Первоначальная оценка хакерской атаки WannaCry

12 мая 2017 года хакерской атаке подверглись крупнейшие организации в странах Европы и Средней Азии. Кампания была построена на быстро распространяющемся вредоносном программном обеспечении, предназначенном для вымогательства WannaCry (с англ. — «хочется плакать).

Компания FireEye, пионер в сфере информационной безопасности, чьи решения позволяют защитить ИТ инфраструктуру от сложных угроз, вредоносного ПО нового поколения, атак 0-Дня и фишинговых атак, выпустила специальный отчет, который предоставляет первоначальные оценки относительно данной кампании и ее развития.

Вирус WannaCry для распространения использовал уязвимость SMB протокола. Учитывая стремительность распространения вредоносного ПО, компания FireEye считает, что его активность сопряжена с высоким риском для всех организаций, использующих потенциально уязвимые машины c Windows. Для закрытия уязвимости необходимо установить набор исправлений MS17-010 Microsoft Security.

Приведенные ниже аналитические данные могут измениться, поскольку детали этой угрозы уточняются.

Публичные отчеты показывают, что инциденты, связанные с вредоносными программами семейства WannaCry Ransomware, были зарегистрированы в нескольких странах. Были выявлены признаки потенциального заражения, в частности в следующих странах, но этими странами не ограничивается: Германия, Аргентина, Российская федерация, Испания, Швецария, Словакия, Украина, Великобритания.

Решения FireEye помогут обнаружить WannaCry

Решения FireEye для сети, почты и рабочих станций могут помочь обнаружить вирус. Кроме того, решения FireEye могут отслеживать последующее взаимодействие зараженных хостов WannaCry с центром управления ботсетью. Сенсоры PX (составляющая решений FireEye для рабочих станций), передающие данные в сервис FaaS, помогают выявить увеличивающийся SMB трафик.

Дополнительная информация доступна по ссылкам:

• Microsoft information on MS17-010 bulletin https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
• FireEye iSIGHT Intelligence information on the MS17-010 bulletin: https://mysight.isightpartners.com/report/full/17-00002524
• FireEye iSIGHT Intelligence information on the ShodowBrokers release: https://mysight.isightpartners.com/report/full/17-00003789

Вектор заражения этого инцидента на текущий момент не известен, но компания FireEye продолжает поиски.

Анализ вируса и индикаторы компроментации

Реверс-инженеры FireEye анализируют образцы, которые получили, чтобы подтвердить возможности данного вредоносного ПО.

Ниже приведены индикаторы, которые они наблюдали в ходе предварительного анализа:

• Образец MD5

• Центр управления (Command & Control)

• Ключи реестра

• Создаваемые файлы

• Строки файла

Дополнительно могут быть созданы файлы с расширением .wrny

• Запускаемые процессы

Источник - FireEyeiSIGHT Intelligence May 12, 2017