CERT-RO: WannaCry, spre deosebire de alte campanii ransomware are si capacitatea de a se raspandi in retea / Ce sisteme de operare sunt afectate si ce masuri pot fi luate
- Redactia Hotnews
Spre deosebire de alte campanii ransomware din trecut, actualul atac cu varianta WannaCry dispune si de capabilitati de raspandire in retea (lateral movement) prin exploatarea unei vulnerabilitati a protocolului SMBv1, informeaza Centrul National de Raspuns la Incidente de Securitate Cibernetica (CERT-RO).
Aceasta amenintare se propaga prin intermediul unor mesaje email care contin atasamente si link-uri malitioase, atacatorii utilizand tehnici de inginerie sociala pentru a determina utilizatorii sa acceseze resursele malitioase.
Odata infectata o statie de lucru dintr-o retea, maware-ul incearca sa se raspandeasca in interiorul retelei prin intermediul protocolului SMB, utilizand porturile UDP/37, UDP/138, TCP/139 si TCP/445. Procesul de raspandire se realizeaza prin exploatarea unei vulnerabilitati a rotocolului SMBv1 din cadrul Windows, cunoscuta ca CVE-2017-0145.
Microsoft a publicat inca din luna Martie 2017 o actualizare de securitate pentru rezolvarea vulnerabilitatii exploatata de acest ransomware pentru raspandire, cunoscuta ca MS17-010:https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Impact:
Urmatoarele sisteme de operare sunt cunoscute ca fiind pasibile de a fi afectate de aceasta amenintare in cazul in care nu au fost actualizate:
- Microsoft Windows Vista SP2
- Microsoft Windows Server 2008 SP2 si R2 SP1
- Microsoft Windows 7
- Microsoft Windows 8.1
- Microsoft Windows RT 8.1
- Microsoft Windows Server 2012 si R2
- Microsoft Windows 10
- Microsoft Windows Server 2016
- Microsoft Windows XP
- Microsoft Windows Server 2003
Masuri de prevenire:
Organizatiile si utilizatorii sistemelor de operare Windows sunt sfatuiti sa intreprinda urmatoarele masuri:
- Actualizarea la zi a sistemelor de operare si aplicatiilor, inclusiv cu patch-ul MS17-010
- Microsoft a publicat actualizari de securitate inclusiv pentru sistemele de operare care nu mai beneficiaza de suport, precum Windows XP: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/;
- Blocarea porturilor SMB (139, 445) in cadrul retelei;
- Utilizarea unui antivirus actualizat cu ultimele semnaturi;
- Manifestarea unei atentii sporite la deschiderea fisierelor si link-urilor provenite din surse necunoscute/incerte, mai ales cele din mesajele email;
- Realizarea periodica a unor copii de siguranta (backup) pentru datele importante.
Masuri de remediere:
In eventualitatea infectarii cu ransomware, CERT-RO va recomanda sa intreprindeti de urgenta urmatoarele masuri:
- Deconectarea imediata de la retea a sistemelor informatice afectate;
- Restaurati fisierele compromise utilizand copiile de siguranta (backup);
- Dezinfectati sistemele compromise;
- Raportati incidentul catre CERT-RO la adresa de email alerts@cert.ro.