Având în vedere că de vineri 12 mai, numeroase organizații din întreaga lume au fost afectate de o nouă variantă de virus cibernetic ransomware, care poartă denumirea de „WannaCry”, Centrul Național de Răspuns la Incidente de Securitate Cibernetică (CERT) a transmis câteva recomandări prudențiale.
„Spre deosebire de alte campanii ransomware din trecut, cea de față dispune și de capabilități de răspândire în rețea (lateral movement) prin exploatarea unei vulnerabilități a protocolului SMBv1”, explică CERT.
Această amenințare „se propagă prin intermediul unor mesaje email care conțin atașamente și link-uri malițioase, atacatorii utilizând tehnici de inginerie socială pentru a determina utilizatorii să acceseze resursele malițioase”. Odată infectată o stație de lucru dintr-o rețea, „malware-ul încearcă să se răspândească în interiorul rețelei prin intermediul protocolului SMB, utilizând porturile UDP/37, UDP/138, TCP/139 și TCP/445” arată CERT.
Procesul de răspândire se realizează prin exploatarea unei vulnerabilități a protocolului SMBv1 din cadrul Windows, cunoscută ca CVE-2017-0145: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0145
Microsoft a publicat încă din luna martie 2017 o actualizare de securitate pentru rezolvarea vulnerabilității exploatată de acest ransomware pentru răspândire, cunoscută ca MS17-010: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Potrivit CERT, următoarele sisteme de operare sunt cunoscute ca fiind pasibile de a fi afectate de această amenințare în cazul în care nu au fost actualizate:
– Microsoft Windows Vista SP2
– Microsoft Windows Server 2008 SP2 și R2 SP1
– Microsoft Windows 7
– Microsoft Windows 8.1
– Microsoft Windows RT 8.1
– Microsoft Windows Server 2012 și R2
– Microsoft Windows 10
– Microsoft Windows Server 2016
– Microsoft Windows XP
– Microsoft Windows Server 2003.
Pentru a prevenie astfel de atacuri, organizațiile și utilizatorii sistemelor de operare Windows sunt sfătuiți să întreprindă următoarele măsuri:
– actualizarea la zi a sistemelor de operare și aplicațiilor, inclusiv cu patch-ul MS17-010: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx (Microsoft a publicat actualizări de securitate inclusiv pentru sistemele de operare care nu mai beneficiază de suport, precum Windows XP: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/;
– blocarea porturilor SMB (139, 445) în cadrul rețelei;
– utilizarea unui antivirus actualizat cu ultimele semnături;
– manifestarea unei atenții sporite la deschiderea fișierelor și link-urilor provenite din surse necunoscute/incerte, mai ales cele din mesajele email;
– realizarea periodică a unor copii de siguranță (backup) pentru datele importante.
Ca indicații pentru remediere, în eventualitatea infectării cu ransomware, CERT vă recomandă să întreprindeți de urgență următoarele măsuri:
– deconectarea imediată de la rețea a sistemelor informatice afectate;
– dezinfectați sistemele compromise;
– restaurați fișierele compromise utilizând copiile de siguranță (backup);
– raportați incidentul către CERT-RO la adresa de email [email protected].