Świat zaatakowany przez WannaCry. Jak można się bronić przed atakami ransomware?

0

Ransomware to najszybciej rozwijający się rodzaj szkodliwego oprogramowania. Analizy pokazują, że od 1 stycznia 2016 roku codziennie dochodzi do ponad 4 tysięcy ataków przeprowadzanych tą metodą. Ostatni globalny atak za pomocą ransomware WannaCry jest największym w historii.

Jest to wysoce złośliwy szczep autoreplikującego ransomware określanego na wiele sposobów, m.in. jako WCry, WannaCry, WannaCrypt0r, WannaCrypt lub WannaDecrypt04, który rozprzestrzeniał się za pomocą exploitu nazwanego ETERNALBLUE. Co interesujące: exploit został wykradziony w zeszłym miesiącu z amerykańskiej Agencji Bezpieczeństwa Narodowego (NSA) przez grupę cyberprzestępczą znaną jako The Shadow Brokers.

Ofiarami ataku padły m.in. rosyjskie Ministerstwo Spraw Wewnętrznych, uniwersytety w Chinach, węgierscy i hiszpańscy operatorzy telekomunikacyjni, a także szpitale prowadzone przez British National Health Services. Warto przy tym zwrócić uwagę na to, że informacje o wymaganym okupie pojawiły się w przynajmniej dwunastu wersjach językowych.

Użyty do ataku exploit ETERNALBLUE wykorzystuje lukę w protokole Microsoft Server Message Block 1.0 (SMBv1). Problem dotyczy następujących produktów firmy Microsoft: Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012 i Windows Server 2012 R2, Windows RT 8.1, Windows 10, Windows Server 2016, Windows Server Core installation option.

Microsoft wydał w marcu krytyczne poprawki tej luki w biuletynie Microsoft Security Bulletin MS17-010. W tym samym miesiącu firma Fortinet wydała sygnaturę IPS w celu wykrycia i zablokowania tej luki w zabezpieczeniach, a 12 maja – nowe sygnatury AV, aby wykryć i zatrzymać ten atak. Testy przeprowadzone przez osoby trzecie potwierdzają również, że oprogramowanie Fortinet Anti-Virus i FortiSandbox skutecznie blokują to złośliwe oprogramowanie.

W związku z atakiem eksperci Fortinet zalecają działania zapobiegawcze, które powinny podjąć zarówno organizacje, jak i użytkownicy prywatni:

  • regularne aktualizowanie oprogramowania oraz patchów na wszystkich urządzeniach podłączonych do sieci;
  • w przypadku organizacji z dużą liczbą urządzeń należy rozważyć wprowadzenie scentralizowanego systemu zarządzania aktualizacjami i patchami;
  • korzystanie z technologii AV, IPS oraz filtrowania sieci i ich bieżące aktualizowanie;
  • tworzenie kopii zapasowych danych, sprawdzanie ich integralności, szyfrowanie i testowanie procesu przywracania, aby upewnić się, że działa poprawnie;
  • skanowanie wszystkich przychodzących i wychodzących wiadomości e-mail w celu wykrywania zagrożeń i filtrowania plików wykonywalnych przed dotarciem do użytkowników końcowych;
  • regularne skanowanie antywirusowe i anty-malware na wszystkich urządzeniach;
  • wyłączanie makr w plikach przesyłanych pocztą elektroniczną; do otwierania załączonych plików pakietu MS Office zalecane jest używanie narzędzia Office Viewer, a nie pakietu biurowego Office;
  • ustanowienie strategii działania i reagowania na incydenty oraz przeprowadzanie regularnych ocen narażenia na atak.
Czytaj również:  Laser-Med S.A. ma list intencyjny ws. połączenia z One More Level S.A.