Loading…

Ransomware WannaCry este blocat de dispozitivele ENDIAN

16 May 2017

Incepând de vineri peste 100 de ţări trec prin coşmarul „celui mai mare atac cibernetic din istorie”, aşa cum a fost denumită de către experţii în securitate cibernetică campania ransomware WannaCry. Dincolo de sumele solicitate pentru răscumpararea datelor stă frica paralizarii activităţii instituţiilor publice, sistemelor medicale, companiilor private sau chiar a simplilor utilizatori. Cea mai infricoşătoare veste este că independent de plata sumelor solicitate, nu există certitudinea recuperarii datelor.

Deşi în social media au apărut informaţii cu privire la anihilarea ameninţării ransomware WannaCry, CERT.RO avertizează că ameninţarea încă persistă şi că este critic să aplicaţi recomandările specialiştilor în domeniu.

In acest articol vom face o scurtă prezentare a tipului de malware ransomware, precum şi o serie de măsuri prin care vă puteţi proteja reţeaua împotriva acestei ameninţări, prin intermediul soluţiilor de securitate Endian.

Ce este (criptarea) Ransomware?

Ransomware este o formă de fraudă folosită pentru a obține bani de la victima, ale cărei dispozitive au fost blocate folosind un tip de malware (software rău intenționat), interzicând orice acces la datele din retea.

Criptarea Ransomware este o formă de malware care se instalează pe hard diskul unui dispozitiv și criptează întregul său conținut, făcându-l inaccesibil utilizatorilor dispozitivului până când acesta plătește o răscumpărare. CryptoLocker este unul dintre cele mai populare exemple de ransomware și utilizează criptografia cheii publice RSA.

Ransomware se răspândesc, de obicei, deghizat în ceea ce pare a fi un conținut legitim, cum ar fi o factură ca atașament la e-mail, un fișier zip care conține fotografii sau alte tipuri de fișiere deschise de potențiala victimă, deoarece nu este percepută ca o operațiune periculoasă. Când este deschis, însă, ransomware-ul contactează așa-numitul server de comandă și control (C&C), care are sarcina de a genera o nouă pereche de chei RSA (privată/publică), stocheaza cheia privata și trimite cheia publică înapoi la PC-ul victimei și criptează tot ce poate găsi pe disc și pe resurse care pot fi accesate în rețeaua locală. În acest moment, datele nu mai pot fi accesate decât dacă sunt decriptate cu cheia privată, dar acestea sunt disponibile numai pe serverul C&C.

Într-adevăr, datorită dimensiunii cheilor utilizate pentru criptare (2048 de biți) este utopic  sa credeti ca puteti să decriptați fișierele fără cheia privată. Desi posibil in teorie, ar putea dura ani de zile. Asadar, singura modalitate de a recâștiga accesul la date este fie reinstalarea tuturor dispozitivelor infectate și restaurarea unui backup, fie plata pentru răscumpărare, in speranța ca veti primi cheia privată (in practica multe victime sustin ca nu au primit cheia nici dupa ce au platit).

Dacă sunteți deja infectat, puteți verifica site-ul https://www.nomoreransom.org/  pentru chei de decriptare gratuite sau pur și simplu pentru a găsi mai multe informații despre ransomware.

În concluzie, asigurati-va că toate sistemele dvs. (nu numai dispozitivele Endian, ci toată infrastructura) sunt în permanență actualizate și informati-va colegii de echipa si personalul despre pericolul acestui malware și cum să evitați deschiderea unor pagini web sau atașamente. Preventia este întotdeauna cea mai bună soluție!

Cu ajutorul ENDIAN va puteti proteja rețeaua de Ransomware

Deși nu există protecție directă oferită de dispozitivele Endian împotriva ransomware-ului în general, acest articol prezintă o serie de metode de interceptare și minimizare a acestor amenințări, prin blocarea canalelor folosite de atacatori pentru a răspândi infecția.

Cele mai multe dintre aceste metode pot fi implementate pe toate platformele Endian, în timp ce altele, bazate pe o utilizare avansată a proxy-urilor HTTP și SMTP, sunt disponibile doar pe UTM.

1) Utilizarea Panda Antivirus

Antivirusul Panda își stochează semnăturile în cloud, astfel că sunteți întotdeauna asigurat ca utilizați cele mai recent semnaturi, inclusiv cele care identifică și blochează orice vector infectat. Prin utilizarea programului Panda Antivirus toate verificările sunt efectuate în timp real, cu cele mai recente semnături disponibile.

Pentru a activa antivirusul, mergeți la Services > Antivirus engine, apoi alegeți Panda ca motor antivirus, apoi accesați tab-ul Panda AntiVirus pentru a configura antivirusul.

2) Utilizarea serviciului IPS

Sistemul de prevenire a intruziunilor nu numai că poate detecta, dar și blochează traficul generat de ransomware către C&C.

