To patch or not to patch… The answer is Trend Micro

Sau plangem dupa. Un puternic atac ransomware criptolocker, denumit parca in batjocura “Wannacry” a fost lansat deliberat pe 12 Mai 2017, pentru a se prevala de bresele de securitate. Pornit cu un atac simplu de phising, varianta de criptolocker adreseaza o vulnerabilitate recenta anuntata de Microsoft (in Martie 2017, marcata de drept critica – (CVE-2017-0144/MS17-010), pentru a se raspandi nestingherit in retelele interne neprotejate, perturband activitatea prea multor companii.

Asistam la un nou Stuxnet? Folosindu-se de o aplicatie “scapata” in piata din seiful digital al NSA in Aprilie 2017 (EternalBlue, care exploateaza o vulnerabilite SMB), virusul reuseste sa afecteze mai mult de 74 de tari, printre care, foarte afectate au fost Rusia si Ucraina, urmate de India si Taiwan. Rapoarte ulteroare ale atacurilor au venit din America Latina si Africa, urmand sa se raspandeasca in aproximativ sase ore la nivel mondial.

Harta animata creata de catre New York Times arata amploarea atacului.

Asa cum scriam in articolele anterioare atacurile cibernetice vor ajunge sa produca pierderi de vieti omenesti. O buna parte din sistemul sanitar din Marea Britanie (peste 16 organizatii din Blighty) au fost fortate sa revina la foaia de hartie si pix, cu usile blocate, neputand sa primeasca ambulantele cu pacienti sau sa opereze… Alternativa este sa plateasca echivalentul a 300$ in Bitcoin, pentru a recastiga accesul la echipamente. Per echipament. Inmultit cu numarul de organizatii. La nivel mondial.

Afectate au fost, printre altele: Telefonica Spania, Ministerul de interne al Rusiei, antementionatul Minister al Sanatatii din Marea Britanie, Deutsche Bahn (sistemul feroviar al Germaniei), FedEx, si lista nu se opreste aici. Desi pe locul 9 in topul tarilor atacate, patru entitati de stat romane au fost afectate si alte peste 300 de entitati private, conform CERT-RO.

Desi atacul initial a fost oprit printr-un kill-switch (creearea domeniului iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) deja au aparut variante ale viermelui “wannacry” care anunta cel putin acelasi nivel de infectie.

Este critica deci actualizarea regulata a sistemelor de operare si a aplicatiilor. In cazul marilor companii, acest lucru este anevoios si poate dura si peste 100 de zile (a se oberva si traseul aparitiei atacului: Martie 2017 – Microsoft anunta bresa si emite patch; Aprilie 2017 – apare exploitul de SMB; Mai 2017 este lansat atacul). Campania Wannacry foloseste deci o vulnerabilitate anuntata public de 59 de zile! Iar pentru a face lucrurile si mai dificile, vulnerabilitatea a fost rezolvata de catre Microsoft doar pe sistemele de operare suportate (a se citi care nu sunt “End of Support”). Totusi, in acest caz particular, Microsoft si-a reconsiderat pozitia si a emis un patch pentru toate platformele afectate.

Cum putem minimiza sau chiar opri riscurile de infectie? Folosind solutii de securitate care colaboreaza prin intermediul Connected Threat Defense. Folosind tehnologii precum Predictive Machine Learning, Behaviour Monitoring, solutiile Trend Micro Deep Security protejeaza efectiv impotriva atacurilor de ransomeware  indiferent daca vorbim de statii de lucru, servere fizice, servere virtualizate, Office 365, AWS, Azure etc.

Pentru a avea o vedere completa asupra retelei interne si a traficului “lateral” care genereaza raspandirea virusului, se recomanda folosirea solutiei Deep Discovery, care inspecteaza traficul pe toate porturile si descopera inclusiv tentativele de comunicare cu centrele Command & Control ale rauvoitorilor.