• Alerta Zero Day – “WannaCry” Global Ransomware

Alerta Zero Day – “WannaCry” Global Ransomware

15 May

Alerta Zero Day – “WannaCry” Global Ransomware

By Security , , , Comments Off on Alerta Zero Day – “WannaCry” Global Ransomware

Iata cateva informatii cu privire la ultimul atac global de tip ransomware numit “WannaCry” sau “WanaCrypt0r 2.0”: https://en.wikipedia.org/wiki/WannaCry_ransomware_attack

Deja a afectat peste 100.000 de computere in 100 de tari in ultimele 5 zile (Marea Britanie, Statele Unite, China, Rusia, Spania, Italia şi Vietnam), impactand organizatii din toate colturile lumii, ca Ministerul de Interne din Rusia, universitati din China, operatori de telecomunicatii din Spania si Ungaria, clinici si spitale conduse de Serviciile Britanice Nationale de Sanatate, chiar si Dacia Renault. Conform statisticilor furnizate de laboratoarele specializate de securitate, la sfarsitul zilei de 12 mai, Romania s-ar fi plasat printre cele mai afectate 10 tari, pe locul al 9-lea. Cererile de rascumparare au fost livrate in peste 25 de limbi diferite.

Atacul combina un malware de tip ransomware cu un exploit pentru Windows File Sharing (protocolul SMB/CIFS) pentru a permite o pivotare laterela in cadrul retelei afectate, exact ca un “worm”.

Momentan, principalul canal de atac este Internetul: Web, Social Media, Emailuri, dar ne asteptam ca in curand sa se raspandeasca si offline prin intermediul stick-urilor USB sau orice dispozitiv de tip amovibil (“removable media”).

Iata cele mai eficiente masuri pentru prevenirea infectarii. Il puteti folosi ca pe un checklist intern pentru a va asigura ca diminuati riscurile:

  1. Protectie de tip Sandbox: pe retea pentru trafic (web, email), si pe clienti/servere
    1. Asigurati-va ca acestea sunt actualizate, sincronizate si gata sa fie capabile sa blocheze atacurile.
    2. Dispozitivele mobile nu sunt inca vizate in acest atac, insa exista atacuri recente de tip ransomware-ul pentru Android.
    3. Utilizarea tehnicilor de evaziune anti-sandbox este recomandata (CPU Level Emulation, Physical Detonation, etc.)
  2. Managementul vulnerabilitatilor și update-ul software-ului critic
    1. WannaCry se raspandeste exploatand CVE-urile recente de la Microsoft (CVE-2017-0143 pâna la CVE-2017-0148) care afecteaza aproape toate versiunile de Windows, incepand cu Windows XP pana la Windows 10, si de la Windows Server 2003 pana la Windows Server 2016.
    2. Patch-urile pentru Windows sunt disponibile aici: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
    3. Windows XP și 2003 sunt cele mai expuse riscului, deoarece noi patch-uri nu au mai fost lansate pentru acestea din aprilie 2014 (datorita expirarii suportului de la producator).
    4. Totuși, Microsoft a anuntat lansarea patch-urilor extraordinare pentru Windows XP și 2003: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks /
    5. Asigurati-va ca aplicati patch-urile critice imediat ce acestea sunt fost publicate.
    6. Ca alternativa SMBv1 ar putea fi dezactivat. Acest lucru ar putea crea totusi disfuncionalitati operationale cu echipamentele mai vechi.
  3. Antimalware / Antivirus / Anti-X
    1. Software-ul de protectie trebuie sa fie actualizat.
    2. Analiza comportamentala ar permite detectarea unor atacuri polimorfe pentru care nu sunt inca semnaturi disponibile. Toate atacurile ransomware cripteaza fisiere, lucru usor de observat prin analiza comportamentala.
    3. Porturile externe (USB, Firewire, etc.) si posibilitatea de autorun pentru acestea trebuie sa fie strict controlate – avem noi amenintari prin instalarile automate de drivere.
    4. Dezactivarea, atunci cand este posibil a Java Applets, ActiveX, Flash.
    5. Folosirea unor aplicatii terte pentru deschiderea documentelor PDF va reduce suprafata de atac pentru atacurile netargetate.
    6. Rularea in modul de utilizare cu drepturi ne-privilegiate (inclusiv utilizatori finali si profesionisti IT).
    7. Activarea optiunii “Isolated user mode“ in Windows 10 este o tehnica excelenta pentru a impiedica escaladarile privilegiilor la Ring0 (Kernel Space).
  4. Protectia retelei. Trebuie verificate fluxurile externe (Web, Email) si fluxurile interne
    1. Filtrarea continutului web – reduce riscul contactarii punctelor de distribuție inițiale
    2. Inspectarea si filtrarea traficului “egress” dinspre retea catre Internet (atentie deosebita pentru DNS, ICMP, HTTP si HTTPS) reduce riscul de extragere a informatiilor din interior si pentru conexiunile de tip “reverse” (din exterior in cadrul retelei interne).
    3. Arhivele protejate cu parola trebuie eliminate in punctele de intrare in retea. Atacurile recente au folosit aceasta tehnica, in timp ce au trimis parola pe un canal separat.
    4. Segmentarea retelei, prezenta firewall-ului intre zone – reduce riscul de expansiune / pivotare laterala si reduce suprafața de atac.
    5. Internet Edge – asigurati-va ca nu gazduiti servere care folosesc SMB/CIFS in DMZ expuse catre Internet. Dupa ce cripteaza discul WannaCry incearca sa se extinda cautand astfel de servere vizibile pe Internet.
    6. Semnaturi update la zi pentru IPS (Intrusion Prevention System) – acest lucru va limita pentru traficul intern extinderea laterala.
    7. Este necesara inspectia HTTP / HTTPS pentru inspectia profunda a pachetelor. In mod ideal aceasta tehnica functioneaza foarte bine in combinatie cu un sandbox.
    8. Dezactivarea pentru documente (PDF, DOCX, PPTX, etc.) a codului executabil. (Macros, JS, etc.)
    9. Protejarea utilizatorilor atunci cand sunt in afara retelei interne (VPN-uri cu optiunea de autodial si kill switch).
    10. NAC (Network Access Control) va impiedica extinderea exploatarii malware-ului/vulnerabilitatilor asupra retelei interne de catre dispositive necunoscute sau neautorizate.
  5. Constientizarea utilizatorilor finali
    1. Securitatea este un proces si incepe cu oamenii. Cele mai multe dintre atacurile recente sunt lansate prin e-mailurile apparent legitime care contin virusul. Sunt asa numitele campanii de “spear phising” partial targetate.
    2. Un atac ransomware poate fi “intrerupt” prin inchiderea computerului imediat ce utilizatorul simte ceva ciudat si contactand imediat persoanele responsabile cu securitatea IT.
  6. Dectectia incidentului si raspunsul – este esentiala pentru  a proteja organizatia  in momentul in care a inceput un atac
    1. Folosirea solutiilor de tip IDS, Honeypots, SIEM, precum si existenta unei echipe de Securitate IT profesioniste vor ajuta la detectarea atacurilor intr-un timp cat mai scurt.
    2. De asemenea, existenta unor procese adecvate si solide pentru securitatea IT vor asigura actiuni prompte si daune minime de indata ce o amenintare a fost detectata.

