Domov      Nastavenia 
RSS English Slovensky

Nahlásené incidenty
1.1.2017 - 31.12.2017
 

Graf

Prudká vlna útokov ransomware WanaCrypt0r 2.0

15.05.2017
V piatok 12.5.2017 bol v ranných hodinách po celom svete zaznamenaný prudký nárast aktivity ransomvéru WanaCrypt0r 2.0, ktorý iba za niekoľko hodín infikoval niekoľko desiatok tisíc zariadení. Hlavným spôsobom infiltrácie malvéru sa aktuálne javí zneužitie kritickej zraniteľnosti v protokole SMBv1, na ktorú bola spoločnosťou Microsoft vydaná v marci záplata, popísaná v bulletine MS17-010. Veľmi rýchle šírenie malvéru však naznačuje, že veľké množstvo systémov je dodnes neaktualizovaných.

 

Dôsledky:

Po úspešnom infikovaní ransomware zašifruje dôležité súbory na zariadení obete a za ich sprístupnenie požaduje zaplatiť výkupné v Bitcoinoch v hodnote niekoľko stoviek Eur. Opis činnosti: Ransomvér podla niektorých zdrojov využíva nedávno zverejnený exploit s názvom EternalBlue, ktorý pomocou špeciálne vytvoreného komunikačného paketu dokáže využiť zraniteľnosť v spracovaní tohto paketu SMB serverom. Útočník v dôsledku toho získava možnosť vzdialeného vykonania škodlivého kódu, v tomto prípade ransomvéru WanaCrypt0r. Ten vyhľadáva používateľské súbory (dokumenty, obrázky, certifikáty, databázové súbory, atď.) a šifruje ich pomocou ťažko prelomiteľných algoritmov. Po zašifrovaní malvér zobrazí viacjazyčné (vrátane slovenčiny) okno s upozornením, návodom na zaplatenie výkupného (približne 550€) a odpočítavaním času do zničenia dát zmazaním dešifrovacieho kľúča. Dôležitým je fakt, že ak je v počítačovej sieti napadnutý jeden počítač, malvér má schopnosť šíriť sa po lokálnej sieti na ďalšie zariadenia. Tiež treba poznamenať, že samotný ransomvér vie počítač infikovať aj inými spôsobmi ako cez zraniteľnosť v SMB protokole, napríklad prostredníctvom emailu.

Indikátory nákazy:

Niektoré hashe doteraz zistených súborov obsahujúcich škodlivý kód:
ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa
c365ddaa345cfcaff3d629505572a484cff5221933d68e4a52130b8bb7badaf9
09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa
0a73291ab5607aef7db23863cf8e72f55bcb3c273bb47f00edf011515aeb5894
428f22a9afd2797ede7c0583d34a052c32693cbb55f567a60298587b6e675c6f
5c1f4f69c45cff9725d9969f9ffcf79d07bd0f624e06cfa5bcbacd2211046ed6
62d828ee000e44f670ba322644c2351fe31af5b88a98f2b2ce27e423dcf1d1b1
72af12d8139a80f317e851a60027fdf208871ed334c12637f49d819ab4b033dd
85ce324b8f78021ecfc9b811c748f19b82e61bb093ff64f2eab457f9ef19b186
a1d9cd6f189beff28a0a49b10f8fe4510128471f004b3e4283ddc7f78594906b
a93ee7ea13238bd038bcbec635f39619db566145498fe6e0ea60e6e76d614bd3
b43b234012b8233b3df6adb7c0a3b2b13cc2354dd6de27e092873bf58af2693c
eb47cd6a937221411bb8daf35900a9897fb234160087089a064066a65f42bcd4
24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
2c2d8bc91564050cf073745f1b117f4ffdd6470e87166abdfcd10ecdff040a2e
7a828afd2abf153d840938090d498072b7e507c7021e4cdd8c6baf727cafc545
a897345b68191fd36f8cefb52e6a77acb2367432abb648b9ae0a9d708406de5b
fb0b6044347e972e21b6c376e37e1115dab494a2c6b9fb28b92b1e45b45d0ebc
9588f2ef06b7e1c8509f32d8eddfa18041a9cc15b1c90d6da484a39f8dcdf967
b43b234012b8233b3df6adb7c0a3b2b13cc2354dd6de27e092873bf58af2693c
4186675cb6706f9d51167fb0f14cd3f8fcfb0065093f62b10a15f7d9a6c8d982
09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa

Možné škody:
Vážne (data corruption)

Zraniteľné systémy:

Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows 8.1 for 32-bit Systems
Windows 8.1 for x64-based Systems
Windows RT 8.1
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1511 for 32-bit Systems
Windows 10 Version 1511 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 64-bit Systems Service Pack 2
Windows Server 2008 for Itanium-based Systems Service Pack 2
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for Itanium-based Systems Service Pack 1
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016 for x64-based Systems

Spoločnosť Microsoft v sobotu 13.5.2017 výnimočne vydala aktualizácie aj pre systémy so skončenou podporou, ktoré možno stiahnuť cez linky, uvedené v odkaze [4]:
Windows XP SP2 x64
Windows XP SP3 x86
Windows 8 x86
Windows 8 x64
Windows Server 2003 SP2 x86
Windows Server 2003 SP2 x64



Odporúčania:

Pre zníženie rizika, prípadne redukciu škôd odporúčame pre správcov a používateľov nasledovné opatrenia:

  • Deaktivovať SMBv1 (až do aplikovania aktualizácie)
  • Udržiavať aktuálne verzie operačných systémov s aplikovanými všetkými bezpečnostnými aktualizáciami
  • Aplikovať aktualizácie z Microsoft Security Bulletinu MS17-010 (odkaz [3])
  • Aplikovať aktualizácie aj pre uvedené staršie systémy (linky na stiahnutie aktualizácií na odkaze [4])
  • Izolovať zraniteľné, prípadne napadnuté zariadenia od zvyšku siete
  • Blokovať sieťovým firewallom všetku komunikáciu na port TCP 445,139 a UDP 137-138 smerom z Internetu ku zariadeniam v lokálnej sieti.
  • Blokovať komunikáciu na portoch TCP 445,139 a UDP 137-138 medzi používateľskými zariadeniami navzájom. Ako security best practise sa odporúča úplne od seba izolovať klientské stanice napríklad použitím private VLAN (PVLAN).
  • Používať aktualizovaný antivírusový softvér V prípade napadnutia je možné malvér odstrániť napríklad použitím antimalware softvéru.

 

Dešifrovanie šifrovaných súborov aktuálne nie je možné (pričom použité algoritmy naznačujú, že bolo implementované silné šifrovanie).

Odkazy:
[1] https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/?platform=hootsuite
[2] https://securelist.com/blog/incidents/78351/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/
[3] https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
[4] https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

<< zoznam oznámení