Aproape 2.000 de utilizatori sunt afectati de noul atac informatic: E vorba de un virus nemaiintalnit

Miercuri, 28 Iunie 2017, ora 07:496073 citiri
Aproape 2.000 de utilizatori sunt afectati de noul atac informatic: E vorba de un virus nemaiintalnit
Foto: Arhiva Ziare.com

Analistii Kaspersky Lab investigheaza un nou val de atacuri ransomware care vizeaza organizatii din toata lumea, iar rezultatele preliminare sugereaza ca este vorba de un ransomware care nu a mai fost intalnit pana acum.

Datele telemetrice ale companiei indica faptul ca aproximativ 2.000 de utilizatori au fost atacati, a declarat Costin Raiu, director al echipei globale de cercetare si analiza de la Kaspersky Lab, referitor la atacurile de marti.

"Organizatiile din Rusia si Ucraina sunt cele mai afectate, dar am inregistrat atacuri si in Polonia, Marea Britanie, Germania, Franta, SUA, Romania si alte tari. Pare sa fie un atac complex, care implica mai multi vectori. Putem confirma ca este folosit un exploit modificat EternalBlue pentru propagare, cel putin in interiorul retelelor corporate", spune Raiu.

Potrivit acestuia, Kaspersky Lab detecteaza aceasta amenintare ca UDS:DangeroundObject.Multi.Generic, iar expertii companiei spera sa scoata noi semnaturi, inclusiv pentru componenta System Watcher cat de curand posibil si sa stabileasca daca este posibila decriptarea datelor blocate in atac - cu intentia de a dezvolta un instrument de decriptare cat mai curand.

"Le recomandam tuturor companiilor sa isi actualizeze software-ul Windows, sa-si verifice solutia de securitate si sa se asigure ca au facut backup si au detectie ransomware activa", mai afirma directorul Kaspersky.

Conform unui comunicat postat pe site-ul al CERT.RO, incepand de marti, 26 iunie 2017, companii din mai multe tari, mai cu seama Ucraina, au fost afectate de o varianta de ransomware cunoscuta cu denumirea de Petya/Petwarp, care pare sa fie o forma modificata a variantei de ransomware Petya, cunoscuta inca din anul 2016.

Pana in acest moment nu a fost stabilit cu exactitate vectorul de infectie (modalitatea de raspandire), insa in urma analizarii informatiilor detinute pana in acest moment de CERT-RO (atat din surse proprii cat si externe), exista mai multe variante posibile: raspandirea printr-o campanie de mesaje email de tip SPAM ce contin oferte cu locuri de munca (email recruiting) ; exploatarea unei vulnerabilitati a protocolului SMB, posibil chiar cea cunoscuta cu denumirea de EternalBlue (utilizata si de WannaCry) ; raspandirea in retea (lateral movement) prin facilitatea WMIC (Windows Management Instrumentation Command-line).

Aceasta varianta de ransomware afecteaza sistemele de operare Windows si are atat capabilitati de criptare a fisierelor de pe disc, dar si de blocare a accesului la PC prin alterarea MBR (Master Boot Record). Se pare ca in mod implicit malware-ul incearca mai intai sa blocheze accesul la sistem prin alterarea MBR, insa daca nu reuseste sa obtina privilegii de administrator pentru a efectua aceasta operatiune cripteaza direct fisierele de pe disc.

Suma solicitata de atacatori pentru recuperarea accesului la sistemul afectat si la fisiere este echivalentul a 300 de dolari in moneda virtuala Bitcoin.

Companii si institutii din Romania si din alte tari din regiune, printre care Ucraina si Rusia, au fost afectate marti de o noua amenintare cibernetica de tip ransomware, denumita GoldenEye, care cripteaza datele utilizatorilor si apoi solicita recompensa, se arata si intr-un comunicat Bitdifender.

Ne puteți urmări și pe pagina noastră de Facebook   sau pe  Google News