Blog

WannaCry / Wcry ransomware i Trend Micro

Od kraja prošlog tjedna uočena je velika kampanja Ransomware napada, i to iste ili slične varijante. Razlika od većine kampanja posljednjih godina je sposobnost proaktivnog širenja korištenjem SMB protokola. Tako da workaround bi bio gašenje istog ako je moguće, odnosno ne korištenje ili filtriranje porta 445.

Napad je vjerojatno omogućen informacijama odnosno alatima koji su iscurili iz američkog NSA, a zakrpe izdane prije par tjedana od strane Microsofta trebale bi zatvoriti ranjivost. Kao i uvijek, najnovije zakrpe OS-a, sigurnosnih alata i općenito aplikacija koje se koriste u organizaciji, te oprez samih korisnika su najbitnija karika u lancu sigurnosti. Spominjali su se workaroundi gdje bi se određene URL-ove preusmjerilo kroz hosts file jer je malware koristio nepostojeće adrese kao “kill-switch”. Međutim, to dugoročno nije pravo rješenje što smo vidjeli u novoj inačici koja je promijenila URL-ove provjere (ideja je koristit nepostojeće URL-ove ili za gašenje napada registracijom istog, ili za provjeru je li malware u sandboxu koji nema pravi pristup internetu te mu se javlja s vlastitim web serverom i na nepostojeće domene).

Trend Micro preporuča layered pristup kojime ne ovisimo o zaštiti na samo jednoj razini, te naravno integraciju više sigurnosnih rješenja kako bi se dobila šira slika ponašanja malwarea kroz različite vektore napada (npr. dio mailom, koji kasnije preuzima nešto s weba te spušta na endpoint i slično).

Neke od konkretnih definicija koje je Trend Micro izdao za otkrivanje ovog prometa na mreži, te blokiranje istog dostupne su na Trend Micro bazi znanja, a korisnicima s nekom naprednom analizom prometa/datoteka kao što je npr. Trend Micro Deep Discovery, preporučamo karantenirati ne samo prepoznate datoteke nego i datoteke koje je neki sigurnosni uređaj poslao na analizu, a ista nije vratila nikakve rezultate. Kako administratori povremeno provjeravaju karantene na “false-positive” tako mogu i karantenu datoteka koje su prekinule naprednu analizu jer se često radi o naprednim inačicama modernog malwarea.

Saznajte više detalja o napadu i kako se zaštititi uz Trend Micro na live webinaru.

U svakom slučaju stojimo na raspolaganju za sve informacije i pitanja.

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter