Companii şi instituţii din România, Ucraina, dar şi din alte ţări din regiune au fost lovite marţi de o nouă ameninţare cibernetică de tip ransomware, denumită GoldenEye, care criptează datele utilizatorilor şi apoi solicită recompensă, informează Bitdefender.
O analiză preliminară a specialiștilor Bitdefender arată că versiunea de ransomware GoldenEye folosește aceeași vulnerabilitate EternalBlue, prezentă în majoritatea versiunilor sistemului de operare Windows, pe care au exploatat-o în luna mai 2017 și atacatorii din spatele WannaCry și Adylkuzz, arată Răzvan Mureșan, Public Relations Specialist în cadrul Bitdefender.
“Apariția amenințării GoldenEye confirmă previziunile Bitdefender conform cărora grupuri de atacatori vor exploata continuu vulnerabilitatea EternalBlue (MS17-010) din sistemul de operare Windows, operată anterior de Agenția Națională de Securitate din Statele Unite ale Americii (NSA), până ce toți utilizatorii vor fi făcut actualizarea la cea mai recentă versiune. Vulnerabilitatea EternalBlue permite atacatorului să ruleze cod periculos pe un computer vulnerabil și să folosească acel cod pentru a infecta sistemul cu ransomware fără ca cineva sa acceseze linkuri sau să deschidă emailuri infectate. Specialiștii în securitate cibernetică de la Bitdefender susțin ferm că victimele nu ar trebui să achite sumele cerute de criminalii informatici din mai multe motive: nu există niciun fel de garanție că atacatorul va onora promisiunea și va reda accesul la date; în cazul în care plătesc, victimele pot fi țintite din nou de atacatori, dat fiind că își construiesc în fața infractorilor un istoric de bun platnic; fiecare sumă de bani transferată va ajuta dezvoltatorii de ransomware să construiască versiuni și mai complexe și să crească amploarea acestui fenomen”, precizează Răzvan Mureșan.
Serviciul Român de Informaţii precizează, referitor la atacul cibernetic de marţi, că semnăturile viruşilor au fost verificate în sistemul informatic Ţiţeica şi nu apar la cele 54 de instituţii beneficiare ale acestuia.
SRI transmite că o campanie ransomware masivă afectează Ucraina şi alte state din zonă, fiind vorba despre cea mai recentă versiune de ransomware Petya, ce vine împachetat cu ransomwareul Mischa, deci practic o versiune de ransomware 2 în 1 cunoscut şi ca “GoldenEye”.
“Petya targhetează sistemul de operare Windows şi este distribuit printr-o campanie de mail ce impersonează mailuri de la aplicanţi pentru un job în companie. Petya suprascrie MBT (master boot record) al discului PC şi nu mai permite încărcarea sistemului de operare la pornire afişând un ecran albastru. Reporneşte automat calculatorul, simulează o reparare a discului şi de fapt criptează MFT master file table. Pentru a se executa are nevoie de drepturi extinse de administrator. Pentru utilizatorii cu drepturi restrânse nu se execută. Dacă nu reuşeşte infecţia, atunci partea a doua a ransomware-ului Mischa criptează fişierele utilizatorului. Se pare că utlizează aceleaşi vulnerabilităţi utilizate şi de campaniile trecute de ransomware”, se arată într-un comunicat de presă al Serviciului Român de Informaţii.
Potrivit SRI, pentru protecţie trebuie să existe o copie de siguranţă a datelor, sistemul de operare să fie actualizat la zi şi un produs antivirus licenţiat, iar pentru a opri răspândirea virusului, utilizatorii ar trebui să închidă imediat TCP-porturile 1024-1035, 135 şi 445, evidenţiate de Grupul-IB.
Reprezentanţii Serviciului Român de Informaţii au mai transmis că semnăturile viruşilor au fost verificate în sistemul informatic Ţiţeica şi nu apar la cele 54 de instituţii beneficiare ale acestuia, menţionând că proiectul desfăşurat de NATO în Ucraina cu lider România nu acoperă decât zona guvernamentală.
Noua variantă de GoldenEye a făcut deja victime în mai multe ţări la nivel global, printre care România, Ucraina şi Rusia. În Ucraina este vorba de o mare bancă şi de o companie din domeniul energetic, au declarat surse din Bitdefender.
Anumite companii din România au solicitat Bitdefender consultanţă după infectarea cu GoldenEye. Au existat mai multe raportări în acest sens, majoritatea din Ucraina, Rusia şi România, au precizat sursele citate.
Spre deosebire de alte versiuni de ransomware, care blochează datele utilizatorilor de pe calculatoarele infectate şi apoi solicită recompensă pentru a le reda accesul, noua versiune GoldenEye nu le permite victimelor să mai folosească dispozitivul infectat, dat fiind că, după ce termină procesul de criptare a datelor, forţează calculatorul să se închidă şi îl face inutilizabil până la plata recompensei de 300 de dolari.
Cea mai grav afecatată de acest atac este Ucraina, unde sunt vizate mai multe bănci, un distribuitor de energie electrică, precum şi compania aeronautică Antonov.
Banca Centrală a anunţat că acest atac cibernetic este cauzat de un virus necunoscut, dar nu a dat mai multe detalii despre băncile afectate din Ucraina.
”Ca urmare a acestor atacuri cibernetice, aceste bănci au dificultăţi cu servirea clienţilor şi operaţiunile bancare”, se arată într-un comunicat al Băncii Centrale.
De asemenea, instituţia bancară a precizat că orice atac cibernetic asupra sistemelor informatice ale băncilor ucrainene va fi neutralizat, pentru că securitatea cibernetică este configurată în mod corespunzător.
Mai multe avioane ar putea să sufere întârzieri, din cauza atacului cibernetic care a lovit inclusiv aeroportul internaţional de la Kiev scrie rtv.net