25.5.2017 | Czech Republic

Celosvětový útok ransomwaru WannaCry - S&T radí, jak se těmto hrozbám bránit

Málokterá hrozba má schopnost zasáhnout organizaci tak tvrdě, jako stále častěji se šířící kryptoviry. Jistě jste slyšeli o nedávném celosvětovém útoku ransomwaru WannaCry.

Proč je tento útok tak efektivní?


Na rozdíl od předchozích typů ransomware, WannaCry obsahuje počítačového červa, který se sám rychle šíří, a to zneužitím zranitelnosti „EternalBlue“ SMS v Microsoft systémech. Microsoft uvolnil opravný patch v březnu 2017, ovšem popis zranitelnosti se objevil volně na internetu. Proto všechny neupdatované systémy jsou zranitelné. Tento patch neochrání uživatele před jinou formou doručení do počítače, jakou může být například phishing.

Co víme o WannaCry?


  • Ransomware WannaCry je možné spustit na systémech bez administrátorských práv a aby se mohl dále šířit, musí získat vyšší práva pomocí nějaké zranitelnosti.
  • Je schopen operovat v offline prostředí a zašifrovat uživatelská data a síťové složky s 2048bit klíčem algoritmem RSA.
  • Požaduje uhrazení výkupného v Bitcoinech v přepočtu okolo 7000 Kč.
  • Momentálně se šíří druhá varianta WannaCry 2.0. V předchozí verzi byla objevena funkcionalita na vzdálené vypnutí.
  • České republice se zatím relativně vyhýbá. Hlášeny jsou jednotky stovek nakažených počítačů.

Jaké jsou best-practice?


- Instalace Microsoft patche MS17-010.
- Zavřít všechny veřejné porty SMB (porty TCP 139, 445) a obdobě zakázat tyto porty na
  firewallech.
- Monitorovat síťový provoz protokolu SMB a hledat anomálie ve formě komunikace z jednoho
  zdroje na vícero destinací.
- Monitorovat DNS aktivity. Je známo, že WannaCry komunikuje minimálně s těmito
  doménami:
          iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
          Rphjmrpwmfv6v2e[dot]onion
          Gx7ekbenv2riucmf[dot]onion
          57g7spgrzlojinas[dot]onion
          xxlvbrloxvriy2c5[dot]onion
          76jdd2ir2embyv47[dot]onion
          cwwnhwhlz52maqm7[dot]onion

- Monitorovat komunikaci na následující IP adresy:
          197.231.221.221:9001
          128.31.0.39:9191
          149.202.160.69:9001
          46.101.166.19:9090
          91.121.65.179:9001
          2.3.69.209:9001
          146.0.32.144:9001
          50.7.161.218:9001
          217.79.179.177:9001
          213.61.66.116:9003
          212.47.232.237:9001
          81.30.158.223:9001
          79.172.193.32:443
          38.229.72.16:443


Vy, kteří máte ArcSight ESM, můžete dále využít tyto možnosti:

Stažení balíčku do produktu ArcSight ESM. Balíček Threat Intelligence je speciálně zaměřený na monitorování nebezpečných kyberaktivit.

Nainstalovat speciální konektor Reputation Security Monitor (RepSM) a připojit ho k ArcSight 
ESM. RepSM přijímá data od DVLab a následně se v ESM použijí pro detekci nakažených strojů, 
zero day útoků a připojení k nebezpečným webům. DVLab je centrum monitoringu HPE, kde 
analytici zkoumají nově zachycené zranitelnosti a zároveň vytvářejí rating pro nebezpečné IP 
adresy a DNS.

Naše společnost se dlouhodobě zabývá nasazováním produktů na poli kybernetické bezpečnosti, můžeme doporučit produkt:

CyberArk EndPoint Privilege Manager - výrazně redukuje riziko zasažení ransomwarem, a to díky pokročilé správě práv a aplikační kontrole na koncových stanicích řízené přímo touto aplikací.

Jsme přesvědčeni, že současná situace okolo kryptovirů je pouze předzvěst útoků, které budou následovat v budoucnu. Proto také doporučujeme důkladné prověření kompletní kyberbezpečnostní strategie.