Atacul cibernetic global care a inceput vineri a facut pana acum peste 200.000 de mii de victime in 150 de tari, printre care si Romania, potrivit Europol.
In Romania, bilantul atacului este de 322 de adrese IP publice, existand informatii ca afectate ar fi patru retele sau sisteme gestionate de sectorul public, informeaza cert.ro, citat de TVR.
Centrul National de Raspuns la Incidente de Securitate Cibernetica detaliaza pericolul cibernetic cu care se confrunta intreaga lume incepand de vineri.
Astfel, potrivit sursei citate, este vorba de o noua varianta de ransomware, care poarta denumirea de 'WannaCry'. Spre deosebire de alte campanii ransomware din trecut, cea de fata dispune si de capabilitati de raspandire in retea (lateral movement) prin exploatarea unei vulnerabilitati a protocolului SMBv1.
Aceasta amenintare se propaga prin intermediul unor mesaje email care contin atasamente si link-uri malitioase, atacatorii utilizand tehnici de inginerie sociala pentru a determina utilizatorii sa acceseze resursele malitioase.
Odata infectata o statie de lucru dintr-o retea, malware-ul incearca sa se raspandeasca in interiorul retelei prin intermediul protocolului SMB, utilizand porturile UDP/37, UDP/138, TCP/139 si TCP/445. Procesul de raspandire se realizeaza prin exploatarea unei vulnerabilitati a protocolului SMBv1 din cadrul Windows, cunoscuta ca CVE-2017-0145.
Microsoft a publicat inca din luna Martie 2017 o actualizare de securitate pentru rezolvarea vulnerabilitatii exploatata de acest ransomware pentru raspandire, cunoscuta ca MS17-010.
Sistemele care pot fi afectate
Urmatoarele sisteme de operare sunt cunoscute ca fiind pasibil sa fie afectate de aceasta amenintare, in cazul in care nu au fost actualizate:
Microsoft Windows Vista SP2
Microsoft Windows Server 2008 SP2 si R2 SP1
Microsoft Windows 7
Microsoft Windows 8.1
Microsoft Windows RT 8.1
Microsoft Windows Server 2012 si R2
Microsoft Windows 10
Microsoft Windows Server 2016
Microsoft Windows XP
Microsoft Windows Server 2003
Ce trebuie sa facem ca sa prevenim infectarea
Cert.ro sfatuieste organizatiile si utilizatorii sistemelor de operare Windows sa ia urmatoarele masuri:
1. Actualizati la zi sistemele de operare si aplicatiile, inclusiv cu patch-ul MS17-010;
Microsoft a publicat actualizari de securitate inclusiv pentru sistemele de operare care nu mai beneficiaza de suport, precum Windows XP;
2. Blocati porturile SMB (139, 445) in cadrul retelei;
3. Utilizati un antivirus actualizat cu ultimele semnaturi;
4. Manifestati atentie sporita la deschiderea fisierelor si link-urilor provenite din surse necunoscute/incerte, mai ales cele din mesajele email;
5. Realizati periodic copii de siguranta (backup) pentru datele importante.
Ce facem daca am fost afectati
In situatia infectarii cu ransomware, CERT-RO recomanda sa luati de urgenta urmatoarele masuri:
1. Deconectati imediat de la retea sistemele informatice afectate;
2. Dezinfectati sistemele compromise;
3. Restaurati fisierele compromise utilizand copiile de siguranta (backup) ;
4. Raportati incidentul catre CERT-RO la adresa de email alerts@cert.ro.
CERT-RO va recomanda si implementarea masurilor cuprinse in "Ghidul privind combaterea amenintarilor informatice de tip ransomware".
Dupa atacul cibernetic fara precedent de vineri, un nou atac major este iminent, avertizeaza mai multi experti.