Eksperci z Kaspersky Lab przeanalizowali dane dotyczące ataku i poinformowali, że systemy ochrony wykorzystywane w rozwiązaniach firmy wykryły przynajmniej 45 000 prób infekcji w 74 krajach, z czego najwięcej odnotowano w Rosji.
Szkodliwe oprogramowanie zastosowane w ataku wykorzystuje lukę w systemach Windows, która została opisana i usunięta w biuletynie MS17-010 opublikowanym przez firmę Microsoft. Narzędzie wykorzystane w ataku – „Eternal Blue” – zostało ujawnione w zestawie informacji opublikowanych przez grupę Shadowbrokers 14 kwietnia.
Po zainfekowaniu systemu atakujący instalują szkodliwy moduł (rootkit), który pozwala na pobieranie oprogramowania ransomware szyfrującego dane ofiary. Po zakończeniu szyfrowania wyświetlany jest komunikat o konieczności zapłaty równowartości 600 dolarów amerykańskich w walucie Bitcoin za odszyfrowanie danych. Wartość okupu rośnie z czasem.
Porady bezpieczeństwa od Kaspersky Lab
Aby pomóc w zredukowaniu ryzyka infekcji omawianym oprogramowaniem ransomware (i innymi podobnymi zagrożeniami), eksperci z Kaspersky Lab przygotowali kilka porad bezpieczeństwa:
- Zainstaluj oficjalną łatę opublikowaną przez firmę Microsoft w celu usunięcia podatności wykorzystywanej w ramach ataku.
- Upewnij się, że rozwiązania bezpieczeństwa są aktywne na wszystkich węzłach w sieci.
- Zadbaj o regularne wykonywanie kopii zapasowych, dzięki którym możliwe będzie przywrócenie danych w przypadku ataku.
- Korzystaj z rozwiązania bezpieczeństwa wyposażonego w technologie wykrywania zagrożeń na podstawie ich zachowania w systemie. Daje to możliwość identyfikowania nawet nieznanych szkodliwych programów.
- Przeprowadź audyt oprogramowania zainstalowanego na wszystkich węzłach firmowej sieci i upewnij się, że wszystkie aplikacje oraz systemy są uaktualnione.
- Przeszkól pracowników pod kątem zwiększenia świadomości w zakresie nowoczesnych metod wykorzystywanych przez cyberprzestępców.
- Jeżeli korzystasz z rozwiązania Kaspersky Lab, upewnij się że włączony jest moduł Kontrola systemu, który oferuje proaktywne wykrywanie nowych zagrożeń na podstawie ich zachowania w systemie.
- Jeżeli korzystasz z rozwiązania Kaspersky Lab uruchom zadanie skanowania obszarów krytycznych, by maksymalnie przyspieszyć wykrycie potencjalnej infekcji.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Źródło: Kaspersky Lab
Komentarz - Sean Sullivan, doradca ds. cyberbezpieczeństwa w firmie F-Secure
Atak ransomware WannaCry to powtórka z przeszłości. Niestety, organizacje przez długi czas ignorowały podstawowe zasady bezpieczeństwa, takie jak konieczność użycia firewalla i dlatego WannaCry szybko wymknął się spod kontroli. To, co się stało nie jest najgorszym scenariuszem – szczęście w nieszczęściu atak nie był aktem terrorystycznym, czy działaniem na zlecenie rządu. Cyberprzestępcy w tym przypadku kierują się chęcią zarobienia pieniędzy, a skutki ataku są odwracalne. Skala przedsięwzięcia to jednak niebezpieczny dowód na to, że potencjalnie możliwy byłby atak o nieodwracalnych skutkach, przeprowadzony przez hakerów na rzecz któregoś z państw.
Komentarz - Marcin Ludwiszewski, Dyrektor, lider obszaru cyberbezpieczeństwa w Deloitte
To chyba pierwszy tak masowy i skuteczny atak ransomware (niektóre z wstępnych szacunków podają kilkadziesiąt tysięcy komputerów w kilkunastu krajach). Można mówić o incydencie o skali światowej. Prawdopodobnie oprogramowanie wykorzystuje elementy z narzędzi amerykańskiej agencji - National Security Agency, które jakiś czas temu ujawniła w sieci grupa Shadow Brokers. Nie potwierdzono, które z podatności wykorzystuje ransomware. Nie wiadomo też, kto jest twórcą oprogramowania, czy atak był celowy czy raczej, stanowi skutek uboczny innych działań. Sprawa jest rozwojowa, dlatego też dokładne skutki i zasięg incydentu poznamy w ciągu kilku następnych dni. Niektóre instytucje i firmy Polsce zaczęły już zmagania z opisywanym oprogramowaniem złośliwym. Ransmoware nie wybiera, dlatego może atakować pojedynczych użytkowników jak i duże firmy. Te z nich, które nie monitorują na bieżąco bezpieczeństwa swojej infrastruktury sieciowej, prawdopodobnie przekonają się o tym w poniedziałek rano.