[simple_tooltip content='SPAccess'] [/simple_tooltip] [simple_tooltip content='SPAccess'] [/simple_tooltip] [simple_tooltip content='SPAccess'] [/simple_tooltip]
Categories: Securitate IT

De ce trebuie să continuăm să ne protejam de atacurile ransomware

Deși au fost publicate informații cu privire la oprirea atacului ransomware WannaCry, specialiștii în securitate cibernetică spun că trebuie să ne protejăm în continuare de acest tip de atacuri.

Conform unui COMUNICAT de presă al Agenției Europene pentru Securitatea Rețelelor și Sistemelor Informatice (ENISA), campania WannaCry a atins în jur de 190.000 de sisteme compromise localizate în peste 150 de țări, printre organizațiile afectate regăsindu-se și operatori de servicii esențiale (sănătate, energie, transport, finanțe, telecom), precizează CERT-RO.

Până în acest moment se știe sigur că malware-ul se propagă prin exploatarea unei vulnerabilități a protocolului SMB (Server Message Block) din cadrul sistemelor de operare Windows XP/7/8/8.1, Windows 10 nefiind vulnerabil. WannaCry utilizează un „exploit” (modul de exploatare) publicat de grupul ShadowBrokers cu câteva luni în urmă, odată cu alte unelte de exploatare despre care se presupune că ar fi fost dezvoltate de Agenția Națională de Securitate a SUA (NSA).

Compania Microsoft a publicat încă din 14 martie 2017 o actualizare de securitate (patch) pentru rezolvarea acestei vulnerabilități:MS17-010. Cu toate acestea, sistemele Windows cărora nu le-a fost aplicat acest patch sunt în continuare vulnerabile.

În prezent nu se știe cu exactitate care a fost vectorul inițial de infecție, existând două variante posibile:

  • Atacul inițial a constat într-o campanie de tip email phishing/spear-phishing, urmată de propagarea infecției și la alte sisteme Windows accesibile prin rețea și vulnerabile;
  • Spațiul de adrese IP publice din Internet a fost scanat pentru a identifica sistemele Windows expuse și vulnerabile, acestea fiind ulterior exploatate de la distanță.

Varianta inițială a malware-ului WannaCry dispune de un mecanism de dezactivare („kill switch”) care funcționează astfel: odată reușită exploatarea unui sistem informatic, malware-ul verifică mai întâi dacă poate realiza o conexiune către un anume domeniu web, iar în caz afirmativ nu mai pornește procesul de criptare a fișierelor de pe stația compromisă. Domeniul respectiv este iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

La momentul lansării campaniei, domeniul de mai sus nu era înregistrat, astfel că mecanismul de dezactivare nu funcționa. Asta înseamnă că, cel mai probabil, creatorii acestui malware au intenționat să activeze „butonul de oprire” la o dată ulterioară, prin înregistrarea domeniului respectiv și activarea acestuia. Din fericire, un cercetător britanic a descoperit că malware-ul încerca să acceseze acel domeniu și că acesta nu era înregistrat. Este de presupus că atacatorii vor încerca să utilizeze o variantă modificată astfel încât să nu mai conțină niciun „kill switch”.

Astfel, CERT-RO avertizează că „amenințarea persistă în cazul campaniei ransomware WannaCry”.

Specialistii in securitate indeamna organizatiile sa iti actualizeze sistemele Windows pentru a preveni un posibil al doilea val al atacului ransom fara precedent, scrie smartnews.ro.

Directorul Europol, Rob Wainwright a avertizat asupra unui posibil al doilea val de atacuri dupa identificarea unei noi versiuni a malware-ului.

Specialiștii Bitdefender spun că „Cel mai pesimist scenariu ar fi acela ca actori statali sa foloseasca vulnerabilitatea din Windows pentru a instala amenintari pe infrastructurile altor tari”.

Într-un comunicat de presă, compania a mai precizat că amploarea atacului WannaCry ar putea fi redusă rapid dacă Microsoft împinge în mod forțat o actualizare către utilizatori.

Deși măsura actualizării fără permisiunea utilizatorului ar forța limitele legislației în vigoare, expertiza Bitdefender în sectorul securității cibernetice a dovedit că, de multe ori, reglementările curente nu țin pasul cu evoluția fenomenului infracțional, de aceea cooperarea dintre autorități și industria securității IT este necesară mai mult ca niciodată, se precizează în comunicatul Bitdefender.

Calculatoarele din instituții publice, spitale și alte organizații de asistență socială nu sunt de obicei actualizate la cea mai recentă versiune a sistemului de operare. Dacă respectivele terminale nu vor fi infectate cu ransomware acum, acestea vor rămâne vulnerabile în fața altor amenințări, inclusiv atacuri cibernetice sponsorizate de alte state. Într-un astfel de scenariu, ransomware ar fi un caz fericit, dat fiind că infectarea produce totuși consecințe palpabile. Pe de altă parte, amenințările avansate folosite în scopuri de spionaj pot exploata vulnerabilitatea din sistemul de operare și sustrage sistematic informații timp îndelungat fără a fi detectate.

De fapt, cel mai pesimist scenariu ar fi acela ca actori statali să folosească vulnerabilitatea din Windows pentru a instala amenințări pe infrastructurile altor țări. Ulterior, atacatorii ar putea chiar să opereze actualizările necesare și să remedieze vulnerabilitățile de pe dispozitive, tocmai pentru ca nimeni altcineva să le mai exploateze. Ipoteza reprezintă un scenariu plauzibil, câtă vreme întreaga atenție se concentrează acum pe combaterea amenințării ransomware WannaCry, permițând ca atacuri mai sofisticate să poată fi construite și executate cu ușurință, iar infectarea să decurgă fără a trage semnale de alarmă.

 

 

 

Share
Publicat de
admin2

Stiri Recente

Conferința de Analiză de Risc – Ediția a V a

Ediția a V-a a Conferinței de analiză de risc va avea loc pe data de…

March 5, 2020

The Power of Video 2020

Roadshow-ul Power of Video, organizat de Milestone Systems, va demonstra diferite moduri în care conținutul…

March 5, 2020

Reținuți pentru complicitate la furt și tâlhărie

La data de 18 decembrie., polițiștii de investigații criminale din cadrul Poliției municipiului Roman au…

December 20, 2019

De ce să nu folosești rețelele WiFi publice gratuite și ce riști dacă o faci

Într-o lume cu abonamente la cu trafic de internet nelimitat, nu mai ai nevoie neapărat…

December 20, 2019

Atacuri de phishing şi malware, apărute în contextul celui mai nou film din seria ”Star Wars”

Cel mai recent film care continuă seria ”Star Wars” a atras atenţia atacatorilor chiar înainte…

December 20, 2019

Cercetați de polițiști pentru furturi din genți și buzunare

Polițiștii ieșeni au identificat trei bărbați și o tânără, bănuiți de furturi din genți și…

December 20, 2019