ATAC CIBERNETIC GLOBAL REVENDICAT DE SPAMTECH Hackerii au lovit computere din 100 de ţări, cerând răscumpărări pentru a debloca computerele afectate

Actualizare 16:47 Anchetatori şi experţi îi caută pe hackerii aflaţi la originea atacului cibernetic mondial

Anchetatori şi experţi internaţionali în informatică îi căutau duminică pe hackerii aflaţi la originea atacului cibernetic mondial care s-a soldat cu peste 200.000 de victime în cel puţin 150 de ţări, potrivit Europol, care se teme de o intensificare a virusului luni, relatează AFP.

"Ultimul bilanţ era de peste 200.000 de victime, mai ales întreprinderi, în cel puţin 150 de ţări. Noi efectuăm operaţii împotriva a aproximativ 200 de atacuri cibernetice pe an, însă nu am văzut încă nimic de acest fel", a declarat directorul Europol Rob Wainwright pentru postul britanic ITV.

Atacul a lovit "în mod nediscriminatoriu" şi s-a "propagat foarte rapid", a adăugat şeful Europolului.

El se teme că numărul victimelor ar putea să crească "după ce oamenii se întorc la muncă şi îşi ponesc computerele".

(A.C.)

------------

Un atac cibernetic global cu instrumente de hacking despre care experţii cred că au fost dezvoltate de Agenţia de Securitate Naţională a SUA (NSA) a afectat sistemul de sănătate britanic, a lovit companii mari precum curierul FedEx şi a infectat vineri computere din aproape 100 de ţări, transmite Reuters.

Victimele şantajiştilor cibernetici au fost păcălite să deschidă ataşamente ce conţineau programe dăunătoare din mailuri ce păreau să conţină facturi, oferte de lucru, avertismente de securitate şi alte fişiere legitime, potrivit Hotnews.

Programele ransomware au criptat apoi datele de pe computere, cerând răscumpărări de 300-600 de dolari în Bitcoin pentru a le debloca. Specialiştii în securitate au spus că au observat că unele victime au plătit, deşi nu pot estima ce procent dintre acestea au cedat în faţa şantajiştilor.

Cercetătorii producătorului de soluţii de securitate Avast au afirmat că au descoperit 57.000 de infectări în 99 de ţări, Rusia, Ucraina şi Taiwan fiind cele mai lovite ţinte.

Dar cele mai dăunătoare atacuri au fost raportate în Marea Britanie, unde spitale şi clinici au fost nevoite să refuze pacienţi după ce au pierdut accesul la computere.

Compania internaţională de curierat FedEx a spus că unele dintre calculatoarele sale ce rulau Windows au fost infectate şi că încearcă să remedieze situaţia cât mai rapid.

Totuşi, doar un număr mic de oragnizaţii cu sediul în SUA au fost lovite, deoarece hackerii par să fi început campania prin luarea la ţintă a organizaţiilor din Europa, a spus Vikram Thakur de la producătorul de soluţii de securitate Symantec.

În momentul în care aceştia şi-au concentrat atenţia pe Statele Unite, filtrele de spam au identificat noua ameninţare şi au etichetat emailurile cu ransomware drept dăunătoare, a explicat Thakur.

Departamentul pentru Securitate al SUA a transmis vineri seară că este conştient de informaţiile privind atacul-ransomware, schimbă informaţii cu parteneri străini şi interni şi este gata să ofere ajutor tehnic.

Compania de telecomunicaţii Telefonică a fost printre multele ţinte din Spania, dar a spus că atacul s-a limitat la câteva computere din reţeaua internă, fără a afecta clienţii sau serviciile. Compania portugheză Telecom şi Telefonică Argentina au afirmat şi ele că au fost afectate.

Companiile de securitate au identificat ransomware-ul drept o nouă varianta a "WannaCry", ce are capacitatea de a se răspândi automat în reţele extinse prin exploatarea unei vulnerabilităţi Windows.

"Odată ce a pătruns şi începe să se răspândească prin infrastructură nu există nicio posibilitate de a-l opri", spune Adam Meyers de la CrowdStrike.

