2017-05-30 06:58:04
Firmy dotknięte tym zagrożeniem zalecają swoim pracownikom niezwłoczne wyłączanie komputerów. Atak najnowszej wersji złośliwego oprogramowania “WannaCry” zbiera żniwo w kilku krajach. Szybkość i siła ataku zaskoczyły wiele osób. Eksperci nie odkryli jak dotąd pochodzenia ataku, który w zaledwie trzy godziny objął 11 krajów. Do tej pory najbardziej ucierpiały Hiszpania i Rosja.
Jak grom z jasnego nieba
W piątek 12 maja we wczesnych godzinach porannych czasu środkowoeuropejskiego zaobserwowano szeroko zakrojoną falę ataków najnowszej wersji złośliwego oprogramowania WCry / WannaCry. Eksperci nie mają pewności, gdzie leży źródło ataku, ale na chwilę obecną podejrzewają, że mogą nim być botnety, zestawy eksploitów, zainfekowane e-maile lub złośliwe reklamy. W Hiszpanii zaatakowany został jeden z serwerów wewnętrznych firmy Telefónica, głównego dostawcy usług internetowych. Od tego momentu problem narastał i w efekcie doszło do tego, że specjaliści IT musieli informować pracowników o konieczności natychmiastowego wyłączenia komputerów. Poproszono ich również o przerwanie wszelkich połączeń VPN, by zatrzymać rozprzestrzenianie się złośliwego oprogramowania na kolejne elementy firmowej sieci. Hiszpańska gazeta El Mundo poinformowała, że sieci niektórych dostawców mediów zostały zaatakowane w podobny sposób. Jedno ze źródeł podaje, że największą liczbę ataków odnotowano w Rosji. Do tej pory nie określono jednak skali szkód.
Skutki
Minione wydarzenia pokazują wyraźnie, że złośliwe oprogramowanie zagraża firmom różnej wielkości. Jako że dostawcy mediów i usług telekomunikacyjnych stanowią „niezbędną i kluczową infrastrukturę”, należy podjąć odpowiednie kroki w celu zabezpieczenia ich działalności.
Środki zaradcze
Przede wszystkim należy niezwłocznie zaktualizować sygnatury wirusów. Klienci G DATA są jednak chronieni. Złośliwe oprogramowanie WannaCry jest wykrywane przez wszystkie program G DATA jako Win32.Trojan-Ransom.WannaCry.A.
Z uwagi na fakt, że ochronę przed tym zagrożeniem dołączono w marcowej aktualizacji systemu Windows, należy niezwłocznie zainstalować aktualizacje. Ponadto, firma Microsoft wypuściła na rynek łatę dedykowaną dla niektórych starszych wersji systemu Windows, którą także należy niezwłocznie zastosować.
IOC – pliki
Pliki EXE
„ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa”
„09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa” [Win32.Trojan-Ransom.WannaCry.A]
„ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa” [Win32.Trojan-Ransom.WannaCry.A
]”2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41dd” [Win32.Trojan-Ransom.WannaCry.A]
„24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c” [Win32.Trojan-Ransom.WannaCry.D]
„4186675cb6706f9d51167fb0f14cd3f8fcfb0065093f62b10a15f7d9a6c8d982” [Win32.Trojan-Ransom.WannaCry.D]
„6bf1839a7e72a92a2bb18fbedf1873e4892b00ea4b122e48ae80fac5048db1a7” [Win32.Trojan-Ransom.WannaCry.D]
„b3c39aeb14425f137b5bd0fd7654f1d6a45c0e8518ef7e209ad63d8dc6d0bac7” [Win32.Trojan-Ransom.WannaCry.D]
„b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25 [Win32.Trojan-Ransom.WannaCry.E]
DLL:
„CYBER1be0b96d502c268cb40da97a16952d89674a9329cb60bac81a96e01cf7356830.E1E” [Win32.Trojan-Ransom.WannaCry.F]
Komponent wsadowy Batch dla WannaCry:
„f01b7f52e3cb64f01ddc248eb6ae871775ef7cb4297eba5d230d0345af9a5077” [BAT.Trojan-Ransom.WannaCry.C]
Komponent VBS dla WannaCry:
„51432d3196d9b78bdc9867a77d601caffd4adaa66dcac944a5ba0b3112bbea3b” [Script.Trojan-Ransom.WannaCry.B]
Skrót WannaCry:
„a3b014598d6313c96ab511dc56028ef36f8bafde7f592a1329238718e1c29813” [Win32.Trojan-Ransom.WannaCryLnk.A]
Rozszerzenie pliku:
.wncry
Żądanie okupu: @[email protected]
Obraz podglądu: MalwareHunter
Aktualizacja: 12 maja, godzina 20:10: atak na kolejne firmy
Tym razem pojawiły się informacje o kolejnej dużej grupie ofiar złośliwego oprogramowania:
Prywatne firmy w Hiszpanii i Portugalii padły ofiarą WannaCry. Z powodu szybkiego rozprzestrzeniania się złośliwego oprogramowania po sieci ucierpiały laboratoria komputerowe. Jedno ze źródeł donosi o ataku na komputery rosyjskiego Ministerstwa Spraw Wewnętrznych Zgodnie z oświadczeniem brytyjskiej służby zdrowia doszło do ataku na niektóre z jej struktur
Aktualizacja: 12 maja, godzina 20:20: WannaCry wykorzystuje eksploit NSA, który wyciekł i infekuje urządzenia – jak temu zaradzić
Przypuszcza się, że mechanizm wykorzystywany przez WannaCry opiera się na kodzie eksploitu stworzonym pierwotnie przez NSA. Eksploit ten nosi nazwę ETERNALBLUE i wchodzi w skład serii plików, które wyciekły w zeszłym miesiącu.
Firma Microsoft opracowała w ramach swojej marcowej działalności łatę chroniącą przed luką w zabezpieczeniach protokołu SMB, która umożliwiła pojawienie się eksploitu (określa się ją również jako NVD) i którą nazwano luką „krytyczną”.
G DATA rekomenduje zainstalowanie wszystkich aktualizacji dla systemu Windows lub zastosowanie sugerowanych przez firmę Microsoft alternatywnych rozwiązań.
Aktualizacja: 12 maja, godzina 23:20
Aktualizacja listy IOC oraz dodanie nazw wykrywania.
Aktualizacja: 13 maja, godzina 7:30: system wyświetlający rozkład jazdy pociągów padł ofiarą ataku w Niemczech, brytyjska służba zdrowia informuje o “poważnym incydencie”
Pierwsze przypadki zainfekowania WannaCry odnotowano w systemach wyświetlających rozkłady jazdy pociągów na różnych stacjach kolejowych w Niemczech. Infekcja rozprzestrzeniła się na kilka szpitali w Wielkiej Brytanii, zmuszając pracowników do pracy na papierowych dokumentach w celu zapewnienia dostępu do podstawowego zakresu usług. Brytyjska służba zdrowia poinformowała o „poważnym incydencie”. Do ostrzegania o śmiertelnym zagrożeniu, jakie niesie WannaCry włączyli się lekarze.
Aktualizacja: 13 maja, godzina 9:15 – Microsoft wypuszcza na rynek łatę dedykowaną dla systemów Windows XP, Windows 8, Server 2003 jako ochronę przed zagrożeniem
Mając na uwadze fakt, iż wielu użytkowników nadal korzysta z systemu Windows XP (w tym we wspomnianych już instytucjach), Microsoft podjął niespotykane dotąd działanie i wydał aktualizację dla systemów Windows XP, Windows 8 i Windows Server 2003.
Aktualizacja: 15 maja, godzina 8:30: Przypadkowy bohater krzyżuje plany WannaCry
Gdy tylko WannaCry ujrzało światło dzienne, jeden ze specjalistów do spraw bezpieczeństwa rozpoczął wnikliwą analizę. Odkrył, że WannaCry próbuje skontaktować się z konkretną domeną. Domena ta nie była wtedy zarejestrowana, on sam postanowił więc to zrobić, by sprawdzić, o czym WannaCry chciało rozmawiać. Taką procedurę stosuje się standardowo w badaniach nad bezpieczeństwem.
Później okazało się, że domena ta była tak naprawdę wyłącznikiem dla WannaCry. Zasada działa jest prosta: WannaCry kontaktuje się z domeną i czeka na odpowiedź. Gdy ją otrzyma, wyłącza się i nie infekuje systemu. Początkowo specjalista nie zdawał sobie z istnienia wyłącznika, dlatego fakt, że jego odkrycie przyczyniło się do spowolnienia rozprzestrzeniania się WannaCry był szczęśliwym zbiegiem okoliczności – wiele portali informacyjnych okrzyknęło go „Przypadkowym bohaterem WannaCry”.
To oczywiście dobra wiadomość, że nowe przypadki zainfekowania zostały w ten sposób zatrzymane. Należy jednak w tym miejscu ostrzec przed dwiema kwestiami: wyłącznik działa jedynie w tych urządzeniach, które nie zostały wcześniej zainfekowane. Nie ma on zdolności „wyczyszczenia” zainfekowanego systemu i nie przywróci zaszyfrowanych plików. Ponadto domena wyłącznika nie będzie działała, jeśli potencjalnie zagrożone urządzenia będą znajdowały się poza serwerem proxy.
Zaobserwowane spowolnienie pozwoliło specjalistom od bezpieczeństwa odetchnąć z ulgą, choć nadal zaleca się ostrożność.
Na blogu G DATA poświęconemu zabezpieczeniom zamieszczane są aktualizowane na bieżąco wyniki analiz oraz dodatkowe informacje: https://blog.gdatasoftware.com/2017/05/29751-wannacry-ransomware-campaign
