Τι λέει η ΑΟΝ για την επίθεση WannaCry. Ti δεν γνωρίζουμε..

Το κυβερνοέγκλημα κατατάσσεται παγκοσμίως ανάμεσα στους πέντε κορυφαίους επιχειρηματικούς κινδύνους, σύμφωνα με την Παγκόσμια Έρευνα για τη Διαχείριση Κινδύνου 2017, από την Aon (NYSE:AON). Το αξιοσημείωτο αυτό εύρημα, επιβεβαιώνεται ύστερα από την κυβερνοεπίθεση WannaCry που σημειώθηκε στις 12 Μαΐου και εξαπλώθηκε σε περισσότερες από 90 χώρες, καταγράφοντας μια από τις μεγαλύτερες κυβερνοεπιθέσεις που έχουν υπάρξει ποτέ, με τον ρυθμό εξάπλωσης και τον πολλαπλασιασμό των επιπτώσεων της επίθεσης να θεωρείται πρωτοφανής.

 Καθώς οι μέρες μετά την επίθεση κυλούν και παρότι εντοπίστηκε προσωρινός τρόπος αντιμετώπισης της αρχικής μορφής του WannaCry, ενδέχεται να κυκλοφορήσουν νέες εκδόσεις που μπορεί να έχουν ανάλογη ή μεγαλύτερη επικινδυνότητα.

7 απλές ερωτήσεις για να διαπιστώσετε το βαθμό ετοιμότητας της επιχείρησής σας

·         Πότε ήταν η τελευταία φορά που εξετάσατε το πρόγραμμα διαχείρισης ενημερώσεων (patch management program), τα σχέδια αποκατάστασης καταστροφών (disaster recovery plans) και τα σχέδια επιχειρησιακής συνέχειας (business continuity plans), στην επιχείρησή σας;

·         Μπορείτε να προσδιορίσετε πού βρίσκονται όλα τα κριτικής σημασίας δεδομένα σας και εάν γίνονται τακτικά, αντίγραφα ασφαλείας;

·         Έχετε πρόγραμμα ασφάλισης στον κυβερνοχώρο, που να σας παρέχει επαρκή κάλυψη; Έχετε λάβει τα απαραίτητα μέτρα για να βεβαιωθείτε ότι θα δικαιούστε να προχωρήσετε σε απαίτηση, εάν επηρεαστεί η επιχείρησή σας;

·         Έχετε ενημερώσει το προσωπικό σας, σχετικά με τις τελευταίες πρακτικές ηλεκτρονικού ψαρέματος (phishing) και κοινωνικής μηχανικής (social engineering);

·         Υπάρχει σχέδιο αντιμετώπισης περιστατικών, το οποίο να έχει δοκιμαστεί πρόσφατα, ώστε όλοι να γνωρίζουν τι πρέπει να κάνουν σε περίπτωση επίθεσης;

·         Έχετε εγκαταστήσει τους απαραίτητους τεχνικούς και διαδικαστικούς ελέγχους; Εφαρμόζονται και λειτουργούν σωστά;

·         Έχετε αξιολογήσει και δοκιμάσει τα συστήματα ασφάλειας της επιχείρησής σας πρόσφατα; Έχετε ενεργήσει ανάλογα με τα αποτελέσματα;

Τι είναι το κακόβουλο λογισμικό WannaCry

Το WannaCry (γνωστό και ως WannaCryptor και Wana DecryptOr) είναι μια μορφή κακόβουλου λογισμικού που προσβάλει συστήματα υπολογιστών, που λειτουργούν σε περιβάλλον Windows, μέσω μιας ευπάθειας (vulnerability) στο πρωτόκολλο SMBv1 (MS17-010,  ευπάθεια στο Server Message Block). Το WannaCry στοχεύει και κρυπτογραφεί 176 τύπους φακέλων, συμπεριλαμβανομένων αρχείων του Office, φακέλων πολυμέσων, καθώς και βάσεις δεδομένων, μεταξύ άλλων, απαιτώντας πληρωμή με σκοπό να δώσει το κλειδί της αποκρυπτογράφησης.

