Un număr de 10 sisteme de operare și de tip server Windows sunt pasibile de a fi afectate de noua variantă de amenințare ransomware ‘WannaCry’, care a dus la numeroase probleme tehnice, în ultimele 24 de ore, în mai multe organizații și instituții din întreaga lume, a anunțat, sâmbătă, Centrul Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO), într-un comunicat de presă.
‘Începând de vineri, 12 mai 2017, numeroase organizații din întreaga lume au fost afectate de o nouă variantă de ransomware, care poarta denumirea de ?WannaCry’. Rapoartele preliminare atesta faptul că printre victime se afla companii-gigant, precum FedEx, operatorul de comunicații Telefonica din Spania, sau chiar sistemul de sănătate din Marea Britanie (National Health Service). Spre deosebire de alte campanii ransomware din trecut, cea de față dispune și de capabilități de răspândire în rețea (lateral movement) prin exploatarea unei vulnerabilități a protocolului SMBv1. Această amenințare se propagă prin intermediul unor mesaje e-mail care conțin atașamente și link-uri malițioase, atacatorii utilizând tehnici de inginerie socială pentru a determina utilizatorii să acceseze resursele malițioase. Odată infectată o stație de lucru dintr-o rețea, malware-ul încearcă să se răspândească în interiorul rețelei prin intermediul protocolului SMB, utilizând porturile UDP/37, UDP/138, TCP/139 și TCP/445. Procesul de răspândire se realizează prin exploatarea unei vulnerabilități a rotocolului SMBv1 din cadrul Windows, cunoscută ca CVE-2017-0145′, susțin specialiștii CERT-RO.
Potrivit sursei citate, Microsoft a publicat, încă din luna martie a acestui an, o actualizare de securitate pentru rezolvarea vulnerabilității exploatată de acest ransomware pentru răspândire, cunoscută ca MS17-010.
După analiza experților CERT-RO, lista sistemelor de operare pasibile de a fi afectate de această amenințare, în cazul în care nu au fost actualizate, sunt: Microsoft Windows Vista SP2, Microsoft Windows Server 2008 SP2 și R2 SP1, Microsoft Windows 7, Microsoft Windows 8.1, Microsoft Windows RT 8.1, Microsoft Windows Server 2012 și R2, Microsoft Windows 10, Microsoft Windows Server 2016, Microsoft Windows XP și Microsoft Windows Server 2003.
În acest context, specialiștii recomandă o serie de măsuri de prevenire a acestor atacuri cibernetice, printre care se regăsește actualizarea la zi a sistemelor de operare și aplicațiilor, inclusiv cu patch-ul MS17-010 (link: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx). În plus, Microsoft a publicat actualizări de securitate inclusiv pentru sistemele de operare care nu mai beneficiază de suport, precum Windows XP, disponibile la adresa
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/.
Totodată, specialiștii recomandă blocarea porturilor SMB (139, 445) în cadrul rețelei, utilizarea unui antivirus actualizat cu ultimele semnături, manifestarea unei atenții sporite la deschiderea fișierelor și link-urilor provenite din surse necunoscute/incerte, mai ales cele din mesajele email, precum și realizarea periodică a unor copii de siguranță (backup) pentru datele importante.
În eventualitatea infectării cu ransomware, CERT-RO susține că este nevoie de mai multe măsuri: deconectarea imediată de la rețea a sistemelor informatice afectate, restaurarea fișierelor compromise utilizând copiile de siguranță (backup), dezinfectarea sistemelor compromise și raportarea incidentul către CERT-RO la adresa de email alerts@cert.ro.
Vineri, un atac informatic „la nivel global” și calificat ca „incident major” de către Serviciul Național de Sănătate din Marea Britanie (NHS) a blocat calculatoarele a numeroase spitale din această țară, un atac similar înregistrând și mari companii spaniole, printre care Telefonica, a transmis AFP. Acest virus criptează datele existente pe un computer, cu scopul de a cere proprietarului o răscumpărare în schimbul unei chei de deblocare.
Atacul ar fi unul „la nivel global” și ar atinge organizații din Australia, Belgia, Franța, Germania, Italia și Mexic, au indicat analiști de la Forcepoint Security Labs, într-un comunicat, precizând că este vorba de o „campanie majoră de e-mailuri răuvoitoare”.
Potrivit agenției EFE, compania rusă Kaspersky de securitate informatică a estimat la peste 45.000 numărul atacurilor informatice cu virusul de tip ransomware, care au afectat vineri infrastructuri din cel puțin 74 de țări.
În luna iulie a anului trecut, Poliția națională olandeză și Europol au lansat proiectul ‘No More Ransom’, cu scopul de a crește nivelul de colaborare dintre sectoarele public și privat în lupta contra ransomware.
Un grup format din 13 țări s-a alăturat proiectului global „No More Ransom”, acestea fiind, în afară de Olanda: Bosnia și Herțegovina, Bulgaria, Columbia, Franța, Ungaria, Irlanda, Italia, Letonia, Lituania, Portugalia, Spania, Elveția și Marea Britanie.
Ransomware este un tip de programe malware care blochează computerele victimelor sau le criptează datele, solicitând plata unei răscumpărări, în schimbul recuperării controlului asupra dispozitivului sau a fișierelor afectate.