Pentru a permite protecția prin IDS, mergeți la Services > Intrusion Prevention > Rules. Aici căutați setul de reguli auto/emerging-trojan.rules, care se află în cea de-a doua pagină și schimbați de la alert la drop făcând clic pe pictograma , care va deveni ,  la fel ca în imaginea de mai jos. 

Acum, tot traficul detectat ca troian va fi abandonat. Pentru o protectie suplimentara puteți, de asemenea, să blocați auto/emerging-tor.rules.

3) Utilizarea outgoing firewall

Ransomware utilizează Torrents ca vector de infectare și conexiuni TOR pentru a se conecta la C&C, deci o altă protecție este de a bloca tot traficul de ieșire care utilizează aceste două protocoale.

Mergeti la  Firewall > Outgoing traffic  si creati o regula noua  de blocare sau respingere a traficului de iesire. Pentru o protecție mai bună, adăugați toate rețelele sau zonele care se află în spatele dispozitivului Endian specificând <ANY> în  Source Type. 

Aceasta regula ar trebui sa fie prima din lista.

4) Utilizați filtrul HTTP Proxy 1/2: URL

Specificați un profil în proxy-ul HTTP care blochează adresele URL periculoase care ar putea propaga ransomware.

Mergeti la  Proxy > HTTP Web Filter si fie modificati un profil existent fie adaugati unul nou.  Apoi mergeti la URL Filter si alegeti categoriile relevante.

Aceasta metoda poate fi folosita impreuna cu urmatoarea.

5) Utilizați HTTP Proxy 2/2: scanare antivirus HTTP

Scanarea antivirus HTTP este activă by defaultt și este recomandat să o păstrați activată.

 

6) Activarea proxy-ului HTTPs

Vectorii de infectare folosesc deseori conexiuni HTTPS pentru a se propaga, prin urmare proxy-ul HTTPS poate fi folosit pentru a intercepta conexiunile și pentru a permite doar legăturile legitime către site-urile bine cunoscute, cum ar fi, de exemplu institutiile financiar-bancare.

După ce ați activat Proxy-ul HTTP sub Proxy> HTTP (proxy-ul HTTPS trebuie să fie activat împreună cu proxy-ul HTTP), mergeți la tab-ul Proxy HTTPS și bifați Enable proxy-ul HTTPS.

 7) Activați SMTP 1/2: scanare antivirus

Ransomware este adesea livrat ca atașamente la e-mailuri care, la prima vedere, pot apărea ca provenind de la expeditori legitimi, dar conțin fie o legătură falsă, fie un atașament care ar putea să apară autentic, deci o bună practică este activarea scanării antivirus a proxy-ului SMTP.

Accesați Proxy> SMTP și activați-l, apoi în panoul Virus settings bifați casuta de selectare de lângă eticheta Scan mail for virus pentru a activa scanarea antivirus. De asemenea, puteți configura ce să faceți cu un e-mail care a fost marcat ca spam și câteva opțiuni suplimentare.

După ce ați terminat, faceți clic pe Save pentru a stoca noua configurație, apoi pe Apply în eticheta verde pentru a reîncărca Proxy-ul SMTP cu noile opțiuni.

8) Activați SMTP 1/2: Extensie fișier și extensie dublă 

O altă metodă subtilă de livrare a ransomware-ului WannaCry ca atașament este aceea de a redenumi atașamentul cu o extensie dublă (de exemplu, meeting.png.bat), ceea ce face ca un client de e-mail să afișeze numai prima extensie (de exemplu, meeting.png)  lasand impresia cititorului ca a primit doar o imagine. Un dublu clic pe acesta nu va determina afișarea “imaginii”, ci fișierul batch va fi executat, fără ca utilizatorul să observe, cu excepția “imaginii” care nu este afișată pe monitor. Prin urmare, o altă practică buna este blocarea extensiilor de fișiere potențial periculoase (cum ar fi .bat, xlsx, docx) și interzicerea atasamentelor, al căror nume au două extensii.

Mergeti la Proxy>SMTP si activati-l apoi in panoul File settings bifați casuta Block files by extension pentru a activa atașamentele e-mailurilor care trebuie verificate.

Apoi in casuta Choose filetypes to block (by extension), selectați toate extensiile care ar trebui să fie blocate de Proxy-ul SMTP, apoi bifați casuta de selectare de lângă Block files with double extension si selectați din meniu toate extensiile de blocat.

9) Activați proxy-ul DNS

Atunci când se lansează un ransomware, se vor manipula setările DNS ale gazdei infectate, pentru a putea contacta serverele de care are nevoie pentru a funcționa corect. Acest comportament poate fi evitat prin activarea Proxy-ului DNS pe Endian. În acest fel, toate interogările DNS de la o gazdă din spatele Endian vor fi întotdeauna interceptate de Endian, blocând orice posibilitate pentru ransomware de a comunica cu serverele sale.

În plus, actualizarea anti-spyware ar trebui să fie setată la “zilnic”, pentru a bloca alte domenii infectate cunoscute.

 

Want to learn more?