Pe 12 mai, organizatii din toata lumea au fost afectate de un atac masiv de tip ransomware, denumit WannaCry, care a folosit o vulnerabilitate (rezolvata acum) a Microsoft Windows, dezvaluita in cazul Shadowbrokers, din 14 martie.
Cercetatorii Kaspersky Lab au continuat sa urmareasca evolutia acestei amenintari pe parcursul weekend-ului. Numarul total de variante aflate in circulatie luni, 15 mai, este inca neclar, dar in timpul weekend-ului au aparut doua variante demne de mentionat. Kaspersky Lab nu crede ca aceste doua variante au fost create de autorii initiali. Cel mai probabil, au fost create de altii care au dorit sa profite de atac, urmandu-si propriile scopuri.
Prima a inceput sa se raspandeasca duminica dimineata, in jurul orei 02.00 UTC/GMT si se conecta la un domeniu diferit. Kaspersky Lab a observat, pana acum, trei victime ale acestei versiuni, localizate in Rusia si Brazilia.
Prima varianta care a aparut in weekend pare sa fi fost creata pentru a inlatura acel killswitch. Aceasta versiune nu pare sa se raspandeasca, posibil din cauza faptului ca are un bug. O analiza amanuntita sugereaza posibilitatea ca programul ransomware WannaCry sa fi inceput sa se sa raspandeasca inca de joi, 11 mai. Este dificil de estimat numarul total al infectarilor. Sistemul nostru indica faptul ca peste 45 000 de utilizatori au fost atacati , dar acest numar reprezinta o fractiune din numarul total al atacurilor (reflectand ponderea utilizatorilor Kaspersky Lab.)
O perspectiva mai clara asupra situatiei globale poate veni de la serverul de sinkhole pentru domeniul pe care malware-ul il verifica inainte de a porni prodedura de criptare, acesta fiind setat static in majoritatea versiunilor WannaCry. Pana in prezent, Malwaretech, care colecteaza redirectionarile de la codul “kill switch”, a inregistrat in jur de 200.000 de atacuri.
Trebuie mentionat faptul ca acest numar nu include infectarile din interiorul retelelor corporate, unde este nevoie de un server proxy pentru conectarea la Internet, ceea ce inseamna ca numarul real al victimelor ar putea fi mai mare.
De luni, 15 mai, de la ora 6:00 UTC/GMT , Kaspersky Lab a observat in jur de 500 de noi incercari de atacuri WannaCry asupra bazei sale de clienti. Prin comparatie, vineri, 12 mai, au fost de sase ori mai multe incercari doar in decursul primei ore de la demararea atacului. Acest lucru sugereaza ca infectia incepe sa fie tinuta sub control.
Sfaturile Kaspersky Lab pentru a reduce riscul infectarii:
• Instalati patch-ul oficial de la Microsoft, care rezolva vulnerabilitatea folosita in acest atac (sunt, de asemenea patch-uri disponibile pentru Windows XP, Windows 8 si Windows Server 2003)
• Asigurati-va ca solutiile de securitate sunt pornite in fiecare nod de retea.
• Celor care nu folosesc solutiile Kaspersky Lab, le recomandam sa instaleze versiunea gratuit Kaspersky Anti-Ransomware Tool for business (KART).
• Daca utilizati o solutie Kaspersky Lab, asigurati-va ca include System Watcher o componenta de detectie proactiva bazata pe analiza comportamentala si ca este pornita.
• Lansati functia Critical Area Scan a solutiei Kaspersky Lab pentru a detecta posibile infectari cat mai repede (altfel, acestea vor fi detectat eautomat, daca nu functia nu este oprita, in 24 de ore).
• Faceti reboot sistemului dupa detectarea MEM: Trojan.Win64.EquationDrug.gen.
• Folositi servicii de raportare privind informatiile despre amenintari, disponibile pentru clienti, pentru a fi la curent cu posibile atacuri.
• WannaCry vizeaza, de asemenea, sisteme integrate. Va recomandam sa va asigurati ca solutiile dedicate de securitate pentru sisteme integrate sunt instalate si ca ambele au protectie anti-malware si functionalitate Default Deny activate.
