Cesta: Aktuality / Aktuální útok ransomware


Aktuální útok ransomware

Dne 12. května 2017 zaregistrovaly laboratoře spol. Fortinet (FortiGuard Labs) počátek útoku nového, velice rychle se šířícího ransomware WannaCry. Jde o velice nebezpečný kmen samoreplikujícího se ransomware, který napadl významné organizace po celém světě, jako např. ruské ministerstvo vnitra, čínské univerzity, maďarské a španělské telekomunikační společnosti a nemocnice a kliniky provozované Britskými národními zdravotnickými službami. WannaCry šifruje soubory a osobní a kritické dokumenty, následně požaduje cca 300 USD v měně BitCoin, aby oběť mohla odemknout své soubory. Zvláště zajímavé jsou požadavky na víceleté výkupné a více než dva tucty podporovaných jazyků.

Tento ransomware se odkazuje na množství jmen, včetně WCry, WannaCry, WanaCrypt0r, WannaCrypt, nebo Wana Decrypt0r. Šíří se prostřednictvím údajného zneužití NSA s názvem ETERNALBLUE, které minulý měsíc uniklo online díky hackerské skupině známé pod názvem The Shadow Brokers. Služba ETERNALBLUE využívá chybu zabezpečení v protokolu Microsoft Server Message Block 1.0 (SMBv1). 

Útok cílí na produkty Microsoft:

  • Windows Vista
  • Windows Server 2008
  • Windows 7
  • Windows Server 2008 R2
  • Windows 8.1
  • Windows Server 2012 and Windows Server 2012 R2
  • Windows RT 8.1
  • Windows Server 2016
  • Windows 10
  • Windows Server Core installation option

Společnost Microsoft vydala kritickou opravu této chyby zabezpečení v březnu (Microsoft Security Bulletin MS17-010). Také společnost Fortinet vydala v březnu signaturu IPS, která tuto chybu zabezpečení detekuje a zablokuje.

Dne 12.5.2017 vydala spol. Fortinet nové signatury AV, aby byl detekován a zastaven tento útok. Testování třetí strany také potvrzuje, že nástroje spol. Fortinet účinně blokují tento malware:

1. FortiGate IPS se připojuje k exploitu
2. FortiSandbox detekuje škodlivé chování
3. AV engine detekuje malware spolu s ostatními variantami
4. Webový filtr identifikuje cílené weby a vhodně je blokuje či povoluje
5. FortiGate ISFW zastavuje šíření škodlivého softwaru

Ransomware se stal nejrychleji rostoucím malware, který cílí na každého, od domácích uživatelů po zdravotní systémy firemních sítí. Sledování statistiky prokázalo, že od 1. ledna 2016 bylo provedeno v průměru více než 4.000 útoků denně.

Zdroj: Společnost FORTINET   Odkaz1   Odkaz2

Kontaktní údaje DNS tým Fortinet:

Daniel Kosňanský, Product Manager; dkosnansky@dns.cz; +420 724 222 171
Vojtěch Krak, Product Manager; vkrak@dns.cz; +420 724 345 532
Michal Šmahel, Consultant; msmahel@dns.cz;  +420 724 222 148
Filip Hájek, Consultant; fhajek@dns.cz; +420 724 222 194



DNS E-news