Dne 12. května 2017 zaregistrovaly laboratoře spol. Fortinet (FortiGuard Labs) počátek útoku nového, velice rychle se šířícího ransomware WannaCry. Jde o velice nebezpečný kmen samoreplikujícího se ransomware, který napadl významné organizace po celém světě, jako např. ruské ministerstvo vnitra, čínské univerzity, maďarské a španělské telekomunikační společnosti a nemocnice a kliniky provozované Britskými národními zdravotnickými službami. WannaCry šifruje soubory a osobní a kritické dokumenty, následně požaduje cca 300 USD v měně BitCoin, aby oběť mohla odemknout své soubory. Zvláště zajímavé jsou požadavky na víceleté výkupné a více než dva tucty podporovaných jazyků.
Tento ransomware se odkazuje na množství jmen, včetně WCry, WannaCry, WanaCrypt0r, WannaCrypt, nebo Wana Decrypt0r. Šíří se prostřednictvím údajného zneužití NSA s názvem ETERNALBLUE, které minulý měsíc uniklo online díky hackerské skupině známé pod názvem The Shadow Brokers. Služba ETERNALBLUE využívá chybu zabezpečení v protokolu Microsoft Server Message Block 1.0 (SMBv1).
Útok cílí na produkty Microsoft:
|
|
|
|
|
|
|
|
|
|
Společnost Microsoft vydala kritickou opravu této chyby zabezpečení v březnu (Microsoft Security Bulletin MS17-010). Také společnost Fortinet vydala v březnu signaturu IPS, která tuto chybu zabezpečení detekuje a zablokuje.
Dne 12.5.2017 vydala spol. Fortinet nové signatury AV, aby byl detekován a zastaven tento útok. Testování třetí strany také potvrzuje, že nástroje spol. Fortinet účinně blokují tento malware:
1. FortiGate IPS se připojuje k exploitu
2. FortiSandbox detekuje škodlivé chování
3. AV engine detekuje malware spolu s ostatními variantami
4. Webový filtr identifikuje cílené weby a vhodně je blokuje či povoluje
5. FortiGate ISFW zastavuje šíření škodlivého softwaru
Ransomware se stal nejrychleji rostoucím malware, který cílí na každého, od domácích uživatelů po zdravotní systémy firemních sítí. Sledování statistiky prokázalo, že od 1. ledna 2016 bylo provedeno v průměru více než 4.000 útoků denně.
Zdroj: Společnost FORTINET Odkaz1 Odkaz2
Kontaktní údaje DNS tým Fortinet:
Daniel Kosňanský, Product Manager; dkosnansky@dns.cz; +420 724 222 171
Vojtěch Krak, Product Manager; vkrak@dns.cz; +420 724 345 532
Michal Šmahel, Consultant; msmahel@dns.cz; +420 724 222 148
Filip Hájek, Consultant; fhajek@dns.cz; +420 724 222 194