Πως λειτουργεί το WannaCry;

  Το WannaCry δημιουργεί ένα αντίγραφο του εαυτού του, το οποίο τρέχει στο μολυσμένο υπολογιστή. Καθώς τρέχει, το λογισμικό δοκιμάζει να συνδεθεί με ένα συγκεκριμένο domain. Αν το επιτύχει, παραμένει στο σύστημα χωρίς να τρέξει το κακόβουλο λογισμικό (WannaCry). Στις 13 Μαΐου ένας ανεξάρτητος ερευνητής κατάφερε να εντοπίσει αυτό το «πάγωμα» και να βρει έναν προσωρινό τρόπο αναχαίτισης του WannaCry. Παρότι η λύση αυτή γνωστοποιήθηκε, πληροφορίες από την εταιρεία Kaspersky επιβεβαιώνουν την παρουσία παραλλαγών του WannaCry.

Εάν το κακόβουλο λογισμικό δεν καταφέρει να συνδεθεί στο domain, ενεργοποιείται αντιγράφοντας και εκτελώντας τον επιβλαβή κώδικά του στον μολυσμένο υπολογιστή, ο οποίος στη συνέχεια κρυπτογραφεί τα αρχεία του, κάνοντας τα μη προσβάσιμα. Στη συνέχεια, το λογισμικό απαιτεί πληρωμή της τάξης $300 – $600, σε μορφή  Bitcoin, ως αντάλλαγμα για να δώσει το κλειδί της αποκρυπτογράφησης των αρχείων.

Οι επιχειρήσεις θα πρέπει να κατανοήσουν ότι τα συστήματα που έχουν ήδη μολυνθεί με το WannaCry, δεν θα πάρουν τα αρχεία τους πίσω παρότι γνωστοποιήθηκε το «πάγωμα» που περιγράφηκε παραπάνω. Επί του παρόντος, δεν υπάρχει γνωστή μέθοδος για το σπάσιμο της κρυπτογράφησης του κακόβουλου λογισμικού. Όπως αναλύεται παρακάτω, οι επιχειρήσεις ενδέχεται να είναι σε θέση να παρακάμψουν το κακόβουλο λογισμικό, εφόσον υπάρχουν αντίγραφα ασφαλείας των αρχείων που έχουν υποστεί ζημιά και στη συνέχεια αυτά να αποκατασταθούν, μόλις ενημερωθούν όλα τα μολυσμένα συστήματα.

Πότε ενδέχεται η επιχείρησή σας να έχει μολυνθεί από το WannaCry;

  Εάν χρησιμοποιείτε υπολογιστές σε περιβάλλον Windows οι οποίοι δεν έχουν ενημέρωση για το MS17-010, είναι πιθανό να διατρέχετε κίνδυνο.

 Αν το κακόβουλο λογισμικό έχει ενεργοποιηθεί σε ένα μολυσμένο σύστημα, παρατηρούνται συνήθως δυο φαινόμενα:

1.             Τα αρχεία ενός χρήστη θα κρυπτογραφηθούν και θα καταστούν μη προσβάσιμα, λαμβάνοντας παράλληλα την επέκταση “.WCRY”, “.WNCRY” ή/και “.WNCRYT”

2.             Το εργαλείο της αποκρυπτογράφησης (Wana DecryptOr) θα τρέξει αυτόματα στο μολυσμένο σύστημα, εμφανίζοντας το παρακάτω  μήνυμα:

  Μπορεί να μεταδοθεί από υπολογιστή σε υπολογιστή;

  Ναι, το WannaCry συμπεριφέρεται σαν υιός τύπου worm, στοιχείο που του επιτρέπει να μεταδίδεται εξαιρετικά εύκολα μέσα σε ένα πληροφοριακό σύστημα. Στην ουσία χρειάζεται να μολυνθεί ένας μόνο υπολογιστής, προκειμένου να μεταδώσει το λογισμικό στο δίκτυο που ανήκει και να θέσει την επιχείρηση σε κίνδυνο.

 Τι μπορείτε να κάνετε για την προστασία της επιχείρησή σας;

  Μπορείτε να εφαρμόσετε τις ακόλουθες καλές πρακτικές, με σκοπό να προστατεύσετε την επιχείρησή σας από το WannaCry:

·         Μια από τις πιο σημαντικές ενέργειες που μπορείτε να κάνετε άμεσα (αν δεν την έχετε ήδη κάνει) είναι να ενημερώσετε κάθε σύστημα Windows το οποίο έχει πληγεί. Η ενημέρωση θα αποκαταστήσει την ευπάθεια που παρουσιάζεται στον Server Message Block (SMB). H Microsoft έχει εκδώσει τη σχετική οδηγία προστασίας Microsoft Security Bulletin MS17-010 με σκοπό την αποκατάσταση της ευπάθειας, ενώ έχει ετοιμάσει ενημερώσεις για παλαιότερες εκδόσεις λειτουργικών συστημάτων, τα οποία μπορεί να επηρεαστούν. Σε περίπτωση που η ενημέρωση δεν μπορεί να εκτελεσθεί  άμεσα, η TrendMicro προτείνει τη χρήση εικονικής ενημέρωσης, η οποία βοηθά τον μετριασμό της απειλής (για επιπρόσθετες συστάσεις επισκεφθείτε τις οδηγίες που έχει δημοσιεύσει η TrendMicro).

