CERT-RO dezvaluie culisele uriasului atac informatic

Echipa CERT-RO revine cu actualizări referitoare la campania ransomware WannaCry.

Deși în mediul online și social media au fost publicate informații referitoare la stoparea WannaCry prin înregistrarea unui domeniu specificat în script-ul realizat de către atacatori, vă informăm că această campanie este în continuare în desfășurare. Înregistrarea domeniului existent în acel script a condus la o diminuare a numărului de sisteme infectate la nivel global, dând șansă utilizatorilor să aplice între timp update-urile. Cu toate acestea,  amenințarea încă persistă, de aceea vă sugerăm să aplicați recomandările echipei CERT-RO.

Mai mulți specialiști din domeniul securității cibernetice susțin că ar exista variante multiple a ransomware-ului WannaCry, cu domenii diferite inserate în script, sau fără acel buton de ‘stop’ (kill switch) pentru propagarea malware-ului. Comunitatea de specialitate a raportat cel puțin două domenii cu funcție de buton de stop (kill switch) pentru campanie:

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Până în acest moment, peste 237.000 de computer din aproximativ 99 de țări au fost afectate de această campanie.

În social media se vehiculează faptul că atacatorii au beneficiat de un număr de aproximativ 100 de plăți, cifrate la suma de aproximativ 26.000 de dolari.

