Prevenirea Atacurilor "Ransomware"

Securitate | Joi, 24 martie 2016

Printre ultimele alerte semnalate de Centrul Național de Răspuns la Incidente de Securitate CERT-RO se află atacurile de tip ransomware: Locky și CTB Locker (Curve-Tor-Bitcoin Locker) cunoscut și ca Critroni.

Fișierele stocate în PC-urile infectate cu Locky sunt criptate și redenumite cu extensia „.locky”. Imaginea de fundal (wallpaper) este schimbată cu o imagine prin care li se comunică utilizatorilor că fișierele lor au fost criptate și că trebuie să acceseze unul dintre link-urile afișate pentru a citi instrucțiunile referitoare la modalitatea prin care-și pot răscumpăra fișierele (plata unei sume de bani în moneda virtuală Bitcoin).

Critroni vizează serverele web realizând criptarea conținutului acestora și revendicarea unei sume în Bitcoin. Odată exploatat, conținutul site-ului va fi modificat, respectiv prima pagină php/html va fi înlocuită cu o nouă pagină de tip index.php, care va fi utilizată ulterior pentru criptarea datelor, folosind algoritmul AES-256 și pentru afișarea detaliilor necesare pentru recuperarea datelor originale.

Malware se răspândește prin mesaje email de tip SPAM care conțin atașamente malițioase, sub forma unor documente Microsoft Word/Excel ce conțin macro-uri VBS (Visual Basic Script), sau sub forma unor arhive „.ZIP” ce conțin cod JavaScript. În cazul Critroni, ransomware-ul vizează serverele care utilizează PHP. CTB-Locker exploatează vulnerabilități prezente în versiunile mai vechi de PHP pentru a se instala și a prelua controlul asupra fișierelor.

CERT-RO semnalează că numărul atacurilor de tip de ransomware va crește în anul 2016, afectând tot mai mulți cetățeni, instituții și companii. Totodată, în Ghidul privind combaterea amenințărilor informatice de tip "ransomware" publicat în 15 martie 2016 recomandă următoarele mecanisme de protecție:

  • Precauția Link-urile sau atașamentele conținute de mesajele email suspecte nu trebuie accesate / deschise. Site-urile web accesate și aplicațiile instalate trebuie să fie confirmate ca sigure.
  • Salvarea datelor pe medii de stocate externe Realizarea periodică de backup pentru datele stocate/procesate cu ajutorul sistemelor informatice. Mediul de stocare nu trebuie menținut conectat la calculator pentru a nu fi și el ținta unui atac.
  • Afișarea extensiilor fișierelor Afișarea extensiilor fișierelor poate facilita observarea fișierelor suspicioase/malițioase. Pentru a se putea instala, fișierul deschis trebuie să fie executabil, extensiile ".exe" și ".js" fiind mai des folosite de atacatori. În mod implicit sistemele de operare nu afișează extensia fișierelor, asociind un program cu care le va deschide dacă extensia este cunoscută. Un fișier denumit "factura.doc.exe" va fi afișat ca și "factura.doc", dar nu va fi deschis cu editorul de documente ci va fi executat de calculator, acest lucru ducând la instalarea virusului/troianului respectiv.
  • Utilizarea soluțiilor de securitate Soluția de securitate trebuie să prevadă mecanisme antivirus, antimalware, antispyware, antispam, firewall, instrumente software pentru monitorizarea fișierelor, actualizarea în permanență a sistemele de operare și a aplicațiilor folosite, și chiar un mecanism de application whitelisting care să asigure faptul că în cadrul unui sistem informatic rulează numai software autorizat/cunoscut.

Infologica oferă servicii de evaluare a soluțiilor de securitate, consultanță în implementarea unor măsuri de protecție adecvate, dar și asistență în investigarea atacurilor informatice.