2017-05-14 - Alvarleg gagnagíslatökuárás (ransomware) - WannaCry

Bylgja gagnagíslatökuárása (e. ransomware) gengur nú yfir heiminn. Um er að ræða s.k. "WannaCry" spillikóða sem virðist nýta sér sama veikleika og var nýttur í ETERNALBLUE tólinu sem var hluti af þeim spillihugbúnaði sem lekið var frá NSA fyrir skömmu. Ógnin gengur undir fleiri nöfnum t.d. Wcry og WanaCrypt0r.

Um er að ræða sérstaklega varasama árás þar sem hún getur dreift sér sjálfvirkt milli véla (s.k. ormur) á netlagi, en flestar gíslatökuárásir hafa til þessa verið gerðar með tölvupósti og/eða spilltum vefsíðum. Útbreiðsluhraðinn hefur því verið verulega meiri en í fyrri árásum sem gerir hana mun skæðari. Engar staðfestar tilkynningar hafa enn borist um að tölvur hérlendis hafi orðið fyrir þessari árás. Þó hafa komið fram vísbendingar um sýkingar hérlendis, m.a. hjá erlendum upplýsingaveitum, sjá t.d. https://intel.malwaretech.com/botnet/wcrypt.

Tæknilegar upplýsingar

Ógnin herjar á Microsoft Windows stýrikerfi. Hún nýtir sér þekktan veikleika í SMB kerfinu (MS17-010) sem hefur þegar verið lagfærður af Microsoft. Svo virðist sem veikleikinn sé bundinn við eldri útgáfur en Windows 10 en engu að síður er mælt með að uppfæra allar vélar sem keyra Microsoft Windows stýrikerfi. Viðhengi eða hlekkir í tölvupósti eru líklegur fyrsti dreifimáti en eftir að tölva er sýkt reynir spillikóðinn frekari dreifingu gegnum SMB samskipti við aðrar vélar með MS17-010 veikleikann. Athugið að á þessari stundu virðast ekki til staðfest dæmi um tölvupóst sem dreifileið.

Ráðstafanir

CERT-IS mælir með að uppfæra stýrikerfi og allan annan hugbúnað sem fyrst þar sem árásin nýtir sér þekktan galla. Einnig er mikilvægt að uppfæra allan varnarbúnað, s.s. vírusvarnir, IDS og eldveggi, og tengd reglusett. Einnig er ráðlagt að slökkva á SMBv1 samskiptum eins og unnt er, bæði á einstökum vélum og á netlagi. Sérstaklega er mælt með að loka á SMB tengingar, annað hvort slökkva á þjónustunni eða blokka port 445 á netlagi (jafnvel einnig 137-139), í það minnsta frá IP tölum utan eigin nets. Almennt séð er mikilvægt að fyrirtæki komi sér upp verklagi til að bregðast við árás af þessu tagi þar sem gögn eru tekin í gíslingu, t.d. að einangra sýktar vélar strax og sýkingar verður vart með að rjúfa netsamband. Huga þarf strax að afritun mikilvægra gagna til að bregðast megi við gagnagíslatöku án greiðslu lausnargjalds. Spillikóðinn leitar með virkum hætti að vélum aðgengilegum yfir SMB sem eru veikar fyrir MS17-010. Því er mælt með að fyrirtæki séu vakandi fyrir slíkum skönnum á sínum netum. Mælt er með uppfærslu úr SMBv1 í nýrri útgáfur.

Vert er að brýna fyrir starfsfólki að varast hlekki og viðhengi í óumbeðnum tölvupósti.

Sjá einnig:

Mikilvægt er að hægt sé að fá heildstæða stöðumynd af þessu atviki sem og öðrum. Því óskum við eftir tilkynningum um árásir á cert@cert.is eða á fax 510-1509. Einnig eru ábendingar um frekari upplýsingar vel þegnar.

Staða

Þann 26.05.2017 hafa CERT-IS borist tiltölulega fáar tilkynningar um staðfest tilvik og aðrar vísbendingar okkar benda ekki til útbreiðslu óværunnar hérlendis. CERT-IS telur því að náðst hafi stjórn á aðstæðum og ekki sé þörf á sérstökum viðbúnaði af sinni hálfu. Enn sem áður er þó ástæða fyrir fyrirtæki og einstaklinga til að hafa varan á og uppfæra stýrikerfi og varnir reglulega.

Almennt um undirbúning og viðbrögð gegn gagnagíslatöku

  • Auka þarf vitund notenda um vefveiðaárásir (e. phishing) sem eru ein stærsta dreifileiðin fyrir óværur, þ.m.t. gagnagíslatöku spillihugbúnað. Allir notendur ættu að varast hlekki og viðhengi í tölvupósti, sérstaklega ef hann er óumbeðinn og/eða frá ókunnuglegum sendanda.
  • Uppfæra stýrikerfi og allan hugbúnað reglulega í nýjustu útgáfur. Einnig fjarlægja ónotaðan og ónauðsynlegan hugbúnað. Mikilvægt er að setja reglulega inn öryggisuppfærslur.
  • Huga að vörnum, bæði á endabúnaði og netlagi, halda búnaði uppfærðum og uppfæra reglusett ört.
  • Taka afrit af öllum nauðsynlegum gögnum og gera áætlanir um hvernig bregðast beri við gagnamissi, hvort sem er vegna gagnagíslatöku eða bilana.
  • Séu gögn dulrituð með gíslatökubúnaði er fyrsta skrefið að einangra viðkomandi tölvu strax til að koma í veg fyrir smit til annarra véla og dulritun á nettengdum drifum. Næsta skref er að leita uppi spillikóðann, t.d. með vírusvarnabúnaði, og óvirkja ef hægt er. Séu til afrit er best að hreinsa viðkomandi tölvu til fulls, setja aftur upp stýrikerfi og allan nauðsynlegan búnað með öryggisuppfærslum. Þegar búið er að tryggja öryggi tölvunnar er hægt að keyra inn afrit og setja hana í rekstur aftur.
  • CERT-IS mælir ekki með að lausnargjald sé greitt nema kannað hafi verið til fulls hvort óbætanleg gögn séu annars óendurkræf. Sé tekin ákvörðun um að greiða lausnargjaldið mælum við með að haft sé samráð við þjónustuaðila eða öryggissérfræðinga til að aðstoða í því ferli.
  • Vert er að fylgjast með NoMoreRansom verkefninu sem birtir oft gagnlegar upplýsingar um viðbrögð við gagnagíslatöku.