Cercetările preliminare indică o variațiune a unui malware mai vechi, cunoscut sub mai multe nume (Petya/Petrwrap/GoldenEye), care exploatează pentru a se răspândi în rețea aceeași vulnerabilitate pe care s-a bazat atacul ransomware din luna mai 2017 (WannaCry/WannaCrypt), respectiv EternalBlue, pentru care Microsoft a furnizat un patch de securitate în luna martie a anului curent. Infecția inițială are loc prin e-mail, în sensul că mesajul are un atașament de tip executabil.
Succesul atacului relevă faptul că există o serie de organizații care nu şi-au însușitconsecințele atacului global de tip ransomware precedent. De altfel, din informații publice reiese ca sunt cel puțin 1,9 milioane de sisteme informatice expuse în Internet care încă utilizează protocolul SMB v1 (exploatat de vulnerabilitatea menționată).
Până acum au fost afectate mai multe companii din domeniul transporturilor, energiei şi bancar, precum şi POS-uri sau ATM-uri.
Malware-ul se comportă similar cu WannaCry/WannaCrypt, răscumpărarea solicitata fiind aproximativ aceeași (300 USD).
Prin urmare, vă recomandam:
• Instalarea în regim de urgență a patch-urilor de securitate, în special MS17-010 publicat de Microsoft în luna martie 2017
• Notificarea utilizatorilor să nu acceseze link-uri sau atașamente din cadrul mail-urilor suspecte primite;
• Notificarea incidentelor de securitate informatică către structurile cu atribuții în domeniu (CERT-RO);
• Actualizarea semnăturilor pentru sistemele de securitate din cadrul organizației;
• În cazul infectării, victimele nu ar trebui săplătească suma solicitată. Plata nu asigură eliminarea recurenței incidentului, la un moment ulterior şi totodată, încurajează această practică;
• În situația în care considerați că sistemele dumneavoastră sunt vulnerabile, ne puteți contacta pentru sprijin calificat.
Pe termen lung, pentru a evita astfel de incidente sunt necesare următoarele:
• Inventarierea sistemelor informatice din organizațieşi instalarea patch-urilor de securitate. Acest lucru trebuie realizat cu regularitate astfel încât să se asigure menținerea la zi a acestora;
• Actualizarea cu regularitate a produselor de securitate instalate în companie;
• Monitorizarea de securitate trebuie să acopere cei mai frecvenți vectori de atac (în special sistemele de tip e-mail şi sistemele care sunt accesate din Internet);
• Backup regulat al datelor esențiale, într-o locație sigură, off-line;
• Educarea permanenta a utilizatorilor;
• Stabilirea unui plan de comunicare a incidentelor de securitate informatică, astfel încât persoanele responsabile de aceste aspecte să afle cât mai repede de astfel de incidente, în vederea tratării;
certSIGN urmărește prin structura specializata evoluția evenimentelor