CERT-RO: Utilizatorii a zece sisteme de operare şi de tip server Windows riscă pierderi din cauza atacului cibernetic

Un număr de 10 sisteme de operare şi de tip server Windows sunt pasibile de a fi afectate de noua variantă de ameninţare ransomware ‘WannaCry’, care a dus la numeroase probleme tehnice, în ultimele 24 de ore, în mai multe organizaţii şi instituţii din întreaga lume, a anunţat, sâmbătă, Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT-RO), într-un comunicat de presă citat de Agerpres.

‘Începând de vineri, 12 mai 2017, numeroase organizaţii din întreaga lume au fost afectate de o nouă variantă de ransomware, care poarta denumirea de ?WannaCry’. Rapoartele preliminare atesta faptul că printre victime se afla companii-gigant, precum FedEx, operatorul de comunicaţii Telefonica din Spania, sau chiar sistemul de sănătate din Marea Britanie (National Health Service). Spre deosebire de alte campanii ransomware din trecut, cea de faţă dispune şi de capabilităţi de răspândire în reţea (lateral movement) prin exploatarea unei vulnerabilităţi a protocolului SMBv1. Această ameninţare se propagă prin intermediul unor mesaje e-mail care conţin ataşamente şi link-uri maliţioase, atacatorii utilizând tehnici de inginerie socială pentru a determina utilizatorii să acceseze resursele maliţioase. Odată infectată o staţie de lucru dintr-o reţea, malware-ul încearcă să se răspândească în interiorul reţelei prin intermediul protocolului SMB, utilizând porturile UDP/37, UDP/138, TCP/139 şi TCP/445. Procesul de răspândire se realizează prin exploatarea unei vulnerabilităţi a rotocolului SMBv1 din cadrul Windows, cunoscută ca CVE-2017-0145′, susţin specialiştii CERT-RO.

Potrivit sursei citate, Microsoft a publicat, încă din luna martie a acestui an, o actualizare de securitate pentru rezolvarea vulnerabilităţii exploatată de acest ransomware pentru răspândire, cunoscută ca MS17-010.

După analiza experţilor CERT-RO, lista sistemelor de operare pasibile de a fi afectate de această ameninţare, în cazul în care nu au fost actualizate, sunt: Microsoft Windows Vista SP2, Microsoft Windows Server 2008 SP2 şi R2 SP1, Microsoft Windows 7, Microsoft Windows 8.1, Microsoft Windows RT 8.1, Microsoft Windows Server 2012 şi R2, Microsoft Windows 10, Microsoft Windows Server 2016, Microsoft Windows XP şi Microsoft Windows Server 2003.

În acest context, specialiştii recomandă o serie de măsuri de prevenire a acestor atacuri cibernetice, printre care se regăseşte actualizarea la zi a sistemelor de operare şi aplicaţiilor, inclusiv cu patch-ul MS17-010 (link: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx). În plus, Microsoft a publicat actualizări de securitate inclusiv pentru sistemele de operare care nu mai beneficiază de suport, precum Windows XP, disponibile la adresa
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/.

Totodată, specialiştii recomandă blocarea porturilor SMB (139, 445) în cadrul reţelei, utilizarea unui antivirus actualizat cu ultimele semnături, manifestarea unei atenţii sporite la deschiderea fişierelor şi link-urilor provenite din surse necunoscute/incerte, mai ales cele din mesajele email, precum şi realizarea periodică a unor copii de siguranţă (backup) pentru datele importante.

În eventualitatea infectării cu ransomware, CERT-RO susţine că este nevoie de mai multe măsuri: deconectarea imediată de la reţea a sistemelor informatice afectate, restaurarea fişierelor compromise utilizând copiile de siguranţă (backup), dezinfectarea sistemelor compromise şi raportarea incidentul către CERT-RO la adresa de email alerts@cert.ro.

Vineri, un atac informatic „la nivel global” şi calificat ca „incident major” de către Serviciul Naţional de Sănătate din Marea Britanie (NHS) a blocat calculatoarele a numeroase spitale din această ţară, un atac similar înregistrând şi mari companii spaniole, printre care Telefonica, a transmis AFP. Acest virus criptează datele existente pe un computer, cu scopul de a cere proprietarului o răscumpărare în schimbul unei chei de deblocare.

Atacul ar fi unul „la nivel global” şi ar atinge organizaţii din Australia, Belgia, Franţa, Germania, Italia şi Mexic, au indicat analişti de la Forcepoint Security Labs, într-un comunicat, precizând că este vorba de o „campanie majoră de e-mailuri răuvoitoare”.

Potrivit agenţiei EFE, compania rusă Kaspersky de securitate informatică a estimat la peste 45.000 numărul atacurilor informatice cu virusul de tip ransomware, care au afectat vineri infrastructuri din cel puţin 74 de ţări.

În luna iulie a anului trecut, Poliţia naţională olandeză şi Europol au lansat proiectul ‘No More Ransom’, cu scopul de a creşte nivelul de colaborare dintre sectoarele public şi privat în lupta contra ransomware.

Un grup format din 13 ţări s-a alăturat proiectului global „No More Ransom”, acestea fiind, în afară de Olanda: Bosnia şi Herţegovina, Bulgaria, Columbia, Franţa, Ungaria, Irlanda, Italia, Letonia, Lituania, Portugalia, Spania, Elveţia şi Marea Britanie.

Ransomware este un tip de programe malware care blochează computerele victimelor sau le criptează datele, solicitând plata unei răscumpărări, în schimbul recuperării controlului asupra dispozitivului sau a fişierelor afectate.