Hackerii, care nu au revendicat până acum atacul şi nici nu s-au identificat în vreun fel, cel mai probabil l-au transformat într-un "vierme", un program ostil ce se autopropagă, folosind un program NSA cunoscut drept "Eternal Blue". Acesta a fost făcut public luna trecută de un grup cunoscut drept "Shadow Brokers", spun experţii de la mai multe firme de profil.

"Acesta este unul dintre cele mai mari atacuri globale de tip ransomware pe care comunitatea cibernetică l-a văzut vreodată", spune Rich Barger, director în cadrul Splunk, una dintre companiile care au făcut legătura dintre "WannaCry" şi NSA.

The Shadow Brokers au făcut public "Eternal Blue" împreună cu alte instrumente de hacking despre care spun că aparţin agenţiei de spionaj a Statelor Unite.

Edward Snowden a acuzat că NSA a creat unelte periculoase care acum sunt folosite în atacuri cibernetice asupra Occidentului şi cere ca agenţia să dezvăluie dacă mai cunoaşte şi alte vulnerabilităţi cibernetice.

Hackerii de la Spamtech au revendicat atacul de tip ransomeware, potrivit Digi24.

• Europol: Atacul cibernetic internaţional care a afectat 100 de ţări este "de un nivel fără precedent"

Atacul informatic masiv internaţional care a afectat 100 de ţări şi zeci de întreprinderi şi organizaţii este "de un nivel fără precedent", a apreciat sâmbătă Biroul european pentru poliţie Europol, relatează AFP.

"Atacul recent este de un nivel fără precedent şi va necesita o anchetă internaţională complexă în vederea identificării vinovaţilor", a anunţat Europol într-un comunicat, conform News.ro.

Centrul european împotriva infracţionalităţii cibernetice (EC3) din cadrul Europol "colaborează cu unităţile de luptă împotriva infracţionalităţii cibernetice din ţările afectate şi partenerii industriali majori în vederea atenuării ameninţării şi asistării victimelor", a adăugat organizaţia.

• Securitatea cibernetică pe agenda G7 după valul de atacuri informatice

Miniştrii de finanţe ai ţărilor din G7 şi-au concentrat atenţia asupra securităţii informatice, sâmbătă, la Bari, în sud-estul Italiei, subiect aflat deja pe agenda reuniunii în timp ce un val masiv de atacuri informatice a lovit zeci de ţări, relatează AFP.

"Suntem de acord asupra a numeroase subiecte...între care lupta împotriva crimelor cibernetice, care sunt, din nefericire, de actualitate", a comentat ministrul italian al finanţelor, Pier Carlo Padoan, sâmbătă, potrivit Agerpres.

Miniştrii de finanţe din G7 vor anunţa o cooperare întărită în lupta înpotriva piratajului informatic, SUA şi Regatul Unit fiind însărcinate să alcătuiască un grup de lucru pentru a pune la punct o strategie internaţională de prevenţie.

Riscul prezentat de atacurile informatice pentru economiile şi sistemele financiare ale celor şapte ţări cele mai bogate de pe planetă se afla deja pe agenda reuniunii când un val de atacuri cibernetice simultane a lovit vineri aproape 100 de ţări, infectând administraţii şi întreprinderi.

Miniştrii de finanţe ai G7, care au discutat astfel timp de două zile, necesitatea de a promova o creştere mai inclusivă şi a luptei împotriva evaziunii fiscale, urmează să-şi încheie lucrările la mijlocul zilei.

• Un cercetător a găsit un "kill switch" al ransomware-ului WannaCry folosit în atacul la nivel mondial

Un cercetător în domeniul securităţii cibernetice pare că a descoperit un "întrerupător al distrugerii" care poate împiedica propagarea ransomware-ului WannaCry, pentru moment, care a provocat atacuri cibernetice cauzând ravagii la nivel mondial, a declarat el sâmbătă pentru AFP.

Cercetătorul, care deţine contul de Twitter @MalwareTechBlog, a declarat că descoperirea este accidentală şi că înregistrarea unui nume de domeniu utilizat de acest malware îl împiedică să se răspândească, transmite News.ro.

"În esenţă ei se bazează pe un domeniu care nu este înregistrat, iar înregistrându-l noi am oprit răspândirea malware-ului lor", a declarat pentru AFP @MalwareTechBlog într-un mesaj privat pe Twitter.

