UPDATE: Atacul cibernetic fără precedent din Ucraina se răspândeşte în Europa. Bitdefender: Atacul a lovit şi în România

UPDATE 22:50 Kaspersky:Rezultatele noastre preliminare sugerează că este vorba de un ransomware nemaiîntâlnit până acum;2.000 de utilizatori,atacaţi

naliştii Kaspersky Lab investighează un nou val de atacuri ransomware care vizează organizaţii din toată lumea, iar rezultatele preliminare sugerează că este vorba de un ransomware care nu a mai fost întâlnit până acum, datele telemetrice ale companiei indicând aproximativ 2.000 de utilizatori atacaţi, a declarat Costin Raiu, director al echipei globale de cercetare şi analiză de la Kaspersky Lab, referitor la atacurile de marţi.

‘Organizaţiile din Rusia şi Ucraina sunt cele mai afectate, dar am înregistrat atacuri şi în Polonia, Marea Britanie, Germania, Franţa, SUA, România şi alte ţări. Pare să fie un atac complex, care implică mai mulţi vectori. Putem confirma că este folosit un exploit modificat EternalBlue pentru propagare, cel puţin în interiorul reţelelor corporate’, spune Raiu, într-o declaraţie remisă AGERPRES.

Potrivit acestuia, Kaspersky Lab detectează această ameninţare ca UDS:DangeroundObject.Multi.Generic, iar experţii companie speră să scoată noi semnături, inclusiv pentru componenta System Watcher cât de curând posibil şi să stabilească dacă este posibilă decriptarea datelor blocate în atac – cu intenţia de a dezvolta un instrument de decriptare cât mai curând.

‘Le recomandăm tuturor companiilor să îşi actualizeze software-ul Windows, să-şi verifice soluţia de securitate şi să se asigure că au făcut backup şi au detecţie ransomware activă’, mai afirmă directorul Kaspersky.

Conform unui comunicat postat pe site-ul al CERT.RO, începând de marţi, 26 iunie 2017, companii din mai multe ţări, mai cu seamă Ucraina, au fost afectate de o variantă de ransomware cunoscută cu denumirea de Petya/Petwarp, care pare să fie o formă modificată a variantei de ransomware Petya, cunoscută încă din anul 2016.

Până în acest moment nu a fost stabilit cu exactitate vectorul de infecţie (modalitatea de răspândire), însă în urma analizării informaţiilor deţinute până în acest moment de CERT-RO (atât din surse proprii cât şi externe), există mai multe variante posibile: răspândirea printr-o campanie de mesaje email de tip SPAM ce conţin oferte cu locuri de muncă (email recruiting); exploatarea unei vulnerabilităţi a protocolului SMB, posibil chiar cea cunoscută cu denumirea de EternalBlue (utilizată şi de WannaCry); răspândirea în reţea (lateral movement) prin facilitatea WMIC (Windows Management Instrumentation Command-line).

Această variantă de ransomware afectează sistemele de operare Windows şi are atât capabilităţi de criptare a fişierelor de pe disc, dar şi de blocare a accesului la PC prin alterarea MBR (Master Boot Record). Se pare ca în mod implicit malware-ul încearcă mai întâi să blocheze accesul la sistem prin alterarea MBR, însă dacă nu reuşeşte să obţină privilegii de administrator pentru a efectua această operaţiune criptează direct fişierele de pe disc.

Suma solicitată de atacatori pentru recuperarea accesului la sistemul afectat şi la fişiere este echivalentul a 300 de dolari în moneda virtuală Bitcoin.

UPDATE 19:55 Bitdefender: Versiunea de ransomware GoldenEye foloseşte aceeaşi vulnerabilitate EternalBlue

O analiză preliminară a specialiştilor Bitdefender arată că versiunea de ransomware GoldenEye foloseşte aceeaşi vulnerabilitate EternalBlue, prezentă în majoritatea versiunilor sistemului de operare Windows, pe care au exploatat-o în luna mai 2017 şi atacatorii din spatele WannaCry şi Adylkuzz, arată Răzvan Mureşan, Public Relations Specialist în cadrul Bitdefender.

‘Apariţia ameninţării GoldenEye confirmă previziunile Bitdefender conform cărora grupuri de atacatori vor exploata continuu vulnerabilitatea EternalBlue (MS17-010) din sistemul de operare Windows, operată anterior de Agenţia Naţională de Securitate din Statele Unite ale Americii (NSA), până ce toţi utilizatorii vor fi făcut actualizarea la cea mai recentă versiune. Vulnerabilitatea EternalBlue permite atacatorului să ruleze cod periculos pe un computer vulnerabil şi să folosească acel cod pentru a infecta sistemul cu ransomware fără ca cineva sa acceseze linkuri sau să deschidă emailuri infectate. Specialiştii în securitate cibernetică de la Bitdefender susţin ferm că victimele nu ar trebui să achite sumele cerute de criminalii informatici din mai multe motive: nu există niciun fel de garanţie că atacatorul va onora promisiunea şi va reda accesul la date; în cazul în care plătesc, victimele pot fi ţintite din nou de atacatori, dat fiind că îşi construiesc în faţa infractorilor un istoric de bun platnic; fiecare sumă de bani transferată va ajuta dezvoltatorii de ransomware să construiască versiuni şi mai complexe şi să crească amploarea acestui fenomen’, precizează Răzvan Mureşan într-un comunicat remis AGERPRES.

