CERT.RO a primit trei notificari de incidente cauzate de WannaCry: doua de la institutii publice si una de la o companie privata. Cum arata distributia geografica a celor 326 IP-uri afectate

de Vlad Barza     HotNews.ro
Marţi, 16 mai 2017, 14:46 Economie | IT

Distributia adreselor IP afectate pe zone geografice
Foto: CERT-RO
Peste 320 de adrese IP publice au fost afectate de campania ransomware "WannaCry", dintre care 94 in Bucuresti si 38 din Iasi, arata cele mai noi date prezentate de CERT.RO in legatura cu uriasa campanie ransomware. Printre sistemele afectate asociate acestor IP-uri se regasesc companii ce activeaza in sectoarele energetic, transporturi, telecom sau auto, dar si sase institutii publice, arata datele Centrului National de Raspuns la Incidente de Securitate Cibernetica.

Care este situatia in Romania?

Inca din dupa amiaza zilei de Vineri 12 mai 2017, cand s-au inregistrat primele semne ale fenomenului la nivel mondial,  CERT-RO a constituit o echipa de monitorizare a evolutiei campaniei WannaCry la nivel national. In lipsa unei legislatii nationale care sa prevada obligativitatea raportarii incidentelor de securitate cibernetica, CERT-RO nu poate realiza o evaluare exacta a numarului de organizatii si utilizatori casnici afectati si impactul produs.

In acest context, CERT-RO a colectat si procesat o serie de informatii relevante pentru campania WannaCry din surse precum:

  •  Jurnalele (log-urile) conexiunilor realizate de sistemele informatice exploatate cu serverele de tip sinkhole constituite de organizatii partenere si cercetatori (in special cele furnizate de MalwareTech);
  •   Notificarile primite de la organizatii si utilizatori afectati din Romania;
  •   Informatiile furnizate de organizatiile partenere ale CERT-RO, atat de la nivel national cat si international;
  •   Informatiile colectate din diferite surse deschise.

Urmare a analizarii log-urilor furnizate de MalwareTech, a rezultat ca aproximativ 326 de adrese IP publice din Romania au realizat conexiuni catre site-ul web utilizat in mecanismul de kill switch al WannaCry. Ca urmare, se pot trage urmatoarele concluzii:
  •  Se poate afirma cu precizie ca toate sistemele informatice din spatele celor 326 de adrese IP au fost exploatate;
  •   In lipsa altor informatii, nu se poate deduce cu exactitate cate dintre acestea au fost criptate. De fapt, avand in vedere ca s-au conectat la domeniul cu rol de kill switch, este foarte probabil ca majoritatea sa nu fi fost criptate;
  •   Exista posibilitatea ca in spatele celor 326 de adrese IP publice sa se regaseasca mai multe sisteme informatice exploatate (datorita mecanismului NAT ¬ Network Address Translation care da posibilitatea ca o intreaga retea de PC-uri sa comunice in internet printr-un singur IP public).
Pana in prezent CERT-RO a primit un numar de trei notificari de incidente datorate WannaCry: doua de la institutii publice si una de la o companie privata. Din informatiile disponibile cu privire la cele 326 adrese IP publice, a reiesit ca printre sistemele afectate asociate acestor IP-uri se regasesc companii ce activeaza in sectoarele energetic, transporturi, telecom sau auto, dar si 6 institutii publice. Cu toate acestea, datele nu arata daca este vorba de sisteme ale institutiilor respective sau daca sunt IP-uri ce au fost date spre folosinta catre terti.

Astfel, in urma verificarilor efectuate de reprezentantii institutiilor respective a reiesit ca trei dintre resursele informatice semnalate ca posibil infectate au fost date spre folosinta catre alte persoane juridice de drept privat.

Ce stim despre campania WannaCry

In ultimele zile, utilizatori din intreaga lume au fost infectati prin intermediul campaniei ransomware WannaCry.  Atacul este unul extrem de sever, iar raspandirea lui este inca in desfasurare. In acest articol, echipa CERT-RO isi propune sa realizeze o sinteza a datelor culese pana in prezent din surse proprii si surse deschise si sa ofere raspunsuri la cele mai frecvente intrebari primite.

Ce s-a intamplat de fapt?

Incepand cu a doua parte a zilei de vineri 12 mai 2017, multiple organizatii si utilizatori casnici din lume (inclusiv din Romania) au fost afectati de un malware de tip crypto-ransomware cunoscut sub denumirea de WannaCry (sau WannaCrypt, WanaCrypt0r, WCrypt, WCRY).

