GoldenEye, noul virus care afectează instituţii şi companii. Ce spune SRI despre situaţia din România

GoldenEye e un ransomware care afectează deja activitatea mai multor companii şi instituţii, iar România este pe lista ţărilor ţintite de hackeri.

Bitdefender avertizează asupra unui nou atac informatic global, care a deconectat deja de la internet instituţii din Ucraina responsabile de administrarea unor infrastructuri de importanţă critică. Totodată, companii şi instituţii din România şi din alte ţări din regiune, printre care şi Rusia, sunt ţintite de această nouă ameninţare cibernetică de tip ransomware (criptează datele utilizatorilor şi solicită recompensă pentru deblocarea lor - n.r.).

În plus, SRI informează că e vorba despre cea mai recentă versiune de ransomware Petya, „împachetată“ cu ransomware-ul Mischa. Altfel spus, o versiune 2 în 1 cunoscută drept „GoldenEye“. Petya atacă sistemul de operare Windows şi este distribuit prin mail, mesajele fiind ascunse sub cereri de la aplicanţi pentru un loc de muncă în companie. SRI susţine companii din România afectate.

Cum atacă noul virus şi ce se întâmplă în România

Tehnic, Petya suprascrie MBT (master boot record) al computerului şi nu mai permite încărcarea sistemului de operare - afişează, la pornire, un ecran albastru. Reporneşte automat calculatorul, simulează o reparare a mediului pe care e sistemul de operare, etapă în care, de fapt, criptează MFT (master file table). Pentru a se executa are nevoie de drepturi extinse de administrator, astfel că pentru utilizatorii cu drepturi restrânse nu e executat. Implicit, sunt urmăriţi administratorii de reţea. Dacă nu reuşeşte infecţia, Mischa criptează fişierele utilizatorului.

Serviciul Român de Informaţii susţine semnăturile viruşilor au fost verificate în Sistemul Naţional de Securitate Cibernetică şi nu apar la cele 54 de instituţii beneficiare. La sfârşitul lui decembrie 2013, SRI, alături de STS, MApN, MAI, MCSI (prin CERT-RO), în calitate de instituţii partenere, au contractat proiectul unui sistem naţional de protecţie a infrastructurilor IT&C de interes naţional împotriva ameninţărilor provenite din spaţiul cibernetic. 

Realizarea proiectului a presupus încheierea unor acorduri parteneriale cu instituţiile beneficiare. Aceste acorduri au stat la baza stabilirii unor protocoale de cooperare, necesare bunei funcţionări a proiectului şi, în final, asigurării securităţii cibernetice. Astfel, instituţiile au încheiat protocoale de cooperare cu SRI, prin care serviciul oferă suport de specialitate în securizarea infrastructurilor informatice, prin definirea şi actualizarea politicilor de securitate şi întocmirea şi actualizarea procedurilor de intervenţie în caz de incident sau atac cibernetic.

Vulnerabilitatea din Windows exploatată de viruşi ransomware

Utilizează aceleaşi vulnerabilităţi exploatate şi de campaniile precedente de ransomware. Bitdefender adaugă şi că GoldenEye nu le permite victimelor să mai folosească dispozitivul infectat, dat fiind că, după ce termină procesul de criptare a datelor, forţează calculatorul să se închidă şi îl face inutilizabil până la plata recompensei de 300 de dolari.

Toţi clienţii companiei, care au soluţia de securitate actualizată la zi, sunt protejaţi în faţa noii ameninţări GoldenEye. Recomandările specialiştilor în securitate cibernetică presupun: copii ale datelor de importanţă strategică pentru a evita pierderea acestora, actualizarea în regim de urgenţă a sistemul de operare, actualizarea tuturor programelor de pe calculator şi evitarea programelor perimate, dar nu în ultimul rând folosirea unei soluţii de securitate. 

Sute de mii de terminale din companii şi instituţii publice din întreaga lume au fost lovite în luna mai de ameninţările cibernetice de tip ransomware WannaCry şi Adylkuzz, care folosesc o vulnerabilitate prezentă în majoritatea versiunilor sistemului de operare Windows. La mijlocul lunii martie 2017, Microsoft a furnizat un patch care blochează exploatarea vulnerabilităţii MS17-010, dar un număr necunoscut de calculatoare şi servere la nivel global – inclusiv cele care folosesc versiuni învechite ale Windows – nu au primit respectiva actualizare şi riscă să fie infectate în orice moment.

Despre vulnerabilitatea MS17-010, denumită şi EternalBlue, s-a vorbit pentru prima oară în luna aprilie, ca parte dintr-o campanie mai amplă de sustragere de date de către Agenţia Naţională de Securitate din SUA (NSA). De această dată, atacatorii exploatează vulnerabilitatea care ar fi fost folosită atunci în scopuri de spionaj de către agenţii guvernamentale pentru a livra victimelor diverse ameninţări informatice.