Experţii în securitate ai Bitdefender recomandă, pentru companii, să aibă o evidenţă clară a tuturor datelor deţinute şi a localizării lor, astfel încât infractorii să nu atace sisteme de a căror existentă acestea să nu ştie. De asemenea, este recomandată o copie a datelor nou intrate în companie, inclusiv a informaţiilor de pe dispozitivele angajaţilor, astfel încât recuperarea acestora sa fie mai facilă în eventualitatea unei criptări. Totodată, companiile trebuie să se asigure că datele critice/sensibile sunt stocate şi într-o infrastructură fără conexiune la internet şi permanent monitorizată.

Pentru a optimiza traficul de reţea şi accesul la date, reţeaua trebuie segmentată, acţiune care poate îngreuna munca unui atacator de a ajunge rapid la datele critice ale companiei.

‘Nu tineţi toate datele într-un singur loc care poate fi accesat de oricine din companie. Angajaţii trebuie informaţi în mod constant despre bunele practici în materie de securitate cibernetică. Insistaţi pe recomandarea de a nu accesa în niciun caz linkuri sau fişiere ataşate provenite de la expeditori necunoscuţi, modalitatea favorită de atac a infractorilor cibernetici. Puneţi la punct o strategie de comunicare internă capabilă să anunţe rapid angajaţii când un virus ajunge în reţeaua companiei. Înainte ca un atac să aibă loc, stabiliţi împreună cu factorii de decizie din companie dacă plătiţi recompensa cerută de către atacatori sau dacă vă asumaţi pierderea datelor şi iniţiaţi o investigaţie. De regulă, atacatorii solicită recompense de mii sau zeci de mii de dolari companiilor pentru a reda utilizatorilor la accesul la datele criptate. Faceţi o analiză a ameninţărilor informatice cu furnizorii pentru a afla ce riscuri de securitate comportă fiecare dispozitiv sau aplicaţie cumpărate de companie. Instruiţi echipele de securitate informatică să realizeze teste de rezistenţă pentru a găsi din timp eventuale vulnerabilităţi’, arată Răzvan Mureşan.

UPDATE 19:10  SRI: Instituţiile româneşti protejate prin sistemul informatic Ţiţeica nu sunt afectate de atacul cibernetic

Cele 54 de instituţii româneşti protejate prin Sistemul naţional de protecţie a infrastructurilor IT&C împotriva ameninţărilor provenite din spaţiul cibernetic, cunoscut şi sub numele de sistemul Ţiţeica, nu sunt afectate de atacul de tip ransomware care afectează Ucraina şi alte state din zonă, a declarat, marţi, purtătorul de cuvânt al SRI, Ovidiu Marincea.

‘Semnăturile viruşilor au fost verificate în sistemul informatic Ţiţeica şi nu apar la cele 54 de instituţii beneficiare’, a adăugat Marincea.

Potrivit acestuia, o campanie ransomware masivă afectează Ucraina şi alte state din regiune, iar proiectul desfăşurat de NATO în Ucraina, prin care România a furnizat echipamente şi consultanţă cibernetică ţării vecine, nu acoperă decât zona guvernamentală.

‘Este vorba despre cea mai recentă versiune de ransomware Petya ce vine împachetat cu ransomware-ul Mischa, practic o versiune de ransomware 2 în 1 cunoscut şi ca GoldenEye. Petya targhetează sistemul de operare Windows şi e distribuit printr-o campanie de mail ce impersonează mailuri de la aplicanţi pentru un job în companie. Petya suprascrie MBT (master boot record) al discului PC şi nu mai permite încărcarea sistemului de operare la pornire, afişând un ecran albastru. Reporneşte automat calculatorul, simulează o reparare a discului şi de fapt criptează MFT (master file table). Pentru a se executa, are nevoie de drepturi extinse de administrator. Pentru utilizatorii cu drepturi restrânse nu se execută. Dacă nu reuşeşte infecţia, atunci partea a doua a ransomware-ului Mischa criptează fişierele utilizatorului’, a explicat Marincea.

Purtătorul de cuvânt al SRI a mai spus că pentru protecţie este necesară o copie de siguranţă a datelor, actualizarea la zi a sistemului de operare şi un antivirus cu licenţă.

Atacul din Ucraina vizează mai multe bănci, un distribuitor de energie electrică, precum şi compania aeronautică Antonov.

