Echipa CERT-RO revine cu actualizări referitoare la campania ransomware WannaCry.
Deşi în mediul online şi social media au fost publicate informaţii referitoare la stoparea WannaCry prin înregistrarea unui domeniu specificat în script-ul realizat de către atacatori, vă informăm că această campanie este în continuare în desfăşurare. Înregistrarea domeniului existent în acel script a condus la o diminuare a numărului de sisteme infectate la nivel global, dând şansă utilizatorilor să aplice între timp update-urile. Cu toate acestea, ameninţarea încă persistă, de aceea vă sugerăm să aplicaţi recomandările echipei CERT-RO.
Mai mulţi specialişti din domeniul securităţii cibernetice susţin că ar exista variante multiple a ransomware-ului WannaCry, cu domenii diferite inserate în script, sau fără acel buton de ‘stop’ (kill switch) pentru propagarea malware-ului.
RECOMANDĂRI
- Actualizarea sistemelor de operare şi aplicaţiilor, inclusiv cu patch-ul MS17-010:https://technet.microsoft.com/en-us/library/security/ms17-010.aspx; Microsoft a publicat actualizări de securitate inclusiv pentru sistemele de operare care nu mai beneficiază de suport, precum Windows XP:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/;
- Blocarea porturilor SMB (139, 445) în cadrul reţelei;
- Utilizarea un antivirus actualizat cu ultimele semnături;
- Acordarea unei atenţii sporite la deschiderea fişierelor şi link-urilor provenite din surse necunoscute/incerte, mai ales cele din mesajele email;
- Realizerea periodică a copiilor de siguranţă (backup) pentru datele importante.
În eventualitatea infectării cu ransomware, CERT-RO recomandă utilizatorilor să întreprindă de urgenţă următoarele măsuri:
- Deconectarea imediată de la reţea a sistemelor informatice afectate;
- Dezinfectarea sistemelor compromise;
- Restaurarea fişierelor compromise utilizând copiile de siguranţă (backup);
- Raportarea incidentului către CERT-RO la adresa de email alerts@cert.ro.
Situaţia în România
În continuare numărul adreselor IP despre care CERT-RO deţine informaţii că este posibil să fie infectate cu variante de ransomware WannaCry se menţine constant (322 adrese IP, sămbătă).
Până în prezent CERT-RO a identificat 5 instituţii publice posibil afectate, în sensul că utilizează adrese IP dintre cele associate cu WannaCry şi a primit trei notificări oficiale de la organizaţii afectate din România. Este important să menţionăm că, în absenţa unui cadru legal care să oblige companiile şi instituţiile publice să raporteze aceste incidente, este extrem de dificil să evaluăm în acest moment impactul la nivel naţional.