“Petya” ransomware – Fortinet ofera solutia completa pentru protectie

“Petya” ransomware – Fortinet ofera solutia completa pentru protectie

Petya Ransomware

Urmand modelul WannaCry, a inceput sa se raspandeasca la nivel global o noua varianta de ransomware –Petya-, cu impact asupra majoritatii industriilor si organizatiilor, inclusiv activand in domenii de infrastructura critica precum energie, banking si transport. FortiGuard Labs il apreciaza drept mult mai mult decat “o noua versiune de ransomware”. Ar putea fi descris mai bine ca reprezentant al unui nou val de atacuri ransomware multi-vector, pe care Fortinet il numeste “ransomworm” si care exploateaza multiple vulnerabilitati intr-un interval scurt. In acest sens, “ransomworm” este construit sa se replice autonom pe multiple sisteme, alternativ la a se localiza sau la a necesita actiuni din partea utilizatorilor.

Si in loc sa se concentreze pe o singura organizatie, acest tip de atac foloseste o abordare generala ce tinteste orice echipament pe care poate exploata una sau mai multe din vulnerabilitatile urmarite. In acest caz, atacul aparent poate incepe prin distribuirea unui document Excel ce exploateaza o vulnerabilitate clasica Microsoft Office. Cu toate acestea, din cauza vectorilor de atac aditionali (precum livrarea prin Windows Management WMC), doar patching-ul este insuficient pentru a opri complet acest ransomworm, ceea ce inseamna ca, in plus, sunt necesare mecanisme si utilitare profesionale imbinate cu bune practici de securizare.

Fortinet Security Fabric furnizeaza protectie comprehensiva impotriva ransomworm-ului Petya prin metode integrate si automatizate, incluzand detectia si preventia automata (IPS/IDS), protectia contra malware (anti-virus), analiza real-time a liniilor de cod suspecte (FortiSandbox), partajarea automata a informatiilor rezultate si multe altele.

Cum patch-ul pentru una din cele mai exploatate vulnerabilitati de pana acum a fost emis de Microsoft la inceputul anului, este recomandat ca organizatiile care nu au facut-o inca, sa isi updateze sistemele cat mai repede posibil. Sistemele “legacy” si de infrastructura critica sunt in special mai vulnerabile la acest tip de atac. Cu toate acestea, din cauza vectorilor de atac multipli, sunt necesare masuri de securitate suplimentare:

Recomandari de securitate:

Pentru organizatiile care urmaresc sa se protejeze de acest tip de malware:

  1. Departamentul IT
    1. Realizati back-up periodic al fisierelor de pe sistemele critice si pastrati fisierele “offline“;
    2. Asigurati-va ca detineti discuri cu sistemele de operare si configuratiile lor de tip ‘gold standard’, pentru a reconstrui cu usurinta sistemele in caz de compromitere;
    3. Patch-uri la zi;
  2. Utilizatori
    1. Nu rulati atasamente de la surse necunoscute;
  3. Operatiuni de securitate
    1. Pastrati la zi in organizatie semnaturile pentru mecanismele de securitate;
    2. Utilizati mecanisme tip “sandbox” pe atasamente;
    3. Utilizati mecanisme de detectie comportamentala a posibilelor infectari;
    4. La nivel de firewall, cautati urme ale compromiterii de “Command&Control”;
    5. Segmentati pentru a limita raspandirea “malware” si posibilitatea compromiterii datelor de backup;
    6. Inchideti serviciul Remote Deesktop Protocol si/sau securizati conectarea prin autentificare, iar alternativ limitati posibilitatea de extindere laterala prin intermediul sau;
  4. Indicatii generale
    1. Daca sunteti afectat, nu platiti;
    2. Comunicati detaliile de compromitere catre organizatii de incredere, ce pot ajuta in eforturile generale ale comunitatii pentru a diagnostica, limita si remedia.

Pentru mai multe informatii despre ransomware, va rugam vizitati pagina oficiala Fortinet Petya Central Content Hub.

Pentru mai multe informatii despre solutiile Fortinet contra ransomware, va rugam vizitati pagina de produse Fortinet Enterprise.

Articol comunicat de Fortinet.

Share this post