Atak oprogramowania ransomware WannaCry z 12 maja – komentarz Kaspersky Lab
#1
W ubiegły piątek doszło do zmasowanego, ogólnoświatowego ataku oprogramowania ransomware o nazwie WannaCry. Zadaniem szkodliwego programu było zaszyfrowanie danych ofiar i żądanie zapłacenia okupu. Badacze z Kaspersky Lab przeanalizowali dane dotyczące ataku i mogą poinformować, że systemy ochrony wykorzystywane w rozwiązaniach firmy wykryły przynajmniej 45 000 prób infekcji w 74 krajach, z czego najwięcej odnotowano w Rosji. 
[Obrazek: wannacry-ransomware-decrypt-unlock-files.jpg]
Szkodliwe oprogramowanie zastosowane w ataku wykorzystuje lukę w systemach Windows, która została opisana i usunięta w biuletynie MS17-010 opublikowanym przez firmę Microsoft. Narzędzie wykorzystane w ataku – „Eternal Blue” – zostało ujawnione w zestawie informacji opublikowanych przez grupę Shadowbrokers 14 kwietnia.

Po zainfekowaniu systemu atakujący instalują szkodliwy moduł (rootkit), który pozwala na pobieranie oprogramowania ransomware szyfrującego dane ofiary. Po zakończeniu szyfrowania wyświetlany jest komunikat o konieczności zapłaty równowartości 600 dolarów amerykańskich w walucie Bitcoin za odszyfrowanie danych. Wartość okupu rośnie z czasem. 

Eksperci z Kaspersky Lab szukają obecnie możliwości odszyfrowania danych zablokowanych w trakcie tego ataku – celem jest jak najszybsze przygotowanie i udostępnienie narzędzia, które będzie mogło pomóc ofiarom odzyskać swoje dane bez płacenia okupu cyberprzestępcom.

Produkty Kaspersky Lab wykrywają szkodliwe programy wykorzystywane w ramach omawianego ataku z następującymi nazwami:
• Trojan-Ransom.Win32.Scatter.uf
• Trojan-Ransom.Win32.Scatter.tr
• Trojan-Ransom.Win32.Fury.fr
• Trojan-Ransom.Win32.Gen.djd
• Trojan-Ransom.Win32.Wanna.b
• Trojan-Ransom.Win32.Wanna.c
• Trojan-Ransom.Win32.Wanna.d
• Trojan-Ransom.Win32.Wanna.f
• Trojan-Ransom.Win32.Zapchast.i
• Trojan.Win64.EquationDrug.gen
• Trojan.Win32.Generic

Porady bezpieczeństwa 

Aby pomóc w zredukowaniu ryzyka infekcji omawianym oprogramowaniem ransomware (i innymi podobnymi zagrożeniami), eksperci z Kaspersky Lab przygotowali kilka porad bezpieczeństwa:
• Zainstaluj oficjalną łatę opublikowaną przez firmę Microsoft w celu usunięcia podatności wykorzystywanej w ramach ataku.
• Upewnij się, że rozwiązania bezpieczeństwa są aktywne na wszystkich węzłach w sieci.
• Zadbaj o regularne wykonywanie kopii zapasowych, dzięki którym możliwe będzie przywrócenie danych w przypadku ataku.
• Korzystaj z rozwiązania bezpieczeństwa wyposażonego w technologie wykrywania zagrożeń na podstawie ich zachowania w systemie. Daje to możliwość identyfikowania nawet nieznanych szkodliwych programów.
• Przeprowadź audyt oprogramowania zainstalowanego na wszystkich węzłach firmowej sieci i upewnij się, że wszystkie aplikacje oraz systemy są uaktualnione.
• Przeszkól pracowników pod kątem zwiększenia świadomości w zakresie nowoczesnych metod wykorzystywanych przez cyberprzestępców.
• Jeżeli korzystasz z rozwiązania Kaspersky Lab, upewnij się że włączony jest moduł Kontrola systemu, który oferuje proaktywne wykrywanie nowych zagrożeń na podstawie ich zachowania w systemie.
• Jeżeli korzystasz z rozwiązania Kaspersky Lab uruchom zadanie skanowania obszarów krytycznych, by maksymalnie przyspieszyć wykrycie potencjalnej infekcji.

Źródło: Kaspersky Lab
Odpowiedz
Podziękowania
#2
Nareszcie...dzięki Mikołaj za artykuł w tym temacie, ponieważ mamy do czynienia z największym, jak określa Europol i większość badaczy, atakiem w historii. Trzeba oddać co cesarskie M'cinowi, bo to on pierwszy u nas wrzucił info, ale w kontekście tylko Windows XP, który wymieniany był jako jeden z głównych celów (jako system).
Okazuje się jednak, że sprawa jest dużo szersza i w tej chwili mówi się o 223 tysiącach ofiar w nawet w 150 krajach i trudno nawet podawać przykładowe instytucje czy firmy będące ofiarą ataku...znajdziecie to w wielu publikacjach na ten temat z ostatniego weekendu, ale pewnie i w nowszych ponieważ do tej pory nie wiadomo, co będzie po weekendzie, kiedy pracownicy na całym świecie zaczną otwierać swoje komputery po 2-3 dniach przerwy...skala ataku może być znacznie większa. Wiadomo, że pierwszy atak dał się w miarę prosto zdezaktywować, choć odkrycie tego było raczej przypadkiem.
Sytuacja jest dość dynamiczna i już w tej chwili jest mowa o kilku kolejnych odmianach WannaCry, które atakują do systemów Windows 8 włącznie i tak właśnie zaleca się pobranie odpowiednich łatek - poniżej lista
http://www.catalog.update.microsoft.com/...=KB4012598


