Un nou atac cibernetic, care exploatează aceeași vulnerabilitate ca atacul WannaCry, este în desfășurare. Acest atac are succes asupra sistemelor Windows vulnerabile, care nu au instalate patch-urile de securitate, mai precis cel lansat de Microsoft in data de 14 Martie 2017 (MS17-010). “Al doilea val al atacului cibernetic care era așteptat luni, a avut loc miercuri, dar nu trebuie să considerăm că totul s-a terminat. Este foarte probabil ca în viitor să mai apară și alte aplicații de tip malware care să fie livrate și rulate utilizând același exploit.”, explică Adrian Floarea, director general al certSIGN.
Virusul Adylkuzz este detectat de majoritatea antivirușilor care au semnăturile actualizate. Se estimează că acest virus a început atacul asupra sistemelor infectate de la începutul lunii mai (în jurul datei de 2 mai), însă neavând comportament vizibil este greu de estimat când exact a început să se multiplice.
Spre deosebire de atacul WannaCry, care bloca accesul utilizatorilor la datele de pe calculatoare, noul atac este un virus care utilizează puterea de calcul a sistemelor utilizatorilor pentru a le implica într-o rețea de tip botnet și are menirea de a "produce" monede virtuale (cryptocurrency) pentru creatorii acestuia.
Principalul simptom al infectării cu acest virus este că sistemul de calcul funcționează greu.
In contextul acestei situații, recomandăm:
Utilizatorilor
- În cazul în care în ultimele zile ați observat încetinirea funcționării calculatoarelor anunțați de urgență departamentul IT
- Nu deschideți emailuri primite de la expeditori necunoscuți
- Nu descărcați atașamente și nu accesați link-uri care par suspecte
Departamentelor IT
- Notificarea utilizatorilor cu privire la aspectele descrise mai sus
- Crearea unui punct de contact care să preia sesizările utilizatorilor și să instaleze în regim de urgență patch-urilor de securitate pe toate sistemele de operare Microsoft din organizație (a se vedea https://technet.microsoft.com/en-us/library/security/ms17-010.aspx)
- Actualizarea semnăturilor pentru sistemele de tip IDS
- Scanarea sistemelor pentru a verifica existența virusului
- Notificarea incidentelor de securitate informatica către structurile cu atribuții în domeniu (CERT-RO)
Pe termen lung, pentru a evita astfel de incidente sunt necesare următoarele:
- Utilizarea de sisteme de operare noi care beneficiază de update și suport al producătorului la zi.
- Actualizarea produselor de securitate instalate în rețeaua companiei: protecție endpoint, firewall, IDS
- Backup regulat al datelor esențiale, într-o locație sigură, și verificarea periodică a copiilor de backup
- Crearea unei structuri care să răspundă prompt în cazul unor incidente de securitate informatică
- Educarea permanentă a utilizatorilor
