Pe 12 mai, un atac ransomware masiv a lovit organizatii din intreaga lume. Cercetatorii Kaspersky Lab au analizat datele si sunt in masura sa confirme ca subsistemele de protectie ale companiei au detectat cel putin 45.000 de tentative de infectare in 74 de tari, majoritatea in Rusia.
Programul ransomware infecteaza victimele, profitand de o vulnerabilitate Microsoft Windows, descrisa si rezolvata in Microsoft Security Bulletin MS17-010. Exploit-ul folosit, "Eternal Blue", a fost dezvaluit in cazul Shadowbrokers din 14 aprilie.
Odata ajunsi in sistem, atacatorii instaleaza un rootkit, care le permite sa descarce programul pentru a cripta datele. Malware-ul cripteaza fisierele. Ulterior, sunt afisate un mesaj in care se solicita 600 de dolari in Bitcoin si wallet-ul, iar rascumpararea creste in timp.
Expertii Kaspersky Lab incearca in prezent sa stabileasca daca este posibila decriptarea datelor criptate in timpul atacului, pentru a dezvolta un instrument de decriptare cat mai curand posibil.
Solutiile Kaspersky Lab detecteaza programul malware folosit in atac, sub urmatoarele denumiri:
* Trojan-Ransom.Win32.Scatter.uf
* Trojan-Ransom.Win32.Scatter.tr
* Trojan-Ransom.Win32.Fury.fr
* Trojan-Ransom.Win32.Gen.djd
* Trojan-Ransom.Win32.Wanna.b
* Trojan-Ransom.Win32.Wanna.c
* Trojan-Ransom.Win32.Wanna.d
* Trojan-Ransom.Win32.Wanna.f
* Trojan-Ransom.Win32.Zapchast.i
* Trojan.Win64.EquationDrug.gen
* Trojan.Win32.Generic (trebuie activata componenta System Watcher)
Recomandam urmatoarele masuri pentru a reduce riscul infectarii dispozitivelor:
* Instalati patch-ul oficial de la Microsoft, care rezolva vulnerabilitatea folosita in acest atac.
* Asigurati-va ca solutiile de securitate sunt pornite in fiecare nod de retea (daca este folosita o solutie Kaspersky Lab, asigurati-va ca include componenta System Watcher, o componenta de detectie proactiva, bazata pe analiza de comportament si ca aceasta este activata).
* Faceti o scanare folosind functia Critical Area Scan dintr-o solutie Kaspersky Lab, pentru a detecta infectia cat mai posibil (altfel, va fi detectata automat, daca nu este oprita, in cursul a 24 de ore).
* Faceti un reboot al sistemului, daca detecteaza MEM: Trojan.Win64.EquationDrug.gen.
* Folositi servicii de raportare privind informatiile despre amenintari, disponibile pentru clienti.
O descriere detalita a metodei de atac WannaCry si a indicatorilor de compromitere este disponibila in acest articol de pe Securelist: https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/
