W ubiegły piątek doszło do zmasowanego, ogólnoświatowego ataku oprogramowania ransomware o nazwie WannaCry. Zadaniem szkodliwego programu było zaszyfrowanie danych ofiar i żądanie zapłacenia okupu. Badacze z Kaspersky Lab przeanalizowali dane dotyczące ataku i mogą poinformować, że systemy ochrony wykorzystywane w rozwiązaniach firmy wykryły przynajmniej 45 000 prób infekcji w 74 krajach, z czego najwięcej odnotowano w Rosji.
Szkodliwe oprogramowanie zastosowane w ataku wykorzystuje lukę w systemach Windows, która została opisana i usunięta w biuletynie MS17-010 opublikowanym przez firmę Microsoft. Narzędzie wykorzystane w ataku – „Eternal Blue” – zostało ujawnione w zestawie informacji opublikowanych przez grupę Shadowbrokers 14 kwietnia. Po zainfekowaniu systemu atakujący instalują szkodliwy moduł (rootkit), który pozwala na pobieranie oprogramowania ransomware szyfrującego dane ofiary. Po zakończeniu szyfrowania wyświetlany jest komunikat o konieczności zapłaty równowartości 600 dolarów amerykańskich w walucie Bitcoin za odszyfrowanie danych. Wartość okupu rośnie z czasem.
Eksperci z Kaspersky Lab pracują szukają obecnie możliwości odszyfrowania danych zablokowanych w trakcie tego ataku – celem jest jak najszybsze przygotowanie i udostępnienie narzędzia, które będzie mogło pomóc ofiarom odzyskać swoje dane bez płacenia okupu cyberprzestępcom.
Produkty Kaspersky Lab wykrywają szkodliwe programy wykorzystywane w ramach omawianego ataku z następującymi nazwami:
- Trojan-Ransom.Win32.Scatter.uf
- Trojan-Ransom.Win32.Scatter.tr
- Trojan-Ransom.Win32.Fury.fr
- Trojan-Ransom.Win32.Gen.djd
- Trojan-Ransom.Win32.Wanna.b
- Trojan-Ransom.Win32.Wanna.c
- Trojan-Ransom.Win32.Wanna.d
- Trojan-Ransom.Win32.Wanna.f
- Trojan-Ransom.Win32.Zapchast.i
- Win64.EquationDrug.gen
- Win32.Generic
Porady bezpieczeństwa – Aby pomóc w zredukowaniu ryzyka infekcji omawianym oprogramowaniem ransomware (i innymi podobnymi zagrożeniami), eksperci z Kaspersky Lab przygotowali kilka porad bezpieczeństwa:
- Zainstaluj oficjalną łatęopublikowaną przez firmę Microsoft w celu usunięcia podatności wykorzystywanej w ramach ataku.
- Upewnij się, że rozwiązania bezpieczeństwa są aktywne na wszystkich węzłach w sieci.
- Zadbaj o regularne wykonywanie kopii zapasowych, dzięki którym możliwe będzie przywrócenie danych w przypadku ataku.
- Korzystaj z rozwiązania bezpieczeństwa wyposażonego w technologie wykrywania zagrożeń na podstawie ich zachowania w systemie. Daje to możliwość identyfikowania nawet nieznanych szkodliwych programów.
- Przeprowadź audyt oprogramowania zainstalowanego na wszystkich węzłach firmowej sieci i upewnij się, że wszystkie aplikacje oraz systemy są uaktualnione.
- Przeszkól pracowników pod kątem zwiększenia świadomości w zakresie nowoczesnych metod wykorzystywanych przez cyberprzestępców.
- Jeżeli korzystasz z rozwiązania Kaspersky Lab, upewnij się że włączony jest moduł Kontrola systemu, który oferuje proaktywne wykrywanie nowych zagrożeń na podstawie ich zachowania w systemie.
- Jeżeli korzystasz z rozwiązania Kaspersky Lab uruchom zadanie skanowania obszarów krytycznych, by maksymalnie przyspieszyć wykrycie potencjalnej infekcji.
Źródło: Kaspersky Lab
