România, Ucraina şi Rusia, lovite de un nou atac cibernetic masiv care vizează bănci, instituţii şi companii. Reacţia SRI

UPDATE: Analiștii Kaspersky Lab investighează un nou val de atacuri ransomware care vizează organizații din toată lumea, iar rezultatele preliminare sugerează că este vorba de un ransomware care nu a mai fost întâlnit până acum, datele telemetrice ale companiei indicând aproximativ 2.000 de utilizatori atacați, a declarat Costin Raiu, director al echipei globale de cercetare și analiză de la Kaspersky Lab, referitor la atacurile de marți.

UPDATE: Specialiştii Bitdefender susţin ferm că victimele nu ar trebui să achite sumele cerute de atacatorii din spatele GoldenEye, pentru că nu există niciun fel de garanţie că atacatorul va onora promisiunea şi va reda accesul la date. 

UPDATE Printre companiile vizate de ultimul atac cibernetic de tip ransomware, care s-a răspândit extrem de rapid marţi după-amiază din Ucraina şi Rusia spre Europa Vestică, se numără şi multinaţionale precum Rosneft PJSC, A.P Moller-Maersk şi Grupul WPP. De asemenea, peste 80 de companii ruse şi ucrainene au fost iniţial ţinta atacului cibernetic cu ransomware-ul Petya, scrie Bloomberg.

UPDATE Calculatoarele de la Cernobîl au fost afectate de atacul cibernetic care se propaga marți în întreaga lume, determinându-i pe tehnicienii de la centrala nucleară ucraineană, care este oprită, să măsoare radioactivitatea cu contoare Geiger, a afirmat o purtătoare de cuvânt a autorităților ucrainene, citată de AFP.

”Tehnicienii noștri măsoară radioactivitatea cu contoare Geiger la locul centralei, cum se făcea în urmă cu decenii”, a declarat Olena Kovalciuk, purtătoare de cuvânt a Agenției guvernamentale de administrare a zonei de excludere de la Cernobîl, deoarece sistemul Windows, care gestiona automat supravegherea radioactivității, este inoperant.

UPDATE O analiză preliminară a specialiștilor Bitdefender arată că versiunea de ransomware GoldenEye folosește aceeași vulnerabilitate EternalBlue, prezentă în majoritatea versiunilor sistemului de operare Windows, pe care au exploatat-o în luna mai 2017 și atacatorii din spatele WannaCry și Adylkuzz, arată Răzvan Mureșan, Public Relations Specialist în cadrul Bitdefender.

 „Apariția amenințării GoldenEye confirmă previziunile Bitdefender conform cărora grupuri de atacatori vor exploata continuu vulnerabilitatea EternalBlue (MS17-010) din sistemul de operare Windows, operată anterior de Agenția Națională de Securitate din Statele Unite ale Americii (NSA), până ce toți utilizatorii vor fi făcut actualizarea la cea mai recentă versiune. Vulnerabilitatea EternalBlue permite atacatorului să ruleze cod periculos pe un computer vulnerabil și să folosească acel cod pentru a infecta sistemul cu ransomware fără ca cineva sa acceseze linkuri sau să deschidă emailuri infectate. Specialiștii în securitate cibernetică de la Bitdefender susțin ferm că victimele nu ar trebui să achite sumele cerute de criminalii informatici din mai multe motive: nu există niciun fel de garanție că atacatorul va onora promisiunea și va reda accesul la date; în cazul în care plătesc, victimele pot fi țintite din nou de atacatori, dat fiind că își construiesc în fața infractorilor un istoric de bun platnic; fiecare sumă de bani transferată va ajuta dezvoltatorii de ransomware să construiască versiuni și mai complexe și să crească amploarea acestui fenomen„, precizează Răzvan Mureșan.

 Experții în securitate ai Bitdefender recomandă, pentru companii, să aibă o evidență clară a tuturor datelor deținute și a localizării lor, astfel încât infractorii să nu atace sisteme de a căror existentă acestea să nu știe. De asemenea, este recomandată o copie a datelor nou intrate în companie, inclusiv a informațiilor de pe dispozitivele angajaților, astfel încât recuperarea acestora sa fie mai facilă în eventualitatea unei criptări. Totodată, companiile trebuie să se asigure că datele critice/sensibile sunt stocate și într-o infrastructură fără conexiune la internet și permanent monitorizată.

 Pentru a optimiza traficul de rețea și accesul la date, rețeaua trebuie segmentată, acțiune care poate îngreuna munca unui atacator de a ajunge rapid la datele critice ale companiei.

