Dubex Security Alert: WannaCry anbefalinger

Sidste uges omfattende ransomware-angreb har sat it-sikkerhed på dagsordenen i hele verden. Siden angrebet blev kendt har vores konsulenter undersøgt de tekniske detaljer og samlet en række anbefalinger.

Dubex Security Alert: WannaCry anbefalinger

Ransomware er ikke et nyt fænomen. I løbet af de sidste 5 år har vi set en støt stigning i antallet af ransomware-angreb. Det der er nyt denne gang er, at vi for første gang ser ransomware spredes som en netværksorm. Det der kendetegner en ”orm” er, at den er i stand til at sprede sig selv til flere computere, når den først har inficeret en enkelt maskine i et netværk.

Vi har ikke set en lige så effektiv orm i henved 10 år.

I det aktuelle tilfælde er der tale om en type ransomware, der går under navne som WannaCrypt, WannaCry, WanaCrypt0r, WCrypt, WCRY. Virussen udnytter en sårbarhed i alle versioner af Windows, der er ældre end Windows 10, hvis der ikke er patchet for MS-17-010. Den udnytter EternalBlue MS17-010 og gemte RDP-forbindelser til at sprede sig.

En anden markant ting ved denne variant er, at det værktøj, der udnytter sårbarheden, oprindeligt er udviklet af en statslig aktør, i dette tilfælde NSA.

Hos Dubex har vi længe gjort opmærksom på, at hackerne bliver stadig dygtigere og mere ressourcestærke. Derudover bliver tiden fra en opdatering kommer ud og til den underliggende sårbarhed bliver misbrugt kortere. Derfor er hurtig og løbende sikkerhedsopdatering af systemer en kritisk, men ofte nedprioriteret, del af sikkerhedsindsatsen.

Samtidig ser vi, at hackernes våben  gøres tilgængelige online – også for ikke-tekniske brugere. Det bliver med andre ord nemmere og nemmere at gennemføre et angreb og tjene penge på cyberkriminalitet. Det har kun været et spørgsmål om tid, før efterretningstjenesternes værktøjer også blev gjort tilgængelige.

WannaCry-angrebets omfang er sjældent set, men det er formodentlig ikke sidste gang, at vi ser denne type angreb.

Den første bølge af angrebet stoppede af sig selv, da en britisk malware-specialist registerede et domæne, der fungerede som en såkaldt kill switch, eller slukknap, for virussen.  I løbet af weekenden har vi set endnu en angrebsbølge. Den variant, der bruges her, har efter sigende ikke den samme killswitch. Derfor er det vigtigt, at du hurtigst muligt følger nedenstående anbefalinger for at undgå en kompromittering med WannaCry.

Kontakt Dubex her eller på tlf. 3283 0430 hvis du har brug for hjælp eller vil vide mere om hvordan du bedst sikrer din virksomhed mod digitale trusler.

Dubex’ anbefalinger i forbindelse med WannaCry

  1. Sørg for at domænet “iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com” er tilgængeligt for alle hosts. I den første bølge af WannaCry fungerer domænet som en såkaldt kill switch, der stopper malwaren. Bemærk at malwaren ikke er ”proxy aware” og at alle maskiner skal have direkte internetadgang til domænet eller et lokalt ”sinkhole” gennem virksomhedens DNS-system.
     
  2. Bloker indgående trafik på tcp port 445 mellem alle arbejdsstationer og servere på tværs af netværkssegmenter, hvor det ikke er krævet. Eventuelt mellem alle maskiner indtil sikkerhedsopdateringen er overstået.

    Overvej at lave blokeringen på de primære firewalls samt aktivere host firewalls på de enkelte endpoints. For Check Point-kunder kan dette eksempelvis gøres via Check Point endpointserveren for relevante endpoints ellers kan det gøres via GPO på Windows firewalls på de resterende hosts.
     
  3. Tjek om MS17-010 patchen er installeret på alle hosts. Hvis dette ikke er gjort, bør du gøre det øjeblikketligt. Hent patchen her. Hvis du ikke kan finde informationen i virksomhedens Configuration Management Data Base (CMDB) eller patch management-værktøj, eksempelvis Flexera CSI, kan Dubex’ konsulenter hjælpe med at skanne hele dit lokale netværk for sårbare maskiner og efterfølgende komme med konkrete anbefalinger.

    Microsoft har I weekendens løb frigivet sikkerhedsopdateringer til Windows XP, Windows 8 og Windows Server 2003, der ellers ikke længere supporteres. Hent opdateringerne her.

    Hvis det ikke disse opdateringer godkendes automatisk, er det vigtigt at det, hurtigst muligt, gøres manuelt på virksomhedens Windows Update-servere.

    Hvis du af en eller anden årsag ikke kan opdatere en maskine, kan du deaktivere SMBv1-protokollen, som angrebet er målrettet, på de berørte hosts. Dette gøres under “Windows features”. Se hvordan her.
    Vær opmærksom på at dette vil deaktivere muligheden for fildeling på maskinen.
     
  4. Scan indgående mailtrafik. Sørg for at opdatere anti-malware filtre på jeres e-mailskanningsløsning og bloker alle mails med links til .onion-adresser på TOR-nettet, samt – hvis muligt – alle Office-dokumenter, der indeholder makroer (typisk med extensions .xlsm, .docm og .pptm.)
     
  5. Se også vores generelle vejledning om ransomware.

Vil du vide mere om hackernes metoder og hvordan du bedst sikrer din organisation? Deltag på Dubex Security & Risk Management Update 2017 den 1. juni i Horsens. Deltagelse er gratis, men kræver tilmelding.