Cei de la Bitdefender au anunțat astăzi că recomandă Microsoft să împingă o actualizare forțată pentru blocare acestui atac de amploarea. Prin vocea lui Cătălin Cosoi, Chief Security Strategist la Bitdefender, compania românească a spus că “Versiunile WannaCry 1.0 și 2.0, un tip de ransomware cu răspândire rapidă care blochează datele utilizatorilor și apoi solicită recompensă, reprezintă doar începutul unui șir de atacuri similare de amploare, făcând din WannaCry una dintre cele mai importante amenințări informatice ale următoarelor 12 luni. Amploarea fenomenului WannaCry poate fi redusă rapid dacă Microsoft decide să împingă în mod forțat o actualizare către toți utilizatorii care nu folosesc cea mai recentă versiune a sistemului de operare Windows. Această măsură a mai fost luată anterior, iar anvergura amenințării WannaCry ar justifica-o din nou, într-o manieră controlată și coordonată, cu sprijinul autorităților și companiilor din domeniul securității cibernetice”.
Ce face WannaCry?
Liviu Arsene a explicat la emisiune că amploarea WannaCry e foarte mare, la fel și simplitatea prin care se poate propaga. De asemenea, amenințarea era una existentă de câteva luni.
“Ransomware am mai văzut în ultimii ani. Partea interesantă e că WannaCry infectează calculatoarele fără ca utilizatorul să facă ceva. Nu trebuie să dea click pe un link. Pentru a se propaga folosește o vulnerabilitate de Windows. Vulnerabilitatea de Windows are un patch. Există un update eliberat de Microsoft, în aprilie-mai, care rezolvă vulnerabilitatea respectivă. Nu foarte multă lume a instalat acel update”, a spus Liviu Arsene.
“Speculăm că vor fi mult mai multe calculatoare infectate, când va ajunge lumea astăzi la birou. Virusul a afectat vineri seară, când lumea era deja plecată de la birou. La un moment dat, o grupare de criminalitate informatică a leakuit o serie de documente și vulnerabilități în sistemul de operare, pe care hackerii pretind că le-au luat de la NSA. Spuneau că acel exploit de Windows a fost folosit de NSA pentru a compromite diverse organizații. În momentul când au pus acea vulnerabilitate online, documentată, oricine putea să o folosească. Era o chestiune de timp până când cineva o împacheta cu ceva, în cazul de față ransomware. Pe de o parte e bine că e împachetat cu ransomware, pentru că vezi clar că ai fost infectat”, a mai spus specialistul Bitdefender.
Cum acționează un ransomware?
“Scopul unui ransomware e să nu fie foarte ascuns, ci să-ți blocheze accesul la datele de pe server sau dispozitiv, fie că e vorba de poze, filme, baze de date. Apoi îți cere pentru deblocare o recompensă între 250 și 17.000 de dolari. Problema este că, deși datele nu pleacă din calculator, oricum nu le mai poți folosi decât dacă ai un backup de unde să-ți revii. Dacă nu, tratezi incidentul ransomware ca o eroare de hard disk - s-a stricat și schimbăm. Nu încurajăm victimele să plătească. Când plătești nu faci altceva decât să-i finanțezi cu bani. Plus că nu ai o garanție că vei primi cheia de decriptare”, a mai spus specialistul în securitate.
Suma strânsă din WannaCry e peste 30.000 de dolari în trei portofele virtuale. Cu toate acestea, Bitdefender nu recomandă plata, pentru că aceasta se face în gol, pe încredere.
Ce sisteme de operare au fost afectate de WannaCry?
Toate sistemele de operare de la Windows XP încoace au fost afectate, inclusiv Windows 2003 Server. Excepția este Windows 10, care nu a fost afectat de WannaCry. “Au fost afectat și sisteme Windows 2003 Server. În contextul în care un server de Windows e expus la internet, el poate fi infectat, iar de acolo poate infecta întreaga organizație. Nu trebuie neapărat să ajungă la un angajat din cadrul unei firme. Dacă afectează serverul de Windows, toată compania poate fi infectată”, a explicat specialistul Bitdefender.
“Nu foarte multă lume face actualizări de securitate. În organizații precum spitalele, ele au o politică mai relaxată privind actualizările de securitate. Toate sistemele, de regulă, nu sunt cele mai actualizate. Apropo, Windows 10 nu era vulnerabil în chestiunea aceasta, dar tot ce e de la Windows XP încoace a fost afectat. În cazul spitalelor, sunt mai multe filiale într-un județ. Toate comunică între ele pentru a împărtăși baze de date despre pacienți”, a spus Liviu Arsene.
Privind sursa infecției, informațiile nu sunt încă foarte clare. Cele mai afectate țări sunt cele din spațiul ex-sovietic, dar nu putem vorbi încă de o anumită țintă. “E imposibil de spus dacă a fost targetat, dacă a țintit spre o instituție sau o firmă sau a fost o întâmplare că s-a împrăștiat atât de repede. La momentul de față nu știm cine e în spate. Poate fi un individ sau o grupare. Informațiile sunt disponibile online, trebuia doar cineva să le ia și să le pună într-o formă. Dacă vectorul inițial de infecție a fost de undeva din spațiul ex-sovietic, e mai probabil ca infecția să se fi răspândit mai ușor aici. Dar e la fel de probabil ca sistemele din această zonă a Europei să fie mai interconectate. Presupunem, nu avem o certitudine”, spune Arsene.
Ce trebuie să facă o companie infectată?
“Primul lucru pe care ar trebui să-l facă o companie e să aibă o soluție de securitate pe toate dispozitivele - Windows, Mac, Android. Trebuie să actualizezi sistemele de operare. De aici încolo e o chestiune de cât de mult vrei să investești. Trebuie să investești destul de mult, astfel încât costul unui atac să fie destul de mare. Se numește layered security, adică securitate în straturi: firewall, politici de acces, restricții la zone critice, izolarea zonelor critice, segregarea rețelelor. Cât mai multe mecanisme de securitate. Cât mai multe garduri între tine și atacator”, a mai spus Arsene.
“Dacă vorbim de organizații, cele mai mari amenințări sunt acele APT - Amenințări Avansate și Persistente. Scopul lor e să penetreze securitatea unei companii și să rămână acolo o perioadă nedeterminată de timp. Rămâne persistentă și scoate cât mai multe informații. Problema e că e foarte greu să-ți dai seama că ai o amenințare de securitate și afli după cinci luni că ai un virus care îți fură datele”, a mai spus Liviu Arsene.
În plus, companiile ar trebui să aibă proceduri de securitate bine puse la punct. “Fiecare companie trebuie să aibă un set de proceduri care trebuie urmate când se declanșează o alarmă. Există o serie de oameni care trebuie contactați, evaluarea daunelor și îmbunătățirea tacticii. Cred că ar fi o practică bună pentru orice companie să ai o echipă sau simulări de securitate. E foarte important să-ți antrenezi și angajații, să le dai cursuri de securitate. Ei sunt veriga slabă în lanțul securității”, a încheiat Arsene.