Komentar podjetja ADD na napade z izsiljevalskimi virusi poimenovanimi »WannaCry«

V petek, 12. maja 2017, je napad z izsiljevalskim virusom ogrozil organizacije po vsem svetu. Pozneje pa je dobil tudi več različic. Raziskovalci, ki so analizirali podatke so sporočili, da so varnostni podsistemi v podjetjih zaznali najmanj 200.000 poskusov okužbe v več kot 100-ih državah, večinoma v Rusiji. Tarča napadov je bila tudi Slovenija, kjer je SI-CERT zaznal osem primerov okužbe, najodmevnejši pa je zagotovo Revoz, kjer so morali do ponedeljka ustaviti delo.

WannaCry-Virus

Zadnji izsiljevalski napadi poimenovani pod skupnim imenom »WannyCry« kažejo na dejstvo, da postajajo kibernetski napadalci pri svojem delu vse bolj ustvarjalni in strokovni. Napadi prav tako potrjujejo predvidevanja podjetja ADD, da kibernetski kriminalci preusmerjajo svojo pozornost iz napadov na zasebne uporabnike na usmerjene napade z izsiljevalskimi virusi na podjetja. Za kibernetske napade obstajajo številni motivi, od zasledovanja finančnih koristi, izražanja družbenih ali političnih nazorov, kibernetskega vohunjenja in vse do kibernetskega terorizma.

Izsiljevalski virusi »WannyCry« izkoriščajo ranljivosti operacijskega sistema Microsoft Windows (Microsoft Security Bulletin MS17-010). Ranljivost »Eternal Blue« je bila sicer razkrita že 14. aprila 2017 (t.i. the Shadowbrokers dump). 

Ranljive so sledeče platforme:

  • Windows Vista
  • Windows Server 2008
  • Windows 7
  • Windows Server 2008 R2
  • Windows 8.1
  • Windows Server 2012 in Windows Server 2012 R2
  • Windows RT 8.1
  • Windows 10
  • Windows Server 2016
  • Windows Server Core installation option

Kako poteka napad?

Po tem, ko napadalci prodrejo v sistem, namestijo korenski komplet, ki jim omogoči prenos programske opreme za šifriranje podatkov. Zlonamerna programska oprema nato zašifrira datoteke, na zaslonu pa se žrtvam prikaže zahteva za plačilo odkupnine v znesku 300 ameriških dolarjev v kriptovaluti Bitcoin – višina odkupnine se povečuje v časovnih intervalih. 

Za zmanjšanje tveganja pred okužbo podjetje ADD svetuje:

  • Namestite uradno Microsoftovo posodobitev, ki zakrpa ranljivost preko katere so izvedeni napadi.
  • Poskrbite, da so varnostne rešitve nameščene in omogočene na vseh vozliščih v omrežju.
  • Ponovno zaženite sistem, če zaznate MEM: Trojan.Win64.EquationDrug.gen.
  • Povežite se s ponudnikom, ki omogoča storitve obveščanja o grožnjah (angl. Threat Intelligence). Ta bo v pomoč pri napovedovanju prihodnjih napadov.

Pomembno se je zavedati, da je zagotavljanje informacijske varnosti nenehen proces. Da bi se organizacije zaščitile pred tovrstnimi napadi, varnostni strokovnjaki podjetja ADD svetujejo naslednje: 

  • Ustvarite pravilno in pravočasno varnostno kopijo vaših podatkov. To lahko uporabite v primeru, da izgubite podatke.
  • Uporabljajte varnostne rešitve, ki temeljijo na tehnologijah za zaznavo vedenja (angl. behavior based detection technologies). Tovrstne tehnologije lahko zaznajo zlonamerne programe, vključno z izsiljevalskimi virusi, in sicer na način, da spremljajo delovanje zlonamernih programov ter njihov vpliv na napaden sistem. Tako je mogoče odkriti nove in še neznane vzorce izsiljevalskih virusov.
  • Pregledujte nameščeno programsko opremo, ne le na končnih točkah, ampak tudi na vseh vozliščih in strežnikih, ki so v omrežju. Prav tako jih redno posodabljajte.
  • Poskrbite za redno varnostno ocenjevanje nadzornega omrežja (npr. varnostni pregled, penetracijsko testiranje, analiza vrzeli) ter tako opredelite in odstranite morebitne varnostne pomanjkljivosti. Preverite tudi zunanjega ponudnika storitev in varnostne politike tretjih oseb, če imajo neposreden dostop do nadzorne mreže.
  • Ne pozabite na zaposlene; poskrbite za program krepitve zavedanja o informacijski varnosti.

Poskrbite za zaščito znotraj in zunaj. Pravilna varnostna strategija mora omogočati sredstva za hitro odkrivanje in odzivanje na napade, še preden ti dosežejo kritično pomembne dele infrastrukture podjetja.

 

V kolikor vam navedeni napotki predstavljajo izziv, smo vam v ADD z našimi strokovnjaki na področju omrežij in varnosti na razpolago za pomoč pri analizi obstoječega stanja s predlogi rešitev.

 

V rednem delovnemu času od 8.00 do 16.00 smo dosegljivi tudi preko telefona +386 1 479 00 11

  • ADD d.o.o.

Tbilisijska 85, 1000 Ljubljana

  • T: 01 479 00 11 | F: 01 423 50 85
  • Pišite nam
    Ta e-poštni naslov je zaščiten proti smetenju. Za ogled potrebujete Javascript, da si jo ogledate.
  • sledite nam