CERT-RO: WannaCry, spre deosebire de alte campanii ransomware are si capacitatea de a se raspandi in retea / Ce sisteme de operare sunt afectate si ce masuri pot fi luate
Spre deosebire de alte campanii ransomware din trecut, actualul atac cu varianta WannaCry dispune si de capabilitati de raspandire in retea (lateral movement) prin exploatarea unei vulnerabilitati a protocolului SMBv1, informeaza Centrul National de Raspuns la Incidente de Securitate Cibernetica (CERT-RO).
Aceasta amenintare se propaga prin intermediul unor mesaje email care contin atasamente si link-uri malitioase, atacatorii utilizand tehnici de inginerie sociala pentru a determina utilizatorii sa acceseze resursele malitioase.
Odata infectata o statie de lucru dintr-o retea, maware-ul incearca sa se raspandeasca in interiorul retelei prin intermediul protocolului SMB, utilizand porturile UDP/37, UDP/138, TCP/139 si TCP/445. Procesul de raspandire se realizeaza prin exploatarea unei vulnerabilitati a rotocolului SMBv1 din cadrul Windows, cunoscuta ca CVE-2017-0145.
Microsoft a publicat inca din luna Martie 2017 o actualizare de securitate pentru rezolvarea vulnerabilitatii exploatata de acest ransomware pentru raspandire, cunoscuta ca MS17-010:https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
Impact:
Urmatoarele sisteme de operare sunt cunoscute ca fiind pasibile de a fi afectate de aceasta amenintare in cazul in care nu au fost actualizate:
- Microsoft Windows Vista SP2
- Microsoft Windows Server 2008 SP2 si R2 SP1
- Microsoft Windows 7
- Microsoft Windows 8.1
- Microsoft Windows RT 8.1
- Microsoft Windows Server 2012 si R2
- Microsoft Windows 10
- Microsoft Windows Server 2016
- Microsoft Windows XP
- Microsoft Windows Server 2003
Masuri de prevenire:
Organizatiile si utilizatorii sistemelor de operare Windows sunt sfatuiti sa intreprinda urmatoarele masuri:
- Actualizarea la zi a sistemelor de operare si aplicatiilor, inclusiv cu patch-ul MS17-010
- Microsoft a publicat actualizari de securitate inclusiv pentru sistemele de operare care nu mai beneficiaza de suport, precum Windows XP: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/;
- Blocarea porturilor SMB (139, 445) in cadrul retelei;
- Utilizarea unui antivirus actualizat cu ultimele semnaturi;
- Manifestarea unei atentii sporite la deschiderea fisierelor si link-urilor provenite din surse necunoscute/incerte, mai ales cele din mesajele email;
- Realizarea periodica a unor copii de siguranta (backup) pentru datele importante.
Masuri de remediere:
In eventualitatea infectarii cu ransomware, CERT-RO va recomanda sa intreprindeti de urgenta urmatoarele masuri:
- Deconectarea imediata de la retea a sistemelor informatice afectate;
- Restaurati fisierele compromise utilizand copiile de siguranta (backup);
- Dezinfectati sistemele compromise;
- Raportati incidentul catre CERT-RO la adresa de email alerts@cert.ro.