 „Nu tineți toate datele într-un singur loc care poate fi accesat de oricine din companie. Angajații trebuie informați în mod constant despre bunele practici în materie de securitate cibernetică. Insistați pe recomandarea de a nu accesa în niciun caz linkuri sau fișiere atașate provenite de la expeditori necunoscuți, modalitatea favorită de atac a infractorilor cibernetici. Puneți la punct o strategie de comunicare internă capabilă să anunțe rapid angajații când un virus ajunge în rețeaua companiei. Înainte ca un atac să aibă loc, stabiliți împreună cu factorii de decizie din companie dacă plătiți recompensa cerută de către atacatori sau dacă vă asumați pierderea datelor și inițiați o investigație. De regulă, atacatorii solicită recompense de mii sau zeci de mii de dolari companiilor pentru a reda utilizatorilor la accesul la datele criptate. Faceți o analiză a amenințărilor informatice cu furnizorii pentru a afla ce riscuri de securitate comportă fiecare dispozitiv sau aplicație cumpărate de companie. Instruiți echipele de securitate informatică să realizeze teste de rezistență pentru a găsi din timp eventuale vulnerabilități„, arată Răzvan Mureșan.

 

UPDATE Serviciul Român de Informaţii precizează, referitor la atacul cibernetic de marţi, că semnăturile viruşilor au fost verificate în sistemul informatic Ţiţeica şi nu apar la cele 54 de instituţii beneficiare ale acestuia.

SRI transmite că o campanie ransomware masivă afectează Ucraina şi alte state din zonă, fiind vorba despre cea mai recentă versiune de ransomware Petya, ce vine împachetat cu ransomwareul Mischa, deci practic o versiune de ransomware 2 în 1 cunoscut şi ca „GoldenEye”.

„Petya targhetează sistemul de operare Windows şi este distribuit printr-o campanie de mail ce impersonează mailuri de la aplicanţi pentru un job în companie. Petya suprascrie MBT (master boot record) al discului PC şi nu mai permite încărcarea sistemului de operare la pornire afişând un ecran albastru. Reporneşte automat calculatorul, simulează o reparare a discului şi de fapt criptează MFT master file table. Pentru a se executa are nevoie de drepturi extinse de administrator. Pentru utilizatorii cu drepturi restrânse nu se execută. Dacă nu reuşeşte infecţia, atunci partea a doua a ransomware-ului Mischa criptează fişierele utilizatorului. Se pare că utlizează aceleaşi vulnerabilităţi utilizate şi de campaniile trecute de ransomware”, se arată într-un comunicat de presă al Serviciului Român de Informaţii.

Potrivit SRI, pentru protecţie trebuie să existe o copie de siguranţă a datelor, sistemul de operare să fie actualizat la zi şi un produs antivirus licenţiat, iar pentru a opri răspândirea virusului, utilizatorii ar trebui să închidă imediat TCP-porturile 1024-1035, 135 şi 445, evidenţiate de Grupul-IB.

Reprezentanţii Serviciului Român de Informaţii au mai transmis că semnăturile viruşilor au fost verificate în sistemul informatic Ţiţeica şi nu apar la cele 54 de instituţii beneficiare ale acestuia, menţionând că proiectul desfăşurat de NATO în Ucraina cu lider România nu acoperă decât zona guvernamentală.

Noua variantă de GoldenEye a făcut deja victime în mai multe ţări la nivel global, printre care România, Ucraina şi Rusia. În Ucraina este vorba de o mare bancă şi de o companie din domeniul energetic, au declarat surse din Bitdefender.

Anumite companii din România au solicitat Bitdefender consultanţă după infectarea cu GoldenEye. Au existat mai multe raportări în acest sens, majoritatea din Ucraina, Rusia şi România, au precizat sursele citate.

Spre deosebire de alte versiuni de ransomware, care blochează datele utilizatorilor de pe calculatoarele infectate şi apoi solicită recompensă pentru a le reda accesul, noua versiune GoldenEye nu le permite victimelor să mai folosească dispozitivul infectat, dat fiind că, după ce termină procesul de criptare a datelor, forţează calculatorul să se închidă şi îl face inutilizabil până la plata recompensei de 300 de dolari.

Cea mai grav afecatată de acest atac este Ucraina, unde sunt vizate mai multe bănci, un distribuitor de energie electrică, precum şi compania aeronautică Antonov.

Banca Centrală a anunţat că acest atac cibernetic este cauzat de un virus necunoscut, dar nu a dat mai multe detalii despre băncile afectate din Ucraina.

”Ca urmare a acestor atacuri cibernetice, aceste bănci au dificultăţi cu servirea clienţilor şi operaţiunile bancare”, se arată într-un comunicat al Băncii Centrale.

De asemenea, instituţia bancară a precizat că orice atac cibernetic asupra sistemelor informatice ale băncilor ucrainene va fi neutralizat, pentru că securitatea cibernetică este configurată în mod corespunzător.

Mai multe avioane ar putea să sufere întârzieri, din cauza atacului cibernetic care a lovit inclusiv aeroportul internaţional de la Kiev.