Cercetătorul a avertizat însă că oamenii "au nevoie să-şi actualizeze sistemele cât se poate de repede", pentru a evita atacul.

"Criza nu s-a terminat, ei pot schimba codul şi încerca din nou", a subliniat @MalwareTechBlog.

"Voi mărturisi că nu am ştiut că înregistrarea domeniului avea să oprească malware-ul până nu l-am înregistrat, astfel încât, iniţial, acest lucru a fost accidental", a scris @MalwareTechBlog pe Twitter.

Din nefericire, computerele deja afectate nu vor putea fi ajutate de această soluţie.

"Atât timp cât domeniul nu este revocat, această tulpină specială nu va mai provoca pagube, însă reparaţi-vă sistemele ASAP (as soon as possible, cât se poate de repede, n.r.), întrucât vor încerca din nou", îndeamnă el.

Numele acestui malware este WCry, însă analiştii utilizează de asemenea variante ca WannaCry.

Forcepoint Security Labs a apreciat vineri într-un comunicat că atacul are o "amploare globală" şi afectează reţele din Australia, Belgia, Franţa, Germania, Italia şi Mexic.

În Statele Unite, FedEx a recunoscut că a fost afectat de malware şi a anunţat că "implementează măsuri de remediere cât mai rapid posibil".

• Originea atacului cibernetic în Marea Britanie rămâne necunoscută

Guvernul britanic nu a reuşit, pentru moment, să stabilească originea atacurilor cibernetice care au provocat vineri importante perturbări în sistemul de sănătate (NHS) din Regatul Unit, a anunţat sâmbătă ministrul britanic de Interne, relatează Reuters.

"Noi nu suntem în măsură să spunem cine se află în spatele acestui atac. Munca continuă", a declarat Amber Rudd pentru postul de radio BBC, potrivit News.ro.

Centrul Naţional pentru Securitate Cibernetică lucrează împreună cu serviciile de sănătate să se asigure că aceste atacuri au fost controlate şi limitate.

Agenţia naţională de luptă împotriva securităţii cibernetice încearcă, pe de altă parte, să stabilească identitatea autorilor atacului.

Amber Rudd a declarat că nu ştie dacă în spatele atacului informatic se află un guvern străin.

Aproape 100 de ţări au fost vizate de un val de atacuri informatice care au utilizat un "ransomware", un virus care blochează computerele până când de plăteşte o răscumpărare.

• Rusia anunţă că a fost ţinta unui atac cibernetic masiv împotriva sistemului bancar şi a companiei feroviare

Mai multe bănci din Rusia au fost ţinta unui atac cibernetic masiv, în timp ce sistemele informatice ale companiei naţionale ruse de căi ferate sunt de asemenea afectate, au anunţat sâmbătă unele dintre aceste instituţii, în contextul în care circa o sută de ţări au suferit un atac informatic descris de Europol ca fiind "fără precedent", transmite agenţia EFE.

"Am constatat o expediere masivă către bănci a unui program malware (...), dar resursele instituţiilor bancare nu au fost compromise", a precizat centrul pentru monitorizare şi protecţie cibernetică a Băncii Rusiei, potrivit Agerpres. Acesta a mai menţionat că entităţile financiare ruse nu au suferit pagube, întrucât au fost avertizate de la jumătatea lunii aprilie despre la posibilitatea unor atacuri informatice şi au fost instruite cu privire la metodele de protecţie.

Acelaşi centru mai menţionează că, la începutul lunii mai, toate băncile ruse au fost informare despre ameninţarea unui 'cobalt strike', un tip de virus diferit de cel "ransomware" aflat la originea recentului atacul cibernetic masiv la nivel mondial.

La rândul ei, compania naţională rusă de căi ferate RZhD a anunţat că sistemele ei informatice au fost atacate parţial de un virus de tipul "WannaCry", dar atacul nu a perturbat traficul feroviar şi în prezent se lucrează pentru "eliminarea virusului şi actualizarea sistemelor antivirus".

Ministerul rus de Interne a confirmat la rândul său că sistemele sale informatice au fost afectate de atacul cibernetic.

Societatea rusă Kaspersky, specializată în securitate cibernetică, susţine că Rusia a fost ţara cea mai afectată de atacul informatic global început vineri şi care a vizat circa 100 de ţări. Potrivit acestei societăţi, este vorba despre un atac nediscriminatoriu ce exploatează o vulnerabilitate detectată în sistemele de operare.

• Dacia: O parte a activităţii de producţie a fost afectată de disfuncţionalităţi ale sistemelor informatice

O parte a activităţii de producţie a uzinelor Dacia de la Mioveni a fost afectată de probleme ale sistemelor informatice şi mai mulţi angajaţi au fost trimişi acasă sâmbătă dimineaţă, a anunţat compania, care ia în calcul ipoteza unei consecinţe a atacului cibernetic care a avut loc la nivel global.

Constructorul auto ar fi fost afectat de valul de atacuri cibernetice care a lovit vineri zeci de ţări. Compania a anunţat sâmbătă că luat măsuri pentru a preveni extinderea problemelor.

În comunicatul companiei se arată: "O parte a activităţii de producţie a Uzinelor Dacia de la Mioveni a fost afectată de disfuncţionalităţi ale sistemelor informatice şi mai mulţi angajaţi au fost trimişi înapoi la domiciliu, în cursul dimineţii de sâmbătă, 13 mai. Măsura a fost luată pentru a preveni extinderea disfuncţionalităţilor care, la o primă vedere, sunt o consecinţă a atacului cibernetic care a avut loc la nivel global. Pe platforma de la Mioveni a fost convocată o celulă de criză care urmăreşte evoluţia situaţiei. Vom reveni cu detalii pe măsură ce vom avea noi informaţii".

Ministrul Comunicaţiilor, Augustin Jianu, a declarat, sâmbătă, pentru News.ro, că nu se ştie în prezent ce companii sau instituţii ale statului au fost afectate, în contextul în care legea nu le obligă pe acestea să raporteze aceste incidente. Jianu a subliniat că legislaţia din România trebuie modificată în conformitate cu directiva europeană NIS, privind securitatea reţelelor şi sistemelor informatice. Potrivit directivei, companiile care furnizează servicii esenţiale şi furnizorii de servicii digitale trebuie să se conformeze unor norme care vizează reducerea riscului cibernetic.

Jianu a declarat: "Trebuie modificată legislaţia din România, în conformitate cu directiva NIS. Nu putem să ştim în prezent ce companii sau instituţii au fost afectate, legea nu le obligă să raporteze aceste atacuri. Ele pot cere ajutorul Centrului Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT-RO)".

SRI a comunicat pentru News.ro că se ocupă doar de securitatea cibernetică a instituţiilor publice, nu şi de entităţi private.

• Renault a oprit producţia în Franţa şi în Slovenia, după valul de atacuri informatice

Renault SA a devenit prima companie franceză care a confirmat că a fost afectată de valul masiv de atacuri cibernetice simultane, care a lovit vineri aproape 100 de ţări, producţia fiind oprită în Franţa şi în Slovenia, transmit AFP, RFI şi Reuters.

"Am fost afectaţi", a confirmat un purtător de cuvânt al Renault pentru AFP, care a adăugat că se evaluează situaţia pentru a găsi o soluţie, transmite Agerpres.

"Vom face ceea ce este necesar pentru a contracara acest atac", a precizat purtătorul de cuvânt al producătorului auto francez.

Producţia a fost oprită în Franţa şi în Slovenia, a informat oficialul Renault.

• Bitdefender: WannaCryptor este primul tip de ransomware care se instalează fără implicarea utilizatorului

Producătorul român de soluţii de securitate cibernetică Bitdefender a anunţat sâmbătă că instrumentul folosit în recentul val de atacuri cibernetice, WannaCryptor, este primul tip de ransomware care se instalează fără implicarea utilizatorului şi exploatează o vulnerabilitate prezentă în majoritatea versiunilor sistemului de operare Windows. Ei au sfătuit victimele să nu plătească recompensă atacatorilor.

Ameninţarea cibernetică de tip ransomware WannaCryptor, care criptează datele utilizatorilor şi apoi solicită recompensă, este prima ameninţare de acest gen care permite atacatorului să ruleze cod periculos pe un computer vulnerabil fără implicarea utilizatorilor, a avertizat Bitdefender.