Amenintarile cibernetice de tip ransomware nu reprezinta o noutate, in ultimii ani inregistrandu-se o crestere evidenta a numarului de victime dar si a complexitatii si varietatii campaniilor/versiunilor de malware utilizate. Totusi, WannaCry se deosebeste de marea majoritate a campaniilor precedente prin faptul ca utilizeaza o capabilitate de raspandire rapida in retea specifica viermilor informatici (precum bine-cunoscutul Conficker).

Conform unui comunicat de presa al Agentiei Europene pentru Securitatea Retelelor si Sistemelor Informatice (ENISA), campania WannaCry a atins in jur de 190.000 de sisteme compromise localizate in peste 150 de tari, printre organizatiile afectate regasindu-se si operatori de servicii esentiale (sanatate, energie, transport, finante, telecom).

Un aspect interesant este acela ca aceasta campanie a debutat intr-o zi de vineri, chiar inainte de weekend, fapt care a ingreunat procesul de detectie si raspuns.

Cum functioneaza WannaCry?

Pana in acest moment se stie sigur ca malware-ul se propaga prin exploatarea unei vulnerabilitati a protocolului SMB (Server Message Block) din cadrul sistemelor de operare Windows XP/7/8/8.1, Windows 10 nefiind vulnerabil. WannaCry utilizeaza un exploit (modul de exploatare) publicat de grupul ShadowBrokers cu cateva luni in urma, odata cu alte unelte de exploatare despre care se presupune ca ar fi fost dezvoltate de Agentia Nationala de Securitate a SUA (NSA).

Compania Microsoft a publicat inca din 14 martie 2017 o actualizare de securitate (patch) pentru rezolvarea acestei vulnerabilitati:MS17-010. Cu toate acestea, sistemele Windows carora nu le-a fost aplicat acest patch sunt in continuare vulnerabile.

In prezent nu se stie cu exactitate care a fost vectorul initial de infectie, existand doua variante posibile:
  •  Atacul initial a constat intr-o campanie de tip email phishing/spear-phishing, urmata de propagarea infectiei si la alte sisteme Windows accesibile prin retea si vulnerabile;
  •  Spatiul de adrese IP publice din Internet a fost scanat pentru a identifica sistemele Windows expuse si vulnerabile, acestea fiind ulterior exploatate de la distanta.
Varianta initiala a malware-ului WannaCry dispune de un mecanism de dezactivare (kill switch) care functioneaza astfel: odata reusita exploatarea unui sistem informatic, malware-ul verifica mai intai daca poate realiza o conexiune catre un anume domeniu web, iar in caz afirmativ nu mai porneste procesul de criptare a fisierelor de pe statia compromisa.

Domeniul respectiv este iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

La momentul lansarii campaniei, domeniul de mai sus nu era inregistrat, astfel ca mecanismul de dezactivare nu functiona. Asta inseamna ca, cel mai probabil, creatorii acestui malware au intentionat sa activeze "butonul de oprire" la o data ulterioara, prin inregistrarea domeniului respectiv si activarea acestuia. Din fericire, un cercetator britanic cunoscut sub pseudonimul de MalwareTech a identificat mult mai devreme decat probabil ar fi vrut atacatorii faptul ca malware-ul incerca sa contacteze domeniul mentionat mai sus, desi nu era inca inregistrat. Acesta a inregistrat domeniul respectiv in dimineata zilei de sambata 13 mai 2017 si practic a franat puternic rata de raspandire a malware-ului, deoarece majoritatea noilor sisteme exploatate (exceptie facand cele care nu aveau conectivitate la Internet) au reusit conectarea la domeniul in cauza si astfel nu au mai fost criptate.

Este de presupus ca atacatorii vor incerca sa utilizeze o varianta modificata astfel incat sa nu mai contina niciun kill switch. Pana in prezent au fost observate diferite astfel de variante, insa se pare ca majoritatea au fost create de cercetatori prin editare hexazecimala, nu prin recompilare.


Citeste mai multe despre   












VIDEO Economistii-sefi ai primelor 3 banci comerciale, despre evolutia economiei romanesti. Ce proiecte mari de investitii finanteaza bancile la ora actuala?

Economistii sefi ai primelor 3 banci comerciale, Horia Braun (BCR), Florian Libocor (BRD-GSG) si Andrei Radulescu (BT) au discutat luni dimineata, in cadrul unei mesei rotunde organizate de HotNews.ro si StartupCafe.ro, despre investitiile bancilor in economie romaneasca si starea actuala a economiei, precum si despre fluctuatiile care au tinut prima pagina in ultima perioada.
  • A. Radulescu: Daca statul nu investeste, atunci de ce sa isi asume sectorul privat riscuri?
  • F. Libocor: Banii se duc acolo unde exista certitudini, predictibilitate, stabilitate. Lipsa acestor caracteristici loveste in mai multe zone, cu precadere in investitii.
  • H. Braun: Speram la o dinamica pozitiva, insa trebuie sa puna umarulul statul,bancile, si managementul companiilor.

10285 vizualizari

  • +1 (1 vot)    
    sa ma bata Sf. Petru... (Marţi, 16 mai 2017, 15:44)

    ..13 [utilizator]

    Daca io mai stiu sa adun si sa impart...

    Deci in grafic au ma ramas 92 de ip-uri infectate care ar trebui sa se raspandeasca la 20-21 de judete - deci media ar fi 92/21??? Pare mai mare decat 2, cred io...

    ca sa depasesc momentul cu aritmetica

    nu stiu de ce cred io ca au fost cu mult mai multe IP-uri atinse dara unii inca nu au aflat pe ce lume sunt - poate gresesc si aici - iertare Dvs.
    • +3 (3 voturi)    
      posibil sa fie problema cu lb. Romana (Marţi, 16 mai 2017, 16:19)

      IonToader1 [anonim] i-a raspuns lui ..13

      au pus in grafic "alte judete", dar au insirat nume de localitati. CERT ca sunt vai mama lor de specialisti.
  • -4 (6 voturi)    
    nebunie (Marţi, 16 mai 2017, 16:32)

    Leinad [utilizator]

    Totul este o "mana" unui serviciu secret. Sincer, chiar nu cred ca e mana unor hackeri care sa lucreze doar pentru ei. Parerea mea. Apoi, totul e simplu de contracarat daca cei de la microsoft ar pune la dispozitie o singura informatie... porturile vulnerabile pentru sistemul lor de operare. Si totul se rezolva foarte simplu... Din router sau modem sau chiar din windows (firewall fizic sau software) blochezi accesul din exterior la acele porturi. Oricum, cei mai multi dintre noi folosim doar cateva porturi care sunt importante pentru a naviga pe internet. Restul, este foarte bine sa le avem blocate.
    • +1 (1 vot)    
      sigur (Miercuri, 17 mai 2017, 3:43)

      1anonim [utilizator] i-a raspuns lui Leinad

      Vezi ca esti pe dinafara: 1. Microsoft a pus la dispozitie porturile de care vorbesti - de fapt nu le-a ascuns niciodata; si 2. iar esti pe dinafara cu solutia ta pentru ca se face si o scanare de porturi disponibile. si 3. nici un serviciu secret nu se expune niciodata asa cum s-a intamplat in acest caz- e un nonsens ( nu au castigat financiar, testul nu a fost concludent, si in plus acum politiile + institutiile specializate din toata lumea ii cauta); Si nu te strofoca pe persoana fizica, atacul nu a fost indreptat impotriva prostanacilor ieftini, scopul sau tinteste ulterior mult mai mult, bani grei sau secrete importante..
  • -2 (2 voturi)    
    Pai si tu crezi (Marţi, 16 mai 2017, 18:16)

    MoemBius [utilizator]

    ca baietzii "blonji" cu ochii albastri de la NSA stau si se uita la aia de la MicroSovt cum declara care sint porturile alea ? de parca nu ar merge baietzii mana in mana si au lasat porturile alea "compromise" dintr-o greseala ....minora asa?
    poate cauti pe goagal tot asa acum ceva timp o oarece bresa de securitate la care baietziii aia de la softu al mai micro au "recunoscut" ca e un feature nu un bug?
    era un feature pentru baietzii blonji cu ochi bleu
  • 0 (0 voturi)    
    __|__ (Miercuri, 17 mai 2017, 9:30)

    MamboNoFaiv [utilizator]

    Daca ordonati graficul alfabetic, cu liniile mari pe mijloc, descrescator catre margini e mult mai susgestiv


Abonare la comentarii cu RSS



ESRI

Top 5 articole cele mai ...



Hotnews
Agenţii de ştiri

Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.
hosted by
powered by
developed by
mobile version