Spatiul cibernetic a fost sâmbătă ținta unui atac informatic, de tip “campanie”, care se bazează pe un malware de tip Ransomware, mai precis WannaCry, și care a afectat mai multe organizații la nivel global, potrivit firmei de securitate informatică CertSign din grupul Uti.
Odată infectată o singură stație de lucru din rețeaua organizației, malware-ul WannaCry se propagă utilizând o vulnerabilitate SMB. Totodată, odată infectate, datele existente pe sisteme sunt criptate, iar victimelor li se solicită plata unei sume de aproximativ 300 de USD (in bitcoin) pentru decriptare. Din rapoartele existente, unele victime au început deja să plătescă, ceea ce asigură succesul campaniei.
Acest atac are succes asupra sistemelor Windows vulnerabile, care nu au instalate patch-urile de securitate, mai precis cel lansat de Microsoft in data de 14 Martie 2017 (MS17-010). De notat faptul că WannaCry șterge copiile de siguranță create de serviciile Windows (Windows Backup și System Restore).
Cel mai adesea infecția survine ca urmare a accesării unui link, transmis prin e-mail. Site-ul https://securingtomorrow.mcafee.com/executive-perspectives/analysis-wannacry-ransomware-outbreak/ a făcut publice IP-urile care au legătura cu atacul.
CITEȘTE ȘI WhatsApp, amendată cu 3 milioane de euro în ItaliaRecomandări pentru evitarea infestării:
- Instalarea în regim de urgență a patch-urilor de securitate pe toate sistemele de operare Microsoft din organizație (a se vedea https://technet.microsoft.com/en-us/library/security/ms17-010.aspx)
- Notificarea utilizatorilor să nu acceseze link-uri sau atașamente din cadrul mail-urilor suspecte primite
- Notificarea incidentelor de securitate informatică către structurile cu atribuții în domeniu (CERT-RO)
- Actualizarea semnăturilor pentru sistemele de tip IDS
În cazul infectării, victimele nu ar trebui să plătească suma solicitată. Plata nu asigură eliminarea recurenței incidentului, la un moment ulterior și, totodată, încurajează această practică.
Conform specialiștilor certSIGN, pentru a evita astfel de incidente sunt necesare următoarele:
- Inventarierea sistemelor informatice din organizație și instalarea patch-urilor de securitate. Acest lucru trebuie realizat cu regularitate astfel încât să se asigure menținerea la zi a acestora.
- Actualizarea produselor de securitate instalate în companie: protecție endpoint, firewall, ID.
- Monitorizarea de securitate trebuie să acopere cei mai frecvenți vectori de atac (în special sistemele de tip e-mail și sistemele care sunt accesate din Internet)
- Backup regulat al datelor esențiale, într-un loc sigur, offline.
- Educarea permanentă a utilizatorilor
- Stabilirea unui plan de comunicare a incidențelor de securitate informatică, astfel încât persoanele responsabile de aceste aspecte să afle cât mai repede de astfel de incidente, în vederea tratării.