Banca Centrală a anunţat că acest atac cibernetic este cauzat de un virus necunoscut, dar nu a dat mai multe detalii despre băncile afectate din Ucraina.

”Ca urmare a acestor atacuri cibernetice, aceste bănci au dificultăţi cu servirea clienţilor şi operaţiunile bancare”, se arată într-un comunicat al Băncii Centrale.

De asemenea, instituţia bancară a precizat că orice atac cibernetic asupra sistemelor informatice ale băncilor ucrainene va fi neutralizat, pentru că securitatea cibernetică este configurată în mod corespunzător.

Mai multe avioane ar putea să sufere întârzieri, din cauza atacului cibernetic care a lovit inclusiv aeroportul internaţional de la Kiev.

Bitdefender: Atacul ransomware care afectează Ucraina a lovit companii şi instituţii din România

Ameninţarea GoldenEye a făcut deja victime în mai multe ţări la nivel global, printre care România, Ucraina şi Rusia, a avertizat Bitdefender.

”Spre deosebire de alte versiuni de ransomware, care blochează datele utilizatorilor de pe calculatoarele infectate şi apoi solicită recompensă pentru a le reda accesul, noua versiune GoldenEye nu le permite victimelor să mai folosească dispozitivul infectat, dat fiind că, după ce termină procesul de criptare a datelor, forţează calculatorul să se închidă şi îl face inutilizabil până la plata recompensei de 300 de dolari”, a anunţat compania.

Specialiştii în securitate cibernetică recomandă utilizatorilor să facă mai multe copii ale datelor de importanţă strategică pentru a evita pierderea acestora. În plus, utilizatorii sunt sfătuiţi să actualizeze în regim de urgenţă sistemul de operare şi toate programele de pe calculator la cele mai recente versiuni şi să evite să folosească versiunile mai vechi ale programelor.

În martie 2017, Microsoft a furnizat un patch care blochează exploatarea vulnerabilităţii MS17-010 de către atacurile de tip ransomware, dar un număr necunoscut de calculatoare şi servere la nivel global – inclusiv cele care folosesc versiuni învechite ale Windows – nu au primit respectiva actualizare şi riscă să fie infectate în orice moment, au avertizat specialiştii.

În luna mai, sute de mii de terminale din companii şi instituţii publice din întreaga lume au fost lovite în luna mai de atacurile de tip ransomware WannaCry şi Adylkuzz, care folosesc o vulnerabilitate prezentă în majoritatea versiunilor sistemului de operare Windows.

Atacul se răspândeşte în Europa

Atacul pare că se răspândeşte rapid în întreaga lume şi a blocat deja sistemele informatice ale unor companii şi firme din Spania, Marea Britanie, Danemarca şi Rusia. Între timp, oficialii ucrainieni denunţă cel mai de amploare atac din istorie şi susţin că este vorba despre o versiune a ransomware-ului WannaCry, relatează Reuters şi The Independent, potrivit News.ro.

Aeroportul Borîspil se numără printre ţintele atacului informatic şi a avertizat că mai multe zboruri ar putea să decoleze cu întârziere de la Kiev.

De asemenea, două servicii poştale şi mai multe bănci ucrainene sunt vizate de atac, iar o versiune a virusului WannaCry a blocat sistemul informatic al distribuitorului de energie electrică Ukrenergo, precum şi compania aeronautică Antonov.

Însă, acest atac nu este limitat în Ucraina.

Atât compania petrolieră rusă Rosneft, cât şi compania daneză Maersk, au anunţat că sistemele lor informatice sunt pertubate, iar probleme există şi în birourile din Marea Britanie şi Irlanda.

”Putem să confirmăm că sistemele informatice ale Maersk au căzut în mai multe unităţi din cauza unui atac cibernetic. Continuăm să evaluăm situaţia. Siguranţa angajaţilor noştri, a operaţiunilor şi a clienţilor este prioritatea noastră”, se arată într-un comunicat al companiei Maersk.

Autorităţile spaniole au anunţat că un atac cibernetic a vizat inclusiv multinaţionalele Mondelez şi DLA Piper.

Ucrainenii se plâng că metroul nu mai acceptă plăţi electronice în Kiev. Probleme similare există în mai multe lanţuri de benzinării din Ucraina.

Vicepremierul ucrainean a anunţat că sistemul informatic guvernamental a căzut, iar un consilier al ministrului de Interne a precizat că este vorba de o versiune a ransomware-ului WannaCry, care a paralizat în luna mai peste 200.000 de calculatoare din mai mult de 150 de ţări.

O agenţie guvernamentală elveţiană a anunţat reîntoarcerea unui virus ransomware pe nume Petya, care a cauzat probleme în principal în Ucraina, Rusia, Marea Britanie şi India.

Virusul Petya a afectat mai multe sisteme informatice în 2016.