Indicatori de compromis

SHA256

2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41dd

2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d

dff26a9a44baa3ce109b8df41ae0a301d9e4a28ad7bd7721bbb7ccd137bfd696

201f42080e1c989774d05d5b127a8cd4b4781f1956b78df7c01112436c89b2c9

ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa

c365ddaa345cfcaff3d629505572a484cff5221933d68e4a52130b8bb7badaf9

09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa

b9c5d4339809e0ad9a00d4d3dd26fdf44a32819a54abf846bb9b560d81391c25

aae9536875784fe6e55357900519f97fee0a56d6780860779a36f06765243d56

21ed253b796f63b9e95b4e426a82303dfac5bf8062bfe669995bde2208b360fd

2372862afaa8e8720bc46f93cb27a9b12646a7cbc952cc732b8f5df7aebb2450

24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c

f8812f1deb8001f3b7672b6fc85640ecb123bc2304b563728e6235ccbe782d85

4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79

4b76e54de0243274f97430b26624c44694fbde3289ed81a160e0754ab9f56f32

9cc32c94ce7dc6e48f86704625b6cdc0fda0d2cd7ad769e4d0bb1776903e5a13

78e3f87f31688355c0f398317b2d87d803bd87ee3656c5a7c80f0561ec8606df

be22645c61949ad6a077373a7d6cd85e3fae44315632f161adc4c99d5a8e6844

5d26835be2cf4f08f2beeff301c06d05035d0a9ec3afacc71dff22813595c0b9

76a3666ce9119295104bb69ee7af3f2845d23f40ba48ace7987f79b06312bbdf

fc626fe1e0f4d77b34851a8c60cdd11172472da3b9325bfe288ac8342f6c710a

eeb9cd6a1c4b3949b2ff3134a77d6736b35977f951b9c7c911483b5caeb1c1fb

043e0d0d8b8cda56851f5b853f244f677bd1fd50f869075ef7ba1110771f70c2

57c12d8573d2f3883a8a0ba14e3eec02ac1c61dee6b675b6c0d16e221c3777f4

ca29de1dc8817868c93e54b09f557fe14e40083c0955294df5bd91f52ba469c8

f7c7b5e4b051ea5bd0017803f40af13bed224c4b0fd60b890b6784df5bd63494

3e6de9e2baacf930949647c399818e7a2caea2626df6a468407854aaa515eed9

9b60c622546dc45cca64df935b71c26dcf4886d6fa811944dbc4e23db9335640

5ad4efd90dcde01d26cc6f32f7ce3ce0b4d4951d4b94a19aa097341aff2acaec

24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c

12d67c587e114d8dde56324741a8f04fb50cc3160653769b8015bc5aec64d20b

85ce324b8f78021ecfc9b811c748f19b82e61bb093ff64f2eab457f9ef19b186

3f3a9dde96ec4107f67b0559b4e95f5f1bca1ec6cb204bfe5fea0230845e8301

4186675cb6706f9d51167fb0f14cd3f8fcfb0065093f62b10a15f7d9a6c8d982

SHA-1

45356a9dd616ed7161a3b9192e2f318d0ab5ad10

51e4307093f8ca8854359c0ac882ddca427a813c

87420a2791d18dad3f18be436045280a4cc16fc4

bd44d0ab543bf814d93b719c24e90d8dd7111234

e889544aff85ffaf8b0d0da705105dee7c97fe26

MD5

4fef5e34143e646dbf9907c4374276f5

509c41ec97bb81b0567b059aa2f50fe8

5bef35496fcbdbe841c82f4d1ab8b7c2

775a0631fb8229b2aa3d7621427085ad

7bf2b57f2a205768755c07f238fb32cc

7f7ccaa16fb15eb1c7399d422f8363e8

8495400f199ac77853c53b5a3f278f3e

84c82835a5d21bbcf75a61706d8ab549

86721e64ffbd69aa6944b9672bcabb6d

8dd63adb68ef053e044a5a2f46e0d2cd

b0ad5902366f860f85b892867e5b1e87

d6114ba5f10ad67a4131ab72531f02da

db349b97c37d22f5ea1d1841e3c89eb4

e372d07207b4da75b3434584cd9f3450

f107a717f76f4f910ae9cb4dc5290594

f529f4556a5126bba499c26d67892240

Domenii

57g7spgrzlojinas.onion

76jdd2ir2embyv47.onion

cwwnhwhlz52maqm7.onion

gx7ekbenv2riucmf.onion

sqjolphimrr7jqw6.onion

xxlvbrloxvriy2c5.onion

rphjmrpwmfv6v2e.onion

FilePath

C:\Windows\mssecsvc.exe

C:\WINDOWS\tasksche.exe

hostname

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Filename

@WanaDecryptor@.exe

_WanaDecryptor_.exe

c.wnry

tasksche.exe

176641494574290.bat

m_English.wnry

Extensie fișier

wncry

Chei de regiștri

HKEY_CURRENT_USER\Software\WanaCrypt0r

HKEY_LOCAL_MACHINE\Software\WanaCrypt0r

Expeditor e-mail

alertatnb[at]serviciobancomer.com

Subiect e-mail

Transferencia Banca en Linea

URL în corpul mesajului:

www.rentasyventas[.]com/incluir/rk/imagenes.html?retencion=081525418

Adrese IP

197.231.221.211:9001

128.31.0.39:9191

149.202.160.69:9001

46.101.166.19.9090

91.121.65.179.9001

188.166.23.127:443

193.23.244.244:443

2.3.69.209:9001

146.0.32.144:9001

50.7.161.218:9001

176.14.199.174

154.35.175.225

171.25.193.78

178.162.194.210

192.99.212.139

195.154.165.112

91.219.236.222

BTC

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY

RECOMANDĂRI

1. Actualizarea sistemelor de operare și aplicațiilor, inclusiv cu patch-ul MS17-010: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx; Microsoft a publicat actualizări de securitate inclusiv pentru sistemele de operare care nu mai beneficiază de suport, precum Windows XP: https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/;
2. Blocarea porturilor SMB (139, 445) în cadrul rețelei;
3. Utilizarea un antivirus actualizat cu ultimele semnături;
4. Acordarea unei atenții sporite la deschiderea fișierelor și link-urilor provenite din surse necunoscute/incerte, mai ales cele din mesajele email;
5. Realizerea periodică a copiilor de siguranță (backup) pentru datele importante.

În eventualitatea infectării cu ransomware, CERT-RO recomandă utilizatorilor să întreprindă de urgență următoarele măsuri:

1. Deconectarea imediată de la rețea a sistemelor informatice afectate;
2. Dezinfectarea sistemelor compromise;
3. Restaurarea fișierelor compromise utilizând copiile de siguranță (backup);
4. Raportarea incidentului către CERT-RO la adresa de email alerts@cert.ro.

Situația în România

În continuare numărul adreselor IP despre care CERT-RO deține informații că este posibil să fie infectate cu variante de ransomware WannaCry se menține constant (322 adrese IP, sămbătă).

Până în prezent CERT-RO a identificat 5 instituții publice posibil afectate, în sensul că utilizează adrese IP dintre cele associate cu WannaCry și a primit trei notificări oficiale de la organizații afectate din România. Este important să menționăm că, în absența unui cadru legal care să oblige companiile și instituțiile publice să raporteze aceste incidente, este extrem de dificil să evaluăm în acest moment impactul la nivel național.

ANAF și Vama nu au fost afectate de atacul cibernetic din ultimele zile, a declarat luni Anton Rog, șeful Centrului Național Cyberint din cadrul Serviciului Român de Informații.

El a explicat că SRI a anticipat acest atac informatic și a transmis din timp instituțiilor publice procedurile care trebuie derulate pentru a se proteja.

“Amploarea este una internațională. Din declarațiile media, sunt afectate între 70 și 150 de țări, iar România nu este o excepție. Eu pot să vă vorbesc despre zona în care Serviciul are vizibilitate. Și mă refer aici la cele 54 de instituții pe care noi le protejăm printr-un sistem informatic creat și dezvoltat de SRI. În această speță, noi am anticipat acest atac și cu ceva timp în urmă am trimis instituțiilor proceduri pe care trebuie să le urmeze, pentru a preîntâmpina eventuale efecte negative ale acestui atac. (…) Stațiile care rulează sisteme de operare Windows, care nu sunt licențiate și nu sunt cu actualizările la zi și au deschis anumite protocoale, pot fi victime ale acestui atac. Din acest punct de vedere, un atac poate afecta atât instituții publice, cât și private. (…) Dacă departamentele de IT, aflate în contact cu noi, cel puțin din instituțiile pe care le protejăm, au urmat procedura pe care am transmis-o și au aplicat toate acele patch-uri de securitate puse la dispoziție de producător, atunci nu ar trebui să avem victime în zona respectivă”, a spus șeful Cyberint.

Declarațiile au fost făcute cu ocazia începerii unui exercițiu național live de securitate cibernetică, intitulat CyDEx17, la care participă peste 60 de instituții din sectoarele public și privat.

“CyDEx17 se va desfășura în cadrul poligonului cibernetic al Centrului Național Cyberint, creat și personalizat special pentru acest exercițiu, și are ca obiective exersarea și evaluarea modului de gestionare a incidentelor cibernetice, răspunsul la acestea la nivel operațional, tactic și strategic, asigurarea unui nivel de securitate corespunzător la nivelul infrastructurilor cibernetice, precum și optimizarea procesului de cooperare între instituții în vederea identificării și limitării impactului unor incidente de acest tip”, precizează SRI.