·         Εάν σε κάποιους υπολογιστές δεν μπορεί να γίνει ενημέρωση, εξετάστε τη δυνατότητα διαχωρισμού τους από το υπόλοιπο σύστημα.

·         Οι επιχειρήσεις θα πρέπει να διασφαλίσουν ότι οι θύρες SMB (TCP/445 και TCP/139) είναι φραγμένες μέσω του firewall, για τις εισερχόμενες ροές δεδομένων.

·         Λαμβάνοντας υπόψη ότι η επίθεση έχει εξελικτικό χαρακτήρα, οι επιχειρήσεις θα πρέπει να εξετάσουν επιπρόσθετες άμυνες με σκοπό το μετριασμό της εξάπλωσης του WannaCry και άλλων επιθέσεων στο SMBv1, μέσω της απενεργοποίησης του πρωτοκόλλου SMB εξ ολοκλήρου σε συστήματα που δεν το απαιτούν, καθώς και σε μεμονωμένους υπολογιστές που το απαιτούν. Συνιστάται να μην ενεργοποιηθούν λειτουργίες που δεν είναι αναγκαίες, με σκοπό να παρεμποδιστούν επιθέσεις που θα μπορούσαν να εκμεταλλευτούν τις ευπάθειες ενός πληροφοριακού συστήματος.

·         Οι επιχειρήσεις μπορούν να εξετάσουν επιπρόσθετα μέτρα, όπως την χρήση του εργαλείου NoMoreCry Tool από το CCNCERT, το οποίο αποτρέπει την εκτέλεση του WannaCry (Παρατήρηση: το συγκεκριμένο μέτρο δεν καθαρίζει τους ήδη μολυσμένους φακέλους).

·         Όπως πολλές άλλες οικογένειες κακόβουλου λογισμικού, το WannaCry ζητά από την εφαρμογή “vssadmin.exe” τη διαγραφή των Volume Shadow Copies. Οι επιχειρήσεις μπορούν να εξετάσουν μακροπρόθεσμα ή βραχυπρόθεσμα, να δώσουν στο παραπάνω εκτελέσιμο αρχείο ένα διαφορετικό όνομα, προκειμένου το WannaCry (και άλλα κακόβουλα λογισμικά) να μην μπορούν να το χρησιμοποιήσουν για να διαγράψουν τα Volume Shadow Copies. Σε διαφορετική περίπτωση η διαγραφή των Volume Shadow Copies, εμποδίζει κάθε δυνατότητα ταχείας επαναφοράς του συστήματος. Σχετικά με αυτό, εάν πραγματοποιηθεί η παραπάνω ενέργεια, οι επιχειρήσεις μπορούν να εξετάσουν τη ενεργοποίηση των Volume Shadow Copies σε όλα τα συστήματα, σε περίπτωση μόλυνσης και να διατηρήσουν ένα αντίγραφο ασφαλείας, το οποίο δεν είναι συνδεδεμένο στο δίκτυο. Αυτό θα επιτρέψει την επαναφορά των αρχείων που έχουν πληγεί από το κακόβουλο λογισμικό.

·         Όπως συμβαίνει σε πολλές περιπτώσεις κακόβουλου λογισμικού, η μόλυνση μπορεί να προκληθεί μέσω μηνύματος spam ή άλλων πρακτικών social engineering και phishing. Συνιστάται να γίνει ενημέρωση στο προσωπικό της επιχείρησής σας, ώστε να προσέχει πριν ανοίξει οποιοδήποτε σύνδεσμο σε μηνύματα καθώς και να ανοίγει συνδέσμους μόνο από μηνύματα που προέρχονται από αξιόπιστους αποστολείς. Οι επιχειρήσεις θα πρέπει να διασφαλίσουν ότι οι διαδικασίες που έχουν θεσπίσει σε επίπεδο τελικού χρήστη, μπορούν να προστατεύσουν από επιθέσεις μέσω email καθώς και να ορίσουν ανάλογες διαδικασίες, στην περίπτωση που δεν το έχουν ήδη κάνει.

Leave a Reply

Your email address will not be published. Required fields are marked *

*