Co musisz wiedzieć o WannaCry

Hakerzy i Wirusy

Co się do diabła stało?
12 maja 2017 r. wiele organizacji zostało dotkniętych krypto ransomwarem zwanym WannaCry. Zainfekowani użytkownicy nie mogą używać swoich maszyn, a ich pliki zostały zaszyfrowane, dopóki nie wpłacą okupu w wysokości 300 dolarów w Bitcoinach. Informacja w WannaCry mówi jednak, że jeśli jesteś „zbyt biedny, aby zapłacić” okup, odblokujesz swoje pliki bezpłatnie … po 6 miesiącach.

Jak to w ogóle jest możliwe?
Laboratoria F-Secure ostrzegały przed gwałtownym wzrostem ransomware’u i niebezpieczeństwami płynącymi z  rządowych narzedzi do inwigilacji. WannaCry zdaje się łączyć najgorsze niebezpieczeństwa wynikające z obu ostrzeżeń.

Kto został zaatakowany?
Dotknięta została duża liczba organizacji, a także znaczna część infrastruktury publicznej. Jest to globalny wybuch, którego efekty, jak wynika z naszych raportów, dotknęło 60 krajów. Dotknął organizacji opieki zdrowotnej, a także firm telekomunikacyjnych, gazowych i energetycznych. Na przykład Narodowa Służba Zdrowia (NHS) w Anglii była jedną z najbardziej dotkniętych organizacji, szpitale zostały zamknięte, a zabiegi zostały odłożone.

Zdaniem F-Secure Labs, najbardziej dotkniętymi krajami są Rosja i Chiny, a następnie Francja, Tajwan, USA, Ukraina i Korea Południowa.

Jak duża jest tego skala?
Mikko Hypponen, nasz chief research officer, nazwał to „największym wybuchem ransomware w historii” pod względem infekcji. Ale w sobotę rano, dzień po wybuchu, zarobił zaledwie 25 000 dolarów, jak zauważył Andy Patel z naszych Laboratoriów.

„Rozprzestrzenianie się WCry zostało spowolnione przez działanie” przypadkowego bohatera „, który zarejestrował nazwę domeny” killswitch „, którą znalazł w kodzie” –  zauważył Andy. Jednak nie jesteśmy jeszcze bezpieczni. „Wystarzy jedynie niewielką edycją tego kodu, a także ponowne jego wydanie, aby ransomware wybuchł ponownie.”

Dlaczego jest tak wielka?
WannaCry wykorzystuje lukę w Server Message Block (SMB) w systemie Microsoft Windows, która umożliwia zdalne wykonanie kodu. Firma Microsoft poprawiła tę lukę już w marcu (MS17-010), jednak wiele środowisk informatycznych wciąż jest bez poprawek i/lub może uruchamiać starsze systemy operacyjne, takie jak XP, które nie są już obsługiwane, ani aktualizowane za pomocą poprawek zabezpieczeń. Istnieje również duża liczba maszyn z zainstalowanymi pirackimi kopiami systemu Windows (zwłaszcza w Chinach i Rosji), które ze względu na swoją naturę nie otrzymują oficjalnych aktualizacji, a więc narażają maszyny na niebezpieczeństwo.

Ze względu na rozmiar ogniska, firma Microsoft udostępniła poprawkę na systemy XP i Server 2003.

Co mogło temu zapobiec?
Wielkość ogniska wskazuje na liczbę maszyn, które nie zostały załatane aktualizacjami zabezpieczeń. Mogły to być trzy przyczyny – poprawka została udostępniona w marcu, ale nie została jeszcze zainstalowana z jakiegoś powodu, użyta została piracka kopia systemu Windows (a więc nie otrzymująca aktualizacji zabezpieczeń) lub są one wyposażone w system Windows XP, który nie jest już obsługiwany i nie otrzymuje aktualizacji.

Jak temu zapobiec? Aktualizuj oprogramowanie.

