În ultimele zile, utilizatori din întreaga lume au fost infectați prin intermediul campaniei ransomware ”WannaCry”. Sute de mii de computere din întreaga lume au fost afectate, începând de vineri seară, de un ransomware (un virus care cere o răscumpărare) denumit WannaCry (Wanna Decryptor).
Bucureştiul, cu 92 de adrese IP afectate, Iaşiul cu 38 şi Clujul cu 15 sunt primele în topul localităţilor în care a acţionat cel mai eficient ransomeware-ul „WannaCry”, prezentat marţi, într-un material explicativ, de Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică – CERT-RO, scrie Mediafax.
În top mai apar oraşele Piteşti (cu 11 adrese IP afectate), Galaţi (10), Timişoara (8), Sibiu (7), Câmpulung Muscel (5), Craiova (5), Râmnicu Vâlcea (5), urmate de o serie de localităţi – printre care şi Mioveni – cu câte 3-4 adrese afectate şi 92 de alte localităţi cu mai puţin de două IP-uri afectate.
„În ultimele zile, utilizatori din întreaga lume au fost infectaţi prin intermediul campaniei ransomware WannaCry. Atacul este unul extrem de sever, iar răspândirea lui este încă în desfăşurare”, notează autorii materialului explicativ.
Redăm, în continuare, sinteza datelor culese până în prezent din surse proprii şi surse deschise utilizate de CERT-RO.
Începând cu a doua parte a zilei de vineri 12 mai 2017, multiple organizaţii şi utilizatori casnici din lume (inclusiv din România) au fost afectaţi de un malware de tip crypto-ransomware cunoscut sub denumirea de WannaCry (sau WannaCrypt, WanaCrypt0r, WCrypt, WCRY).
Ameninţările cibernetice de tip ransomware nu reprezintă o noutate, în ultimii ani înregistrându-se o creştere evidentă a numărului de victime dar şi a complexităţii şi varietăţii campaniilor/versiunilor de malware utilizate. Totuşi, WannaCry se deosebeşte de marea majoritate a campaniilor precedente prin faptul că utilizează o capabilitate de răspândire rapidă în reţea specifică viermilor informatici (precum bine-cunoscutul Conficker).
Conform unui comunicat de presă al Agenţiei Europene pentru Securitatea Reţelelor şi Sistemelor Informatice (ENISA), campania WannaCry a atins în jur de 190.000 de sisteme compromise localizate în peste 150 de ţări, printre organizaţiile afectate regăsindu-se şi operatori de servicii esenţiale (sănătate, energie, transport, finanţe, telecom).
Un aspect interesant este acela că această campanie a debutat într-o zi de vineri, chiar înainte de weekend, fapt care a îngreunat procesul de detecţie şi răspuns.
Cum funcţionează WannaCry?
Până în acest moment se ştie sigur că malware-ul se propagă prin exploatarea unei vulnerabilităţi a protocolului SMB (Server Message Block) din cadrul sistemelor de operare Windows XP/7/8/8.1, Windows 10 nefiind vulnerabil. WannaCry utilizează un „exploit” (modul de exploatare) publicat de grupul ShadowBrokers cu câteva luni în urmă, odată cu alte unelte de exploatare despre care se presupune că ar fi fost dezvoltate de Agenţia Naţională de Securitate a SUA (NSA).
Compania Microsoft a publicat încă din 14 martie 2017 o actualizare de securitate (patch) pentru rezolvarea acestei vulnerabilităţi:MS17-010. Cu toate acestea, sistemele Windows cărora nu le-a fost aplicat acest patch sunt în continuare vulnerabile.
În prezent nu se ştie cu exactitate care a fost vectorul iniţial de infecţie, existând două variante posibile:
• Atacul iniţial a constat într-o campanie de tip email phishing/spear-phishing, urmată de propagarea infecţiei şi la alte sisteme Windows accesibile prin reţea şi vulnerabile;
• Spaţiul de adrese IP publice din Internet a fost scanat pentru a identifica sistemele Windows expuse şi vulnerabile, acestea fiind ulterior exploatate de la distanţă.
Varianta iniţială a malware-ului WannaCry dispune de un mecanism de dezactivare („kill switch”) care funcţionează astfel: odată reuşită exploatarea unui sistem informatic, malware-ul verifică mai întâi dacă poate realiza o conexiune către un anume domeniu web, iar în caz afirmativ nu mai porneşte procesul de criptare a fişierelor de pe staţia compromisă. Domeniul respectiv este iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
La momentul lansării campaniei, domeniul de mai sus nu era înregistrat, astfel că mecanismul de dezactivare nu funcţiona. Asta înseamnă că, cel mai probabil, creatorii acestui malware au intenţionat să activeze „butonul de oprire” la o dată ulterioară, prin înregistrarea domeniului respectiv şi activarea acestuia. Din fericire, un cercetător britanic cunoscut sub pseudonimul de MalwareTech a identificat mult mai devreme decât probabil ar fi vrut atacatorii faptul că malware-ul încerca să contacteze domeniul menţionat mai sus, deşi nu era încă înregistrat. Acesta a înregistrat domeniul respectiv în dimineaţa zilei de sâmbătă 13 mai 2017 şi practic a frânat puternic rata de răspândire a malware-ului, deoarece majoritatea noilor sisteme exploatate (excepţie făcând cele care nu aveau conectivitate la Internet) au reuşit conectarea la domeniul în cauză şi astfel nu au mai fost criptate.