În comunicat se arată: "În timp ce ransomware-ul convenţional, una dintre cele mai prolifice ameninţări ale momentului, se răspândeşte prin emailuri cu documente periculoase ataşate, browser-e şi exploit-uri în aplicaţiile web, atacul de astăzi foloseşte o vulnerabilitate prezentă în majoritatea versiunilor sistemului de operare Windows. Vulnerabilitatea MS17-010 permite atacatorului să ruleze un cod periculos pe un computer vulnerabil şi să folosească acel cod pentru a infecta sistemul cu ransomware fără ca cineva să acceseze linkuri sau să deschidă emailuri infectate".

Despre vulnerabiltiatea MS17-010, denumită şi EternalBlue, s-a vorbit pentru prima oară în luna aprilie, ca parte dintr-o campanie mai amplă de sustragere de date de către Agenţia Naţională de Securitate din SUA (NSA), potrivit specialiştilor.

În document se menţionează, potrivit News.ro:"De această dată, atacatorii exploatează vulnerabilitatea care ar fi fost folosită atunci în scopuri de spionaj de către agenţii guvernamentale pentru a livra victimelor ransomware, făcând-o una dintre cele mai periculoase versiuni de până acum. La mijlocul lunii martie 2017, Microsoft a furnizat un patch care blochează exploatarea vulnerabilităţii MS17-010, dar un număr necunoscut de calculatoare şi servere la nivel global - inclusiv cele care folosesc versiuni învechite ale Windows - nu au primit respectiva actualizare şi riscă să fie infectate în orice moment".

Pentru a reduce riscul infectării cu ransomware şi pierderii datelor, utilizatorii sunt sfătuiţi să actualizeze sistemul de operare şi soluţia de securitate în regim de urgenţă. În plus, utilizatorii trebuie să se asigure că soluţia de securitate pe care o folosesc poate bloca mecanismul de livrare a ameninţării WannaCryptor şi a versiunilor sale. Bitdefender sfătuieşte companiile să facă o evidenţă clară a tuturor datelor deţinute şi a localizării lor, astfel încât infractorii să nu atace sisteme de a caror existenţă nu ştiau.

În comunicat se mai arată:"Faceţi recurent o copie a datelor nou intrate în companie, inclusiv a informaţiilor de pe dispozitivele angajaţilor, astfel încât recuperarea acestora să fie mai facilă în eventualitatea unei criptări. Asiguraţi-vă că datele critice/sensibile ale companiei sunt stocate şi într-o infrastructură fără conexiune la internet şi permanent monitorizată. Segmentaţi reţeaua. Atât pentru a optimiza traficul de reţea, cât şi accesul la date, segmentarea reţelei poate îngreuna munca unui atacator de a ajunge rapid la datele critice ale companiei".

În plus, specialiştii sfătuiesc firmele să nu ţină toate datele într-un singur loc care poate fi accesat de oricine din companie. Totodată, angajatii trebuie informaţi în mod constant despre bunele practici în materie de securitate cibernetică.

Specialiştii au afirmat, în cadrul comunicatului: "Insistaţi pe recomandarea de a nu accesa în niciun caz linkuri sau fişiere ataşate provenite de la expeditori necunoscuţi, modalitatea favorită de atac a infractorilor cibernetici. Puneţi la punct o strategie de comunicare internă capabilă să anunţe rapid angajaţii când un virus ajunge în reţeaua companiei".

În plus, înainte ca un atac să aibă loc, trebuie stabilit dacă trebuie plătită recompensa cerută de către atacatori sau dacă trebuie asumată pierderea datelor şi iniţiată o investigaţie. Specialiştii în securitate cibernetică de la Bitdefender susţin ferm că victimele nu ar trebui să achite sumele cerute de criminalii informatici din mai multe motive.