Dlaczego rozprzestrzenia się tak szybko?
Ponieważ luka w zabezpieczeniach MS17-010 umożliwia exploitowi działanie jako „robak”. A robaki rozprzestrzeniają się szybko z natury. WannaCry posiada funkcjonalność robaka, zdolną do skanowania i lokalizowania innych hostów oraz replikowania się na inne narażone maszyny za pośrednictwem luki EternalBlue. Nie wymaga to interakcji użytkownika. Twierdzenie, że WannaCrypt był początkowo rozpowszechniany przez spam jeszcze nie zostało zweryfikowane.

Robak czy trojan?
WannaCry nie jest robakiem internetowym. Jest to trojan z cechami robaka, gdy dotrze do sieci.

Więc dlaczego wygląda tak znajomo?
„To jest wybuch z przeszłości, ponieważ tego typu ransomware nie jest niczym nowym” – powiedział Sean Sullivan, doradca ds. Bezpieczeństwa F-Secure. „Przez długi czas organizacje ignorowały podstawową higienę firewalla, dlatego WannaCry wyrwał się tak łatwo”.

Czy jestem chroniony przed tym zagrożeniem?
Klienci są chronieni dzięki zaawansowanej ochronie punktów końcowych F-Secure, która oferuje technologie nowej generacji. Funkcjonalność F-Secure Deepguard zapewnia analizę zachowań opartych na hostach i przechwytywanie, które blokuje ransomware, takie jak WannaCry.

Organizacje powinny upewnić się, że mają prawidłowo skonfigurowaną zaporę sieciową i zainstalować najnowsze aktualizacje zabezpieczeń dla systemu Windows, w szczególności MS17-010, aby zapobiec rozprzestrzenianiu się malware’u. F-Secure Software Updater pomaga firmom aktualizować systemy firm trzecich.

Czy mogę odzyskać zaszyfrowane pliki?
Odszyfrowywanie nie jest obecnie możliwe. Zaszyfrowane pliki, w miarę możliwości, powinny być przywracane z kopii zapasowych.

Skąd się wziął WannaCrypt?
To crimeware, podobnie jak inne ransomware, ale …wykorzystuje lukę, która stała się znana dzięki narzędziom opracowanym przez NSA. Narzędzi, które zostały skradzione przez członków grupy The Shadow Brokers (uznanej za rosyjską) w kwietniu tego roku.

Czy jest to atak ukierunkowany?
Nie, nie jest to atak targetowany. Kampanie ransomware zazwyczaj nikogo nie dyskryminują.

Jakieś dobre wiadomości?
Wiemy, że jest to crimeware. Nie stoją za tym ani wrogie państwo ani  grupa terrorystyczna. Ofiary mogą płacić, aby odzyskać dostęp do swoich maszyn. Bardziej niebezpieczni napastnicy mogli nie dać takiej możliwości.

Jak chronimy Cię przed WannaCrypt?

Produkty do ochrony punktów końcowych F-Secure proaktywnie zapobiegają przed wszystkimi przykładami ransomware’u WannaCry.
Wykryliśmy zagrożenie na samym początku, co oznacza, że ochrona punktów końcowych naszych klientów była dostępna, zanim rozprzestrzeniła się na wielką skalę.

Produkty F-Secure chronią przed WannaCrypt na trzech warstwach:

  • Zintegrowany system zarządzania aktualizacjami Software Updater, zapobiega przed wykorzystaniem przez WannaCrypt podatności EnternalBlue przez automatyczne wdrożenie powiązanych łatek bezpieczeństwa.
  • Funkcjonalność Deepguard zapewnia analizę behawioralna na poziomie hosta i przechwycenie exploita, blokującego WannaCrypt.
  • Firewall F-Secure Firewall chroni przed rozprzestrzenianiem się  WannaCrypt w środowisku i szyfrowaniem plików.

Jestem klientem F-Secure – co mam zrobić?

