Un nou val de ransomware infecteaza companii si institutii din Romania: GoldenEye

Un nou val de ransomware infecteaza companii si institutii din Romania: GoldenEye goldeneyeransomwarewannacryadylkuzzsecuritate cibernetica

Companii si institutii din Romania si din alte tari din regiune au fost lovite marti de o noua amenintare cibernetica de tip ransomware, denumita GoldenEye, care cripteaza datele utilizatorilor si apoi solicita recompensa. Mai multe companii din Romania, Ucraina si Rusia sunt deja afectate de GoldenEye.
O analiza preliminara a specialistilor Bitdefender arata ca versiunea de ransomware GoldenEye foloseste aceeasi vulnerabilitate EternalBlue, prezenta in majoritatea versiunilor sistemului de operare Windows, pe care au exploatat-o in luna mai 2017 si atacatorii din spatele WannaCry si Adylkuzz.

Aparitia amenintarii GoldenEye confirma previziunile Bitdefender conform carora grupuri de atacatori vor exploata continuu vulnerabilitatea EternalBlue (MS17-010) din sistemul de operare Windows, operata anterior de Agentia Nationala de Securitate din Statele Unite ale Americii (NSA), pana ce toti utilizatorii vor fi facut actualizarea la cea mai recenta versiune.

Vulnerabilitatea EternalBlue permite atacatorului sa ruleze cod periculos pe un computer vulnerabil si sa foloseasca acel cod pentru a infecta sistemul cu ransomware fara ca cineva sa acceseze linkuri sau sa deschida emailuri infectate.

Spre deosebire de alte versiuni de ransomware, care blocheaza datele utilizatorilor de pe calculatoarele infectate si apoi solicita recompensa pentru a le reda accesul, noua versiune GoldenEye nu le permite victimelor sa mai foloseasca dispozitivul infectat, dat fiind ca, dupa ce termina procesul de criptare a datelor, forteaza calculatorul sa se inchida si il face inutilizabil pana la plata recompensei de 300 de dolari.

Specialistii in securitate cibernetica de la Bitdefender sustin ferm ca victimele nu ar trebui sa achite sumele cerute de criminalii informatici din mai multe motive:

- Nu exista niciun fel de garantie ca atacatorul va onora promisiunea si va reda accesul la date.
- In cazul in care platesc, victimele pot fi tintite din nou de atacatori, dat fiind ca isi construiesc in fata infractorilor un istoric de bun platnic.
- Fiecare suma de bani transferata va ajuta dezvoltatorii de ransomware sa construiasca versiuni si mai complexe si sa creasca amploarea acestui fenomen. Cum atacatorii folosesc moneda virtuala (Bitcoin, Litecoin, Ethereum, etc.), este practic imposibil ca banii respectivi sa fie urmariti.

Primele indicii arata ca atacatorii care opereaza amenintarea informatica GoldenEye exploateaza aceeasi vulnerabilitate din Windows dezvoltata initial de Agentia Nationala de Securitate din SUA (NSA) in scopuri de spionaj si folosita ulterior de atacatorii din spatele amenintarilor ransomware WannaCry si Adylkuzz.

Victimele trebuie sa evite cu orice pret sa plateasca recompensa, dat fiind ca adresa de e-mail a atacatorului nu este valida, iar cei care trimit dovada platii recompensei nu vor mai obtine vreodata informatiie blocate de GoldenEye.

Exista argumente care sustin ipoteza conform careia amenintarea cibernetica GoldenEye nu a vizat castiguri financiare, ci distrugeri de date.

Recomandarile specialistilor in securitate cibernetica ai Bitdefender:

- Faceti copii ale datelor de importanta strategica pentru a evita pierderea acestora.
- Actualizati in regim de urgenta sistemul de operare la cea mai recenta versiune.
- Actualizati toate programele de pe calculator si evitati sa folositi software perimat.
- Folositi o solutie de securitate performanta si actualizata la zi.

Informatii suplimentare:

Sute de mii de terminale din companii si institutii publice din intreaga lume au fost lovite in luna mai de amenintarile cibernetice de tip ransomware WannaCry si Adylkuzz, care folosesc o vulnerabilitate prezenta in majoritatea versiunilor sistemului de operare Windows. La mijlocul lunii martie 2017, Microsoft a furnizat un patch care blocheaza exploatarea vulnerabilitatii MS17-010, dar un numar necunoscut de calculatoare si servere la nivel global – inclusiv cele care folosesc versiuni invechite ale Windows – nu au primit respectiva actualizare si risca sa fie infectate in orice moment.

Despre vulnerabilitatea MS17-010, denumita si EternalBlue, s-a vorbit pentru prima oara in luna aprilie, ca parte dintr-o campanie mai ampla de sustragere de date de catre Agentia Nationala de Securitate din SUA (NSA). De aceasta data, atacatorii exploateaza vulnerabilitatea care ar fi fost folosita atunci in scopuri de spionaj de catre agentii guvernamentale pentru a livra victimelor diverse amenintari informatice.

Sursa: Bitdefender.ro