Pentru a rezuma WannaCry poate fi usor de combatut prin setari corecte si actualizari la zi pentru: solutiile AV/AX locale sau pentru retea, NGFW/IPS, Sandboxing, Filtrare de continut, aplicarea pach-urilor critice (in acest caz MS17-010).

Totusi, WannaCry si cele ce vor urma, vor putea fi cu adevarat prevenite doar prin stategii de securitate in profunzime pe care am incercat sa le expunem pe scurt in acest post.

Share this post

Author

Related Posts

31 Jul

How to Enjoy a Cyber-Safe Summer

This summer, along with precautions like travel insurance, sunscreen, bug spray, and keeping your wallet in your front pocket,... read more

23 Apr

Ce aduce nou FortiOS 5.6 ? – Video

Deoarece noul FortiOS 5.6 vine cu foarte multe schimbari si functionalitati va invitam sa va alocati cateva minute si... read more

09 Mar

Netsafe devine distribuitorul IXIA in Europa de Est

Netsafe Solutions, distribuitor regional de soluţii de securitate IT şi networking, a anunţat la începutul acestei luni că s-a... read more

23 Oct

Pastrati-va calmul si Wi-Fi-ul pornit: O abordare obisnuita a unei probleme neobisnuite.

Noul exploit se numeste KRACK, iar detaliile despre aceasta vulnerabilitate au fost publicate intr-un mod “white-hat” autentic, de catre grupul... read more

28 Jun

“Petya” ransomware – Fortinet ofera solutia completa pentru protectie

Petya Ransomware Urmand modelul WannaCry, a inceput sa se raspandeasca la nivel global o noua varianta de ransomware –Petya-, cu... read more

23 Apr

Fortinet extinde conceptul de Security Fabric in cloud

Odata cu lansarea sistemului FortiOS 5.6 Fortinet extinde conceptul de Security Fabric aplicandu-l si solutiilor cloud, prin lansarea de noi... read more

23 Oct

Educatia si trainingurile sunt esentiale pentru a acoperi lipsa de experti in securitatea informatica.

În climatul digital din ziua de astăzi, e greu să găsiți o afacere, fie în domeniul sănătății, al finanțelor,... read more

24 Jul

Cat de sigura e tehnologia wireless ?

Tehnologia wireless  a devenit atât de integrată în viețile noastre personale și profesionale astăzi, încât nu ne putem imagina... read more

20 Mar

Ixia’s 2017 security Report

Ixia has 20 years of experience testing networking and network-security appliances.  Ixia also provide the industry’s highest performing network packet... read more

12 Aug

Fortinet Reports Increased YoY Threat Activity for Q2 2019

Fortinet has just released its Threat Landscape Report for Q2 of 2019. This quarterly series provides key insights into... read more