Spore opracowanie ataku poniżej
https://www.endgame.com/blog/wcrywanacry...l-analysis
a tu lista artykułów na Bleepingcomputer, gdzie atak rozpracowywano w miarę nowych kolejnych informacji
https://www.bleepingcomputer.com/news/se...a-rampage/
https://www.bleepingcomputer.com/news/se...0-minutes/
https://www.bleepingcomputer.com/news/se...decrypt0r/
https://www.bleepingcomputer.com/news/se...tal-hero-/
https://www.bleepingcomputer.com/news/se...velopment/
https://www.bleepingcomputer.com/news/se...nose-dive/

Info na DP
https://www.dobreprogramy.pl/Globalny-cy...81011.html
oraz na Z3S
https://zaufanatrzeciastrona.pl/post/jak...-wannacry/
"bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
https://technet.microsoft.com/library/cc722487.aspx
Odpowiedz
#3
Na niebezpeiczniku też jest artykuł: https://niebezpiecznik.pl/post/zamkniete...m-swiecie/
dodatkowo jak ktoś by chciał jeszcze: http://www.hillstonenet.com/blog/with-hi...-wannacry/
Odpowiedz
#4
I jeszcze od Microsoft TechNet "Customer Guidance for WannaCrypt attacks"
https://blogs.technet.microsoft.com/msrc...t-attacks/

---------------------------
edit:
Na BC znalazłem interesującą informację na temat drugiego odkrytego wariantu WannaCry...jego też da się zdezaktywować odpowiednią domeną, jak przy pierwszym wariancie
Cytat:After researchers sinkholed the first kill switch domain, the group behind WannaCry took almost two days to release a new WannaCry version, which was first detected by French security researcher Benkow on Sunday morning.
After confirming  Benkow's findings, security researcher Matt Suiche intervened and registered this second domain — located at ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com — and pointed it at the same sinkhole server used for the first, discovered and registered by British security researcher MalwareTech on Friday.
This meant that despite computers getting infected with the second version of the WannaCry ransomware, the encryption process would not start, as long as the sinkhole server was in place, or security firms or sysadmins wouldn't block traffic to those two domains. As with the first version, the bulk of these computers — nearly half — were located in Russia.
https://www.bleepingcomputer.com/news/se...shut-down/

Podobno atak może się udac też na linuksowych systemach, jeśli używa się Wine
Cytat:2. Can I get affected by using Wine?

Short answer: Yes. Since Wine emulates almost every behavior of the Windows environment, the worm can actually try to find ways on how it can affect you.
https://askubuntu.com/questions/914623/w...inux-users
"bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
https://technet.microsoft.com/library/cc722487.aspx
Odpowiedz
#5
Według tego co podają źródła najnowszy Windows 10 CU jest odporny na te zagrożenie.
Odpowiedz
#6
Wyłącznie SMB 1 powoduje jakieś problemy? Kurde zagłębianie się w to nie ma dla mnie sensu. 2-3 komputery w sieci, drukarka po sieci, chyba to wyłączę i będzie spokój.
Windows 10 Home x64 + SS Premium + Windows Defender+ router z firewall
Odpowiedz
#7
wyłączysz SMB1 to nie będzie Ci działało udostępnianie w sieci.
Odpowiedz
#8
Czyli nic nie stracę bo i tak zwykle nie mogłem tego ustawić, a po sieci komp i tak się nie widzą u mnie - takie mam szczęście.
Windows 10 Home x64 + SS Premium + Windows Defender+ router z firewall
Odpowiedz
Podziękowania
#9
Najnowsze badania wskazują na dużo starsze korzenie WannaCry podobnie, jak wiele lat temu odkryto w przypadku Stuxneta...kurde, ktoś pamięta jeszcze tego szkodnika? Grin

Cytat:JJakkolwiek abstrakcyjnie by nie brzmiał temat naszego wpisu, to odkryto namacalne dowody wskazujące na możliwe powiązania pomiędzy autorami WannaCry a sprawcami niedawnych ataków na polskie banki. Tropy prowadzą do Korei Północnej.

Ujawnione przez nas na początku lutego włamania do polskich banków okazały się być jedynie fragmentem globalnej kampanii przeciwko sektorowi finansowemu. Firmy zajmujące się bezpieczeństwem informacji po długich analizach jednogłośnie przyznały, że najbardziej prawdopodobnym sprawcą włamań do banków jest grupa zwana Lazarus (lub jeden z jej odłamów). Grupie tej przypisywane są między innymi ataki na Sony Pictures czy udana kradzież ponad 80 milionów dolarów z banku w Bangladeszu. Analitycy kilku firm badających te sprawy twierdzą, że grupa Lazarus związana jest z rządem Korei Północnej, próbującym rozpaczliwie zdobyć pieniądze.
https://zaufanatrzeciastrona.pl/post/jak...kie-banki/
"bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
https://technet.microsoft.com/library/cc722487.aspx
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości