Spre deosebire de alte campanii ransomware din trecut, actualul atac cu varianta WannaCry dispune si de capabilitati de raspandire in retea (lateral movement) prin exploatarea unei vulnerabilitati a protocolului SMBv1, informeaza Centrul National de Raspuns la Incidente de Securitate Cibernetica (CERT-RO).

WannaCryFoto: Kaspersky

Aceasta amenintare se propaga prin intermediul unor mesaje email care contin atasamente si link-uri malitioase, atacatorii utilizand tehnici de inginerie sociala pentru a determina utilizatorii sa acceseze resursele malitioase.

Odata infectata o statie de lucru dintr-o retea, maware-ul incearca sa se raspandeasca in interiorul retelei prin intermediul protocolului SMB, utilizand porturile UDP/37, UDP/138, TCP/139 si TCP/445. Procesul de raspandire se realizeaza prin exploatarea unei vulnerabilitati a rotocolului SMBv1 din cadrul Windows, cunoscuta ca CVE-2017-0145.

Microsoft a publicat inca din luna Martie 2017 o actualizare de securitate pentru rezolvarea vulnerabilitatii exploatata de acest ransomware pentru raspandire, cunoscuta ca MS17-010:https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Impact:

Urmatoarele sisteme de operare sunt cunoscute ca fiind pasibile de a fi afectate de aceasta amenintare in cazul in care nu au fost actualizate:

  • Microsoft Windows Vista SP2
  • Microsoft Windows Server 2008 SP2 si R2 SP1
  • Microsoft Windows 7
  • Microsoft Windows 8.1
  • Microsoft Windows RT 8.1
  • Microsoft Windows Server 2012 si R2
  • Microsoft Windows 10
  • Microsoft Windows Server 2016
  • Microsoft Windows XP
  • Microsoft Windows Server 2003

Masuri de prevenire:

Organizatiile si utilizatorii sistemelor de operare Windows sunt sfatuiti sa intreprinda urmatoarele masuri:

  1. Actualizarea la zi a sistemelor de operare si aplicatiilor, inclusiv cu patch-ul MS17-010
  1. Microsoft a publicat actualizari de securitate inclusiv pentru sistemele de operare care nu mai beneficiaza de suport, precum Windows XP: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/;
  1. Blocarea porturilor SMB (139, 445) in cadrul retelei;
  2. Utilizarea unui antivirus actualizat cu ultimele semnaturi;
  3. Manifestarea unei atentii sporite la deschiderea fisierelor si link-urilor provenite din surse necunoscute/incerte, mai ales cele din mesajele email;
  4. Realizarea periodica a unor copii de siguranta (backup) pentru datele importante.

     

Masuri de remediere:

In eventualitatea infectarii cu ransomware, CERT-RO va recomanda sa intreprindeti de urgenta urmatoarele masuri:

  1. Deconectarea imediata de la retea a sistemelor informatice afectate;
  2. Restaurati fisierele compromise utilizand copiile de siguranta (backup);
  3. Dezinfectati sistemele compromise;
  4. Raportati incidentul catre CERT-RO la adresa de email alerts@cert.ro.