Atacul informatic GoldenEye, mai periculos chiar și decât WannaCry? Află cum te poți proteja
2 min read
După agresivul atac ransomware WannaCry de luna trecută, se pare că până acum am asistat doar la liniştea de dinaintea furtunii. Specialiştii Cisco şi Talos au avertizat încă de atunci asupra apariţiei unor variante ale WannaCry, care vor exploata aceeaşi vulnerabilitate a sistemelor Windows, Eternal Blue.
De ieri, Petya (Nyetya) sau GoldenEye, un atac major de tip ransomware ce criptează fişierele şi ia ostatic sistemul de operare, a afectat numeroase organizaţii din întreaga lume. Rapoarte despre acest atac au apărut în Franța, Danemarca, Spania, Marea Britanie, Rusia și SUA.
În urma analizei realizate de Talos, divizia de securitate a Cisco, a reieşit că atacul a fost iniţiat în Ucraina, posibil ca urmare a unei actualizări software pentru o soluţie de contabilitate fiscală.
Infractorii cibernetici folosesc vulnerabilitatea SMBv1 pentru a propaga infecţia. Această variantă de ransomware criptează zona MBR (master boot record) a discului sistemului de operare Windows, incapacitând bootarea sistemului.
La fel ca în cazul WannaCry, Cisco recomandă:
- Verificarea actualizărilor de patch-uri pe toate staţiile de lucru, în mod special următoarea actualizare Microsoft Security Bulletin MS17-010;
- Blocarea protocolului SMBv1, dacă nu este absolut necesar. În plus, luaţi în considerare blocarea porturilor TCP 139 şi 445 în afara perimetrului organizaţiilor;
- Restricţionarea accesului la consola staţiei de lucru (cmd, powershell, bash, terminal), pentru conturile de utilizator ce nu au nevoie de această aplicaţie;
- Restricţionarea sau blocarea utilizării ToR browser pe staţiile de lucru şi limitarea pe cât posibil a nodurilor de ieşire ToR în perimetrul organizaţiilor;
- Introducerea unui proces automat de carantină la nivelul întregii reţele, prin intermediul căruia staţiile de lucru care au fost compromise vor fi izolate cât mai repede şi scoase din reţeaua de producţie, limitând astfel suprafaţa de propagare a atacului.
În prezent, următoarele produse Cisco Security oferă protecție pentru acest atac:
- Produsele Cisco Network Security (NGFW, NGIPS, Meraki MX) au fost actualizate (din moment ce vulnerabilitatea era cunoscută la jumătatea lunii aprilie) şi identifică tentativele de exploatare a MS17-010. Consultați blogul Talos pentru mai multe detalii despre regulile NGIPS / Snort care detectează această amenințare.
- Tehnologia Cisco Malware Protection (AMP pentru terminale, rețea și gateway-uri e-mail/web) deţine informații actualizate despre acest ransomware și îl va bloca sau va împiedica executarea acestuia.
De asemenea, Cisco oferă protecţie împotriva ameninţărilor ransomware, prin intermediul soluţiei Ransomware Threat Defense.
Pentru mai multe detalii, vă invităm să accesaţi blog-ul diviziei de securitate Talos:
http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html