Specialiştii Bitdefender au avertizat: "Nu există niciun fel de garanţie că atacatorul va onora promisiunea şi va reda accesul la date. În cazul în care plătesc, victimele pot fi ţintite din nou de atacatori, dat fiind că îşi construiesc în faţa infractorilor un istoric de bun platnic. Fiecare sumă de bani transferată va ajuta dezvoltatorii de ransomware să construiască versiuni şi mai complexe şi să crească amploarea acestui fenomen. Cum atacatorii folosesc moneda virtuală (Bitcoin, Litecoin, Ethereum, etc.), este practic imposibil ca banii respectivi să fie urmăriţi".

• CERT-RO: Zece sisteme de operare Windows, în pericol de a fi afectate de ransomware-ul "WannaCry"

Un număr de 10 sisteme de operare şi de tip server Windows sunt pasibile de a fi afectate de noua variantă de ameninţare ransomware "WannaCry", care a dus la numeroase probleme tehnice, în ultimele 24 de ore, în mai multe organizaţii şi instituţii din întreaga lume, a anunţat, sâmbătă, Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT-RO), într-un comunicat de presă.

Specialiştii CERT-RO susţin, potrivit Agerpres: "Începând de vineri, 12 mai 2017, numeroase organizaţii din întreaga lume au fost afectate de o nouă variantă de ransomware, care poarta denumirea de ?WannaCry'. Rapoartele preliminare atesta faptul că printre victime se afla companii-gigant, precum FedEx, operatorul de comunicaţii Telefonica din Spania, sau chiar sistemul de sănătate din Marea Britanie (National Health Service). Spre deosebire de alte campanii ransomware din trecut, cea de faţă dispune şi de capabilităţi de răspândire în reţea (lateral movement) prin exploatarea unei vulnerabilităţi a protocolului SMBv1. Această ameninţare se propagă prin intermediul unor mesaje e-mail care conţin ataşamente şi link-uri maliţioase, atacatorii utilizând tehnici de inginerie socială pentru a determina utilizatorii să acceseze resursele maliţioase. Odată infectată o staţie de lucru dintr-o reţea, malware-ul încearcă să se răspândească în interiorul reţelei prin intermediul protocolului SMB, utilizând porturile UDP/37, UDP/138, TCP/139 şi TCP/445. Procesul de răspândire se realizează prin exploatarea unei vulnerabilităţi a rotocolului SMBv1 din cadrul Windows, cunoscută ca CVE-2017-0145".

Potrivit sursei citate, Microsoft a publicat, încă din luna martie a acestui an, o actualizare de securitate pentru rezolvarea vulnerabilităţii exploatată de acest ransomware pentru răspândire, cunoscută ca MS17-010.

După analiza experţilor CERT-RO, lista sistemelor de operare pasibile de a fi afectate de această ameninţare, în cazul în care nu au fost actualizate, sunt: Microsoft Windows Vista SP2, Microsoft Windows Server 2008 SP2 şi R2 SP1, Microsoft Windows 7, Microsoft Windows 8.1, Microsoft Windows RT 8.1, Microsoft Windows Server 2012 şi R2, Microsoft Windows 10, Microsoft Windows Server 2016, Microsoft Windows XP şi Microsoft Windows Server 2003.

În acest context, specialiştii recomandă o serie de măsuri de prevenire a acestor atacuri cibernetice, printre care se regăseşte actualizarea la zi a sistemelor de operare şi aplicaţiilor, inclusiv cu patch-ul MS17-010 (link: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx). În plus, Microsoft a publicat actualizări de securitate inclusiv pentru sistemele de operare care nu mai beneficiază de suport, precum Windows XP, disponibile la adresa https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/.

Totodată, specialiştii recomandă blocarea porturilor SMB (139, 445) în cadrul reţelei, utilizarea unui antivirus actualizat cu ultimele semnături, manifestarea unei atenţii sporite la deschiderea fişierelor şi link-urilor provenite din surse necunoscute/incerte, mai ales cele din mesajele email, precum şi realizarea periodică a unor copii de siguranţă (backup) pentru datele importante.

În eventualitatea infectării cu ransomware, CERT-RO susţine că este nevoie de mai multe măsuri: deconectarea imediată de la reţea a sistemelor informatice afectate, restaurarea fişierelor compromise utilizând copiile de siguranţă (backup), dezinfectarea sistemelor compromise şi raportarea incidentul către CERT-RO la adresa de email alerts@cert.ro.