Ce spun experții Kaspersky Lab despre WannaCry, atacul ransomware masiv care a lovit organizații din întreaga lume

Pe 12 mai, un atac ransomware masiv a lovit organizatii din întreaga lume. Cercetătorii Kaspersky Lab au analizat datele și sunt în măsură să confirme că subsistemele de protecție ale companiei au detectat cel putin 45.000 de tentative de infectare în 74 de țări, majoritatea în Rusia. România se află printre cele mai afectate 10 țări.

Programul ransomware infectează victimele, profitând de o vulnerabilitate Microsoft Windows, descrisă și rezolvată în Microsoft Security Bulletin MS17-010. Exploit-ul folosit, “Eternal Blue”, a fost dezvăluit în cazul Shadowbrokers din 14 aprilie.

Odată ajunși în sistem, atacatorii instalează un rootkit, care le permite să descarce programul pentru a cripta datele. Malware-ul criptează fișierele. Ulterior, sunt afișate un mesaj în care se solicită 600 de dolari în Bitcoin și wallet-ul, iar răscumpărarea crește în timp.

Experții Kaspersky Lab încearcă în prezent să stabilească dacă este posibilă decriptarea datelor criptate în timpul atacului, pentru a dezvolta un instrument de decriptare cât mai curând posibil.

Soluțiile Kaspersky Lab detectează programul malware folosit în atac, sub următoarele denumiri:

* Trojan-Ransom.Win32.Scatter.uf

* Trojan-Ransom.Win32.Scatter.tr

* Trojan-Ransom.Win32.Fury.fr

* Trojan-Ransom.Win32.Gen.djd

* Trojan-Ransom.Win32.Wanna.b

* Trojan-Ransom.Win32.Wanna.c

* Trojan-Ransom.Win32.Wanna.d

* Trojan-Ransom.Win32.Wanna.f

* Trojan-Ransom.Win32.Zapchast.i

* Trojan.Win64.EquationDrug.gen

* Trojan.Win32.Generic (trebuie activată componenta System Watcher)

Experții Kaspersky Lab recomandă următoarele măsuri pentru a reduce riscul infectării dispozitivelor:

• Instalați patch-ul oficial de la Microsoft, care rezolvă vulnerabilitatea folosită în acest atac.
• Asigurați-vă că soluțiile de securitate sunt pornite în fiecare nod de rețea (dacă este folosită o soluție Kaspersky Lab, asigurați-vă că include componenta System Watcher, o componentă de detecție proactivă, bazată pe analiza de comportament și că aceasta este activată).
• Faceți o scanare folosind funcția Critical Area Scan dintr-o soluție Kaspersky Lab, pentru a detecta infecția cât mai posibil (altfel, va fi detectată automat, dacă nu este oprită, în cursul a 24 de ore).
• Faceți un reboot al sistemului, dacă detectează MEM: Trojan.Win64.EquationDrug.gen.
• Folosiți servicii de raportare privind informațiile despre amenințări, disponibile pentru clienți.

O descriere detaliată a metodei de atac WannaCry și a indicatorilor de compromitere este disponibilă în acest articol de pe Securelist: https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/.