Este de presupus că atacatorii vor încerca să utilizeze o variantă modificată astfel încât să nu mai conţină niciun „kill switch”. Până în prezent au fost observate diferite astfel de variante, însă se pare că majoritatea au fost create de cercetători prin editare hexazecimală, nu prin recompilare.
Încă din după amiaza zilei de Vineri 12 mai 2017, când s-au înregistrat primele semne ale fenomenului la nivel mondial, CERT-RO a constituit o echipă de monitorizare a evoluţiei campaniei WannaCry la nivel naţional. În lipsa unei legislaţii naţionale care să prevadă obligativitatea raportării incidentelor de securitate cibernetică, CERT-RO nu poate realiza o evaluare exactă a numărului de organizaţii şi utilizatori casnici afectaţi şi impactul produs.
În acest context, CERT-RO a colectat şi procesat o serie de informaţii relevante pentru campania WannaCry din surse precum:
• Jurnalele (log-urile) conexiunilor realizate de sistemele informatice exploatate cu serverele de tip sinkhole constituite de organizaţii partenere şi cercetători (în special cele furnizate de MalwareTech);
• Notificările primite de la organizaţii şi utilizatori afectaţi din România;
• Informaţiile furnizate de organizaţiile partenere ale CERT-RO, atât de la nivel naţional cât şi internaţional;
• Informaţiile colectate din diferite surse deschise.
Urmare a analizării log-urilor furnizate de MalwareTech, a rezultat că aproximativ 326 de adrese IP publice din România au realizat conexiuni către site-ul web utilizat în mecanismul de „kill switch” al WannaCry. Ca urmare, se pot trage următoarele concluzii:
• Se poate afirma cu precizie că toate sistemele informatice din spatele celor 326 de adrese IP au fost exploatate;
• În lipsa altor informaţii, nu se poate deduce cu exactitate câte dintre acestea au fost criptate. De fapt, având în vedere că s-au conectat la domeniul cu rol de „kill switch”, este foarte probabil ca majoritatea să nu fi fost criptate;
• Există posibilitatea ca în spatele celor 326 de adrese IP publice să se regăsească mai multe sisteme informatice exploatate (datorită mecanismului NAT – Network Address Translation care dă posibilitatea ca o întreagă reţea de PC-uri să comunice în internet printr-un singur IP public).
Până în prezent, CERT-RO a primit un număr de 3 notificări de incidente datorate WannaCry: două de la instituţii publice şi una de la o companie privată. Din informaţiile disponibile cu privire la cele 326 adrese IP publice, a reieşit că printre sistemele afectate asociate acestor IP-uri se regăsesc companii ce activează în sectoarele energetic, transporturi, telecom sau auto, dar şi 6 instituţii publice. Cu toate acestea, datele nu arată dacă este vorba de sisteme ale instituţiilor respective sau dacă sunt IP-uri ce au fost date spre folosinţă către terţi.
Astfel, în urma verificărilor efectuate de reprezentanţii instituţiilor respective a reieşit că trei dintre resursele informatice semnalate ca posibil infectate au fost date spre folosinţă către alte persoane juridice de drept privat.
În vederea contracarării ameninţării WannaCry, utilizatorii sistemelor de operare Windows sunt sfătuiţi să întreprindă următoarele măsuri:
1. Realizarea de copii de siguranţă periodice (backup);
2.Aplicarea patch-ului de securitate MS17-010:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx;
3. Microsoft a publicat actualizări de securitate inclusiv pentru sistemele de operare care nu mai beneficiază de suport, precum Windows XP:
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/;
4. Utilizarea unui antivirus/anti-malware eficient şi actualizat;
5. Segmentarea reţelei şi implementarea unor reguli de firewall care să blocheze traficul de reţea inutil (spre exemplu porturile SMB: 139, 445);
6. Asiguraţi-vă că domeniul com este accesibil, ţinând cont de faptul că malware-ul nu comunică prin web proxy. Eventual instalaţi unealta oferită de CCN-CERT care previne executarea malware-ului:
https://www.ccn-cert.cni.es/en/updated-security/ccn-cert-statements/4485-nomorecry-tool-ccn-cert-s-tool-to-prevent-the-execution-of-the-ransomware-wannacry.html;
7. Manifestarea unei atenţii sporite la deschiderea fişierelor şi link-urilor provenite din surse necunoscute/incerte, mai ales cele din mesajele email;
8. Implementarea măsurilor cuprinse în „Ghidul privind combaterea ameninţărilor informatice de tip ransomware”, disponibil la adresa:
https://cert.ro/vezi/document/ghid-protectie-ransomware.
În eventualitatea infectării cu ransomware, CERT-RO vă recomandă să întreprindeţi de urgenţă următoarele măsuri:
1. Deconectarea imediată de la reţea a sistemelor informatice afectate;
2. Restauraţi fişierele compromise utilizând copiile de siguranţă (backup);
3. Încercaţi recuperarea fişierelor din „Shadow Volume Copies” utilizând un program precum Shadow Explorer (şanse de reuşită sporite dacă utilizatorul nu a apăsat „OK” la apariţia mesajului generat de UAC):
https://www.bleepingcomputer.com/tutorials/how-to-recover-files-and-folders-using-shadow-volumecopies/
4. Dezinfectaţi sistemele compromise utilizând un antivirus actualizat sau o unealtă dedicată precum cele disponibile la adresele următoare (ambele trebuie utilizate):
https://www.pcrisk.com/removal-guides/10942-wcry-ransomware#a2,
https://github.com/countercept/doublepulsar-detection-script;
5. Raportaţi incidentul către CERT-RO la adresa de email alerts@cert.ro.