15.05.17
15 мая
Понедельник , 21:39
15.05.17
15 мая
Понедельник , 21:39
Первоначальная оценка хакерской атаки WannaCry
12 мая 2017 года хакерской атаке подверглись крупнейшие организации в странах Европы и Средней Азии. Кампания была построена на быстро распространяющемся вредоносном программном обеспечении, предназначенном для вымогательства WannaCry (с англ. — «хочется плакать).
Компания FireEye, пионер в сфере информационной безопасности, чьи решения позволяют защитить ИТ инфраструктуру от сложных угроз, вредоносного ПО нового поколения, атак 0-Дня и фишинговых атак, выпустила специальный отчет, который предоставляет первоначальные оценки относительно данной кампании и ее развития.
Вирус WannaCry для распространения использовал уязвимость SMB протокола. Учитывая стремительность распространения вредоносного ПО, компания FireEye считает, что его активность сопряжена с высоким риском для всех организаций, использующих потенциально уязвимые машины c Windows. Для закрытия уязвимости необходимо установить набор исправлений MS17-010 Microsoft Security.
Приведенные ниже аналитические данные могут измениться, поскольку детали этой угрозы уточняются.
Публичные отчеты показывают, что инциденты, связанные с вредоносными программами семейства WannaCry Ransomware, были зарегистрированы в нескольких странах. Были выявлены признаки потенциального заражения, в частности в следующих странах, но этими странами не ограничивается: Германия, Аргентина, Российская федерация, Испания, Швецария, Словакия, Украина, Великобритания.
Решения FireEye помогут обнаружить WannaCry
Решения FireEye для сети, почты и рабочих станций могут помочь обнаружить вирус. Кроме того, решения FireEye могут отслеживать последующее взаимодействие зараженных хостов WannaCry с центром управления ботсетью. Сенсоры PX (составляющая решений FireEye для рабочих станций), передающие данные в сервис FaaS, помогают выявить увеличивающийся SMB трафик.
Дополнительная информация доступна по ссылкам:
• Microsoft information on MS17-010 bulletin https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
• FireEye iSIGHT Intelligence information on the MS17-010 bulletin: https://mysight.isightpartners.com/report/full/17-00002524
• FireEye iSIGHT Intelligence information on the ShodowBrokers release: https://mysight.isightpartners.com/report/full/17-00003789
Вектор заражения этого инцидента на текущий момент не известен, но компания FireEye продолжает поиски.
Анализ вируса и индикаторы компроментации
Ниже приведены индикаторы, которые они наблюдали в ходе предварительного анализа:
• Образец MD5
• Центр управления (Command & Control)
• Ключи реестра
• Создаваемые файлы
• Строки файла
Дополнительно могут быть созданы файлы с расширением .wrny
• Запускаемые процессы