  • Upewnij się. że DeepGuard i ochrona w czasie rzeczywistym są włączone na wszystkich punktach końcowych.
  • Zidentyfikuj punkty końcowe bez łatki Microsoft (4013389) za pomocą Software Updatera lub innych dostępnych narzędzi.
  • Zaktualizuj je natychmiast za pomocą Software Updatera.
    1. Jeśli nie możesz tego zrobić, wyłącz protokół SMBv1 zgodnie z dokumentem Microsoft Knowledge Base Article 2696547 w celu redukcji powierzchni ataku.
  • Skonfiguruj firewall by właściwie zablokować ruch
    1. Zablokuj port 445 przychodzący na wszystkich wewnętrznych i i mających kontakt z internetem systemach  Windows, by uchronić stajce robocze przed infekcją
    2. Zablokuj port 455 wychodzący z serwerów,  uchornić je przed rozprzestrzenianiem WannaCrypt w środowisku
    3. Alternatywnie możesz ustawić politykę Firewalla F-Secure na najwyższe ustawienie, które ma predefiniowane zasady blokowania ataków.

Jakie są najlepsze praktyki dotyczące ochrony przed ransomware?
Oto nasze TOP 5, które pozwalają utrzymać urządzenia z dala od ransomware:

Upewnij się, że masz solidne rozwiązanie zabezpieczające obejmujące wszystkie urządzenia (komputery PC, komputery Mac, smartfony i tablety). Ochrona punktów końcowych w rozwiązaniach F-Secure chroni przed wszystkimi znanymi zagrożeniami ransomware, a także może blokować zupełnie nowe zagrożenia zero-day. Ponieważ nowe warianty ransmoware pojawiają się co chwila, jest to ważne.

Wykonuj regularne kopie zapasowe danych. Przechowuj kopię zapasową w trybie offline, aby nie mogła zostać zainfekowana. Testuj je przywracając od czasu do czasu, aby upewnić się, że naprawdę działają. Dzięki dobrej kopii zapasowej, jeśli zostaniesz zaatakowany, możesz szybciej stanąć na nogi, bez konieczności płacenia przestępcom.

Aktualizuj oprogramowanie na wszystkich urządzeniach, aby uniknąć włamań wykorzystujących luki. Jeśli nie jesteś pewien, jak być ze wszystkim na bieżąco, możesz rozważyć użycie narzędzia identyfikującego stare wersje oprogramowania i sugerujące aktualizacje.

Bądź wyjątkowo ostrożny, jeśli chodzi o załączniki w emailach, zwłaszcza z plikami ZIP i dokumentami Office (Word, Excel i PowerPoint). Nie otwieraj załączników e-mail, które są wysyłane przez osobę, której nie znasz. Wyłącz również skrypty makr ze wszystkich plików pakietu Office otrzymywanych za pośrednictwem poczty elektronicznej.

Ogranicz używanie wtyczek przeglądarek. Wyłącz te powszechnie wykorzystywane, takie jak Flash Player i Silverlight, gdy ich nie używasz. Możesz to zrobić przez przeglądarkę internetową pod ustawieniami wtyczek.

Więc tak naprawdę związane jest to z aktualizacjami i agencjami wywiadowczymi gromadzącymi exploity?

TAK.

„Aby zapobiec „następnemu” atakowi, należy nakłonić rządy do niewykorzystywania luk w zabezpieczeniach we własnych celach” – powiedział Sean Sullivan. „Ta szczególna sytuacja mogłaby być znacznie gorsza, gdyby NSA nie wiedziała, że jej narzędzia zostały wykradzione. Jeśli trafiłyby w ręce gruoy czysto destrukcyjnej, problem byłby dużo większy.  Mam nadzieję, że NSA powróci do głównego zadania, czyli ochrony sieci, i ograniczy przechowywanie luk, a częściej będzie je zgłaszać.”

Ale to także wynika z rosnącej zależności od technologii i podatności na zagrożenia, które za tym idą. I z tego, jak nie jesteśmy gotowi skutecznie zabezpieczyć naszych systemów.

 

 

 

 

 

Tagi

Oceń artykuł

1 głosów

0 komentarzy

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj / Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj / Zmień )

Zdjęcie na Google+

Komentujesz korzystając z konta Google+. Wyloguj / Zmień )

Connecting to %s

Może Ci się też spodobać

%d blogerów lubi to: