Atacul cibernetic global: În România, 322 de adrese IP publice au fost afectate. Specialiștii CERT explică ce trebuie să (nu) facem

Atacul cibernetic global care a început vineri a făcut până acum peste 200.000 de mii de victime în 150 de țări, printre care și România, potrivit Europol. În țara noastră, bilantul atacului este de 322 de adrese IP publice, existând informații că afectate ar fi patru rețele sau sisteme gestionate de sectorul public, informează cert.ro.

Hackerii din spatele atacului cibernetic care a afectat utilizatori din 150 de țări ar fi strans doar 20.000 de dolari sub formă de bitcoini.

Citește și EXCLUSIV Alba24.ro: cum arată și ce face interfața în limba română a atacului ”WannaCry”! România, pe locul 9 printre cele mai afectate țări

Centrul Național de Răspuns la Incidente de Securitate Cibernetică detaliază pericolul cibernetic cu care se confruntă întreaga lume începând de vineri.

Potrivit CERT, numeroase organizații din întreaga lume au fost afectate de o nouă variantă de ransomware, care poartă denumirea de ‘WannaCry’. Rapoartele preliminare atestă faptul că printre victime se află companii-gigant precum FedEx, operatorul de comunicații Telefonica din Spania, sau chiar sistemul de sănătate din Marea Britanie (National Health Service).

Spre deosebire de alte campanii ransomware din trecut, cea de față dispune și de capabilități de răspândire în rețea (lateral movement) prin exploatarea unei vulnerabilități a protocolului SMBv1.

Hackerii din spatele atacului cibernetic care a afectat utilizatori din 150 de țări ar fi strans doar 20.000 de dolari sub formă de bitcoini.

20.000 de dolari au fost plătiți către cel putin trei adrese, a explicat Tom Robinson, co-fondator al Elliptic, o companie care identifică activitatea ilicită care implică moneda virtuală bitcoin și care furnizează servicii principalelor agenții de securitate din SUA și Marea Britanie, informează The Guardian.

Atunci când un calculator este infectat, apare un mesaj de genul „Ooops your files have been encrypted”, în care se spune că fișierele din computer au fost criptate și se cere o recompensă pentru recuperarea documentelor. Hackerii cer 300 sau 600 de dolari pentru decripatarea fișierelor și oferă trei zile pentru plata în Bitcoini, la cursul zilei.

În mesajele trimise inclusiv în limba chineză se arata că, dupa expirarea acestui interval de timp, prețul va fi dublat. Dacă nici după șapte zile nu se efectuează plata, sunt anunțate victimele, atunci datele sunt pentru totdeauna pierdute. Cei care se află în spatele acestui atac global nu au retras până acum banii, așa că, pentru moment, nu pot fi localizați sau identificați, a mai spus Tom Robinson.

Atacurile fără precedent, folosind un software numit WanaCrypt0r 2.0 sau WannaCry, exploatează o vulnerabilitate a Windows. Este vorba despre vulnerabilitatea MS17-010, care permite hackerului să ruleze un cod periculos pe un computer vulnerabil și să infecteze sistemul fără ca cineva să acceseze linkuri sau să deschidă emailuri infectate.

Descriere:

Această amenințare se propagă prin intermediul unor mesaje email care conțin atașamente și link-uri malițioase, atacatorii utilizând tehnici de inginerie socială pentru a determina utilizatorii să acceseze resursele malițioase.

Odată infectată o stație de lucru dintr-o rețea, malware-ul încearcă să se răspândească în interiorul rețelei prin intermediul protocolului SMB, utilizând porturile UDP/37, UDP/138, TCP/139 și TCP/445. Procesul de răspândire se realizează prin exploatarea unei vulnerabilități a protocolului SMBv1 din cadrul Windows, cunoscută ca CVE-2017-0145:

https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0145

Microsoft a publicat încă din luna Martie 2017 o actualizare de securitate pentru rezolvarea vulnerabilității  exploatată de acest ransomware pentru răspândire, cunoscută ca MS17-010:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Impact:

Următoarele sisteme de operare sunt cunoscute ca fiind pasibile de a fi afectate de această amenințare în cazul în care nu au fost actualizate:

• Microsoft Windows Vista SP2
• Microsoft Windows Server 2008 SP2 și R2 SP1
• Microsoft Windows 7
• Microsoft Windows 8.1
• Microsoft Windows RT 8.1
• Microsoft Windows Server 2012 și R2
• Microsoft Windows 10
• Microsoft Windows Server 2016
• Microsoft Windows XP
• Microsoft Windows Server 2003

Măsuri de prevenire:

Organizațiile și utilizatorii sistemelor de operare Windows sunt sfătuiți să întreprindă următoarele măsuri:

1. Actualizarea la zi a sistemelor de operare și aplicațiilor, inclusiv cu patch-ul MS17-010:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx;

2. Microsoft a publicat actualizări de securitate inclusiv pentru sistemele de operare care nu mai beneficiază de suport, precum Windows XP:

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/;

3. Blocarea porturilor SMB (139, 445) în cadrul rețelei;
4. Utilizarea unui antivirus actualizat cu ultimele semnături;
5. Manifestarea unei atenții sporite la deschiderea fișierelor și link-urilor provenite din surse necunoscute/incerte, mai ales cele din mesajele email;
6. Realizarea periodică a unor copii de siguranță (backup) pentru datele importante.

Măsuri de remediere:

În eventualitatea infectării cu ransomware, CERT-RO vă recomandă să întreprindeți de urgență următoarele măsuri:

1. Deconectarea imediată de la rețea a sistemelor informatice afectate;
2. Dezinfectați sistemele compromise;
3. Restaurați fișierele compromise utilizând copiile de siguranță (backup);
4. Raportați incidentul către CERT-RO la adresa de email alerts@cert.ro.

CERT-RO vă recomandă implementarea măsurilor cuprinse în „Ghidul privind combaterea amenințărilor informatice de tip ransomware”, disponibil la adresa: https://cert.ro/vezi/document/ghid-protectie-ransomware .

sursa: cert.ro, business24.ro