebui sa plateasca suma solicitata. Plata nu asigura eliminarea recurentei incidentului, la un moment ulterior si totodata, incurajeaza aceasta practica.
Pe termen lung, pentru a evita astfel de incidente sunt necesare urmatoarele:
  • inventarierea sistemelor informatice din organizatie si instalarea patch-urilor de securitate. Acest lucru trebuie realizat cu regularitate astfel incat sa se asigure mentinerea la zi a acestora;
  • actualizarea produselor de securitate instalate in companie: protectie endpoint, firewall, IDS;
  • monitorizarea de securitate trebuie sa acopere cei mai frecventi vectori de atac (in special sistemele de tip e-mail si sistemele care sunt accesate din Internet);
  • backup regulat al datelor esentiale, intr-o locatie sigura, off-line;
  • educarea permanenta a utilizatorilor;
  • stabilirea unui plan de comunicare a incidentelor de securitate informatica, astfel incat persoanele responsabile de aceste aspecte sa afle cat mai repede de astfel de incidente, in vederea tratarii;
certSIGN urmareste prin structura specializata evolutia evenimentelor.