Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) a anunţat sâmbătă lista sistemelor de operare care ar putea fi afectate de ameninţarea ransomware WannaCry, pe aceasta regăsindu-se Windows 10, 8.1, 7, Vista şi XP. Autoritatea recomandă actualizarea la zi a sistemelor de operare şi aplicaţiilor, iar în caz de atac, deconectarea imediată de la reţea a sistemelor informatice afectate.

Un val de atacuri cibernetice a afectat vineri aproape 100 de ţări, exploatând un defect dezvăluit în documente divulgate de la Agenţia Naţională americană pentru Securitate (NSA). Atacurile au folosit o tehnică cunoscută sub numele de ransomware, care blochează fişierele utilizatorilor cu scopul ca aceştia să plătească o sumă de bani în moneda virtuală.

Rapoartele preliminare atestă faptul că printre victime se află companii-gigant precum FedEx, operatorul de comunicaţii Telefonica din Spania şi sistemul de sănătate din Marea Britanie, potrivit CERT-RO, care a avertizat că acest atac este diferit de celelalte.

”Spre deosebire de alte campanii ransomware din trecut, cea de faţă dispune şi de capabilităţi de răspândire în reţea (lateral movement) prin exploatarea unei vulnerabilităţi a protocolului SMBv1”, se arată în comunicat.

Autoritatea a publicat lista sistemelor Windows care ar putea fi afectate: Vista SP2, Server 2008 SP2 şi R2 SP1, 7, 8.1, RT 8.1, Server 2012 şi R2, 10, Server 2016, XP şi Server 2003.

Această ameninţare se propagă prin intermediul unor mesaje email care conţin ataşamente şi link-uri maliţioase, atacatorii utilizând tehnici de inginerie socială pentru a determina utilizatorii să acceseze resursele maliţioase.

”Odată infectată o staţie de lucru dintr-o reţea, maware-ul încearcă să se răspândească în interiorul reţelei prin intermediul protocolului SMB, utilizând porturile UDP/37, UDP/138, TCP/139 şi TCP/445. Procesul de răspândire se realizează prin exploatarea unei vulnerabilităţi a rotocolului SMBv1 din cadrul Windows, cunoscută ca CVE-2017-0145”, se arată în comunicat.

Autoritatea recomandă blocarea porturilor SMB (139, 445) în cadrul reţelei, utilizarea unui antivirus actualizat, o atenţie sporită la deschiderea fişierelor şi link-urilor provenite din surse necunoscute/incerte, mai ales cele din mesajele email şi realizarea periodică a unor copii de siguranţă (backup) pentru datele importante.

În eventualitatea infectării cu ransomware, CERT-RO recomandă deconectarea imediată de la reţea a sistemelor informatice afectate, restaurarea fişierelor compromise utilizând copiile de siguranţă (backup), dezinfectarea sistemelor compromise şi raportarea incidentului către autoritate.