Peste 500 de adrese IP publice au fost afectate de campania ransomware "WannaCry", arata cele mai noi date prezentate de CERT.RO. Pana in prezent au fost afectate zece institutii publice, arata datele Centrului National de Raspuns la Incidente de Securitate Cibernetica care semnaleaza un instrument de decriptare publicat pe blogul Comae Technologies.
"Conform ultimelor date detinute de CERT-RO, numarul de IP-uri afectate din Romania a ajuns la 514, zece dintre acestea apartinand unor institutii publice. Cu toate acestea, din datele pe care le avem nu putem spune daca este vorba de sisteme ale institutiilor respective sau daca sunt IP-uri ce au fost date spre folosinta catre terti".
Pana in prezent CERT-RO a primit cinci notificari, de la doua companii private, doua companii de stat, precum si de o persoana fizica.
Despre campania WannaCry
In ultimele zile, utilizatori din intreaga lume au fost infectati prin intermediul campaniei ransomware WannaCry. Atacul este unul extrem de sever, iar raspandirea lui este inca in desfasurare. In acest articol, echipa CERT-RO isi propune sa realizeze o sinteza a datelor culese pana in prezent din surse proprii si surse deschise si sa ofere raspunsuri la cele mai frecvente intrebari primite.
Ce s-a intamplat de fapt?
Incepand cu a doua parte a zilei de vineri 12 mai 2017, multiple organizatii si utilizatori casnici din lume (inclusiv din Romania) au fost afectati de un malware de tip crypto-ransomware cunoscut sub denumirea de WannaCry (sau WannaCrypt, WanaCrypt0r, WCrypt, WCRY).
Amenintarile cibernetice de tip ransomware nu reprezinta o noutate, in ultimii ani inregistrandu-se o crestere evidenta a numarului de victime dar si a complexitatii si varietatii campaniilor/versiunilor de malware utilizate. Totusi, WannaCry se deosebeste de marea majoritate a campaniilor precedente prin faptul ca utilizeaza o capabilitate de raspandire rapida in retea specifica viermilor informatici (precum bine-cunoscutul Conficker).
Conform unui comunicat de presa al Agentiei Europene pentru Securitatea Retelelor si Sistemelor Informatice (ENISA), campania WannaCry a atins in jur de 190.000 de sisteme compromise localizate in peste 150 de tari, printre organizatiile afectate regasindu-se si operatori de servicii esentiale (sanatate, energie, transport, finante, telecom).
Un aspect interesant este acela ca aceasta campanie a debutat intr-o zi de vineri, chiar inainte de weekend, fapt care a ingreunat procesul de detectie si raspuns.
Cum functioneaza WannaCry?
Pana in acest moment se stie sigur ca malware-ul se propaga prin exploatarea unei vulnerabilitati a protocolului SMB (Server Message Block) din cadrul sistemelor de operare Windows XP/7/8/8.1, Windows 10 nefiind vulnerabil. WannaCry utilizeaza un exploit (modul de exploatare) publicat de grupul ShadowBrokers cu cateva luni in urma, odata cu alte unelte de exploatare despre care se presupune ca ar fi fost dezvoltate de Agentia Nationala de Securitate a SUA (NSA).
Compania Microsoft a publicat inca din 14 martie 2017 o actualizare de securitate (patch) pentru rezolvarea acestei vulnerabilitati:MS17-010. Cu toate acestea, sistemele Windows carora nu le-a fost aplicat acest patch sunt in continuare vulnerabile.
In prezent nu se stie cu exactitate care a fost vectorul initial de infectie, existand doua variante posibile:
Atacul initial a constat intr-o campanie de tip email phishing/spear-phishing, urmata de propagarea infectiei si la alte sisteme Windows accesibile prin retea si vulnerabile;
Spatiul de adrese IP publice din Internet a fost scanat pentru a identifica sistemele Windows expuse si vulnerabile, acestea fiind ulterior exploatate de la distanta.
Varianta initiala a malware-ului WannaCry dispune de un mecanism de dezactivare (kill switch) care functioneaza astfel: odata reusita exploatarea unui sistem informatic, malware-ul verifica mai intai daca poate realiza o conexiune catre un anume domeniu web, iar in caz afirmativ nu mai porneste procesul de criptare a fisierelor de pe statia compromisa.
Domeniul respectiv este iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
La momentul lansarii campaniei, domeniul de mai sus nu era inregistrat, astfel ca mecanismul de dezactivare nu functiona. Asta inseamna ca, cel mai probabil, creatorii acestui malware au intentionat sa activeze "butonul de oprire" la o data ulterioara, prin inregistrarea domeniului respectiv si activarea acestuia. Din fericire, un cercetator britanic cunoscut sub pseudonimul de MalwareTech a identificat mult mai devreme decat probabil ar fi vrut atacatorii faptul ca malware-ul incerca sa contacteze domeniul mentionat mai sus, desi nu era inca inregistrat. Acesta a inregistrat domeniul respectiv in dimineata zilei de sambata 13 mai 2017 si practic a franat puternic rata de raspandire a malware-ului, deoarece majoritatea noilor sisteme exploatate (exceptie facand cele care nu aveau conectivitate la Internet) au reusit conectarea la domeniul in cauza si astfel nu au mai fost criptate.
Este de presupus ca atacatorii vor incerca sa utilizeze o varianta modificata astfel incat sa nu mai contina niciun kill switch. Pana in prezent au fost observate diferite astfel de variante, insa se pare ca majoritatea au fost create de cercetatori prin editare hexazecimala, nu prin recompilare.
