Situaţia a devenit deja cunoscută în întreaga lume. Recent a fost descoperit un atac cibernetic de tip ransomware la nivel mondial, denumit “WannaCry” care a afectat în primele 3-4 zile de la lansare peste 200.000 de sisteme neactualizate din zona privată şi publică din peste 150 de ţări, majoritatea din Uniunea Europeană şi Rusia. Importante după un asemenea eveniment de talie globală sunt învăţămintele pe care toată lumea le are de tras şi acţiunile de urmat pentru ca aşa ceva să nu se mai repete cu o asemenea uşurinţă.
“Atacul s-a desfăşurat într-un scenariu tipic de distribuţie ransomware, plecând de la e-mailuri de phishing, dar bazându-se şi pe exploatarea unei vulnerabilităţi de Windows File Sharing existente în versiunile neactualizate ale sistemelor de operare Windows, pentru propagare şi redistribuire,” spune Bogdan Vigaru, Security Business Development Manager în cadrul Asseco SEE, unul din cei mai mari integratori de soluţii IT de pe piaţa românească. “Au fost potenţial afectate de această ameninţare, în cazul în care nu au fost actualizate, sisteme de operare din gama Windows precum Windows Server 2008 SP2 și R2 SP,Windows 7, Windows Server 2012 și R2, Windows 10, Windows Server 2016, Windows XP şi Windows Server 2003.”
Cum atacurile de tip ransomware sunt, de fapt, atacuri cu un tip de software ce împiedică accesul la fişiere, sau chiar la intregul sistem informatic infectat, până la plata unei „recompense”, ele reprezintă una dintre cele mai supărătoare forme de malware, întrucât produc pagube financiare directe şi, în majoritatea cazurilor, fişierele criptate de malware nu pot fi decriptate. Mai mult, pentru a îngreuna procesul de recuperare a datelor, astfel de atacuri blochează accesul la fişiere (documente, fotografii, muzica, video etc.) prin criptarea asimetrica a acestora.
“În astfel de situaţii există seturi întregi de recomandări care ar trebui urmate de către utilizatorii IT,” adaugă Bogdan Vigaru. “Noi, în cadrul Asseco, oferim permanent, pe lângă soluţiile de securitate pe care le implementăm, şi astfel de recomandări clienţilor noştri, şi nu numai. Ideal ar fi ca astfel de recomandări să fie urmate şi respectate în măsură cât mai mare de întreaga gamă de utilizatori IT, mai ales dacă vorbim de utilizatori de tip organizaţii.”
Prima recomandare a integratorului de soluţii este legată de conştientizarea pericolelor. Astfel, este recomandată cu putere abţinerea de la accesarea link-urile sau ataşamentelor conţinute de mesajele email suspecte înainte verificarea în prealabil sursa/legitimitatea acestora. O soluţie aici ar fi utilizarea unei soluţii antispam pentru filtrarea email-urilor cu conţinut maliţios sau provenit din surse nesigure şi a unei solutii de sandboxing care permite verificarea ataşamentelor prin rularea şi analiza acestora într-un mediu izolat, capabil să “detoneze” atașamentele suspicioase pentru a le urmari comportamentele și pentru a decide că reprezintă sau nu amenințări reale.
O a doua recomandare esenţială priveşte copiile de siguranţă pentru date. De ce? Deoarece cea mai eficientă metodă pentru combaterea ameninţării ransomware este realizarea periodică de backup pentru datele stocate sau procesate cu ajutorul sistemelor informatice. Pentru backup este recomandată utilizarea unui mediu de stocare extern care nu este conectat în permanenţă la sistem, altfel existând riscul ca, în cazul infectarii cu ransomware, să fie criptate şi fişierele de pe respectivul mediu de stocare.
Reducerea suprafeţei de atac, prin segmentarea reţelei cu ajutorul prezenţei unui firewall între zone, situaţie care va duce la reducerea riscului de expansiune și pivotare laterală, precum şi activarea opţiunilor de tip „System Restore”, permisă de sistemele de operare Windows pentru toate partiţiile de stocare, sunt alte două recomandări esenţiale ale integratorului de sisteme şi soluţii.
“Tot importantă este şi recomandarea legată de implementarea mecanismelor de tip Application Whitelisting,” adaugă Bogdan Vigaru. “Practic, clientul trebuie să se asigure că în cadrul sistemului informatic propriu rulează doar software autorizat/cunoscut. În prezent, „application whitelisting” este considerată una dintre cele mai importante strategii de combatere a ameninţării malware şi există deja o varietate de solutii tehnice cu ajutorul cărora poate fi implementata, cum ar fi SRP (Software Restriction Policies) sau AppLocker (unealtă recomandată începând cu sistemul de operare Windows 7, având acelaşi scop ca şi facilitatea SRP din Group Policy).”
Alte recomandări importante cu caracter general sunt legate de abţinerea de la rularea de fişiere executabile venite prin e-mail, de actualizarea permanentă a aplicaţiilor și programelor utilizate, de utilizarea uneia sau mai multor soluţii software de securitate eficiente şi actualizate care să dispună de facilităţi sau servicii de tip antivirus, antimalware avansat, antispyware, antispam, firewall etc., de utilizarea de instrumente software pentru monitorizarea fişierelor (accesare, modificare, stergere etc.), măsură care poate fi de ajutor pentru observarea rapidă a unor comportamente suspicioase în cadrul sistemelor informatice sau reţelei, şi, nu în ultimul rînd, de acordarea unei atenţii sporite la accesarea reclamelor web, acţiune care poate fi împiedicată prin instalarea aplicaţiilor de tip “ad-blocker”.
Ce se poate face, însă, în cazul infectării pentru remediarea situaţiei?
“În astfel de situaţii, specialistii Asseco SEE recomandă implementarea de urgenţă a câtorva acţiuni de limitare şi eradicare a efectelor atacului. Nu este vorba de acţiuni complicate, ci mai degrabă de unele de bun simţ, dar care ar trebui urmate întocmai de către cei afectaţi. Astfel, prima acţiune este aceea a deconectării urgente a tuturor mediilor de stocare externe conectate la PC (memorie USB, card de memorie, hard disk extern etc.), deconectarea cablului de reţea şi dezactivarea oricăror alte conexiuni de reţea (WiFi, 3G etc.). Astfel se previne afectarea fişierelor stocate pe mediile de stocare externe sau celor accesibile prin retea (network share, cloud storage etc.).”, a declarat Bogdan Vigaru.
Urmează, în opinia oficialului Asseco SEE, oprirea imediată a PC-ului afectat şi restaurarea fişierelor compromise. Repornirea PC-ului se va face utilizând un sistem de operare care se încarcă de pe un mediu de stocare extern (CD, DVD, memorie USB etc.), majoritatea distribuţiilor moderne de Linux oferind aceasta facilitate. Cât priveşte restaurarea, cea mai simplă metodă de recuperare a fişierelor afectate de ransomware este restaurarea acestora din cadrul unor copii de siguranţă. În cazul în care astfel copii de nu sunt disponibile, este recomandată recuperarea fişierelor prin „System Restore” sau prin utilizarea instrumentelor software specializate de recuperare date (de tip „Data Recovery”).
“Foarte importantă ca acţiune finală este dezinfectarea sistemelor informatice afectate. Cea mai sigură metodă prin care vă puteţi asigura că sistemul informatic nu mai conţine malware (sau rămăşite de malware) este reinstalarea completă a sistemului de operare, prin formatarea tuturor HDD-urilor/partiţiilor în prealabil. În cazul in care acest lucru nu este posibil, va recomandăm să utilizaţi una sau mai multe soluţii de securitate de tip antivirus/antimalware /antispyware pentru scanarea sistemului şi dezinfectarea acestuia.” încheie Bogdan Vigaru.