Gagnagíslataka - Petya

Fréttir hafa borist af gagnagíslatökuárás í nokkrum löndum, þ.m.t. Danmörku, Bretlandi, Úkraínu og Rússlandi sem að líkindum beitir nýju afbrigði af s.k. Petya spillihugbúnaði. Óværan dulkóðar skrár á hörðum diski notenda en að auki eru vísbendinar um að hún ræni notendaupplýsingum. Þetta afbrigði mun vera nokkuð ólíkt fyrri útgáfum Petya og hefur verið nefnt NotPetya af sumum rannsakendum. Ekki hafa borist upplýsingar um atvik hérlendis en ástæða er til að hafa varann á.

Smitleið óværunnar er að öllum líkindum fyrst og fremst með viðhengi í tölvupósti, að því er virðist með því að nýta textaskjöl og RTF veikleika CVE-2017-0199. Önnur smitleið eru netsamskipti sem nýta sér sama veikleika og WannaCry herferðin fyrr á árinu, þe. MS17-010 sem EternalBlue byggði á. Einnig eru vísbendingar um að óværan notist við WMIC og PSEXEC tólin í Windows á jafnvel fulluppfærðum vélum.

Samkvæmt heimildum mun póstfangi sem fram kemur í fjárkúgunarbréfi, wowsmith12345[@]posteo.net, hafa verið lokað. Því eru tölvupóstsamskipti við þrjótana illmöguleg sem gerir endurheimt gagna ólíklega. Því er sterklega mælt gegn því að lausnargjald sé greitt.

CERT-IS óskar eftir tilkynningum um atvik sem kunna að eiga sér stað á netfangið cert@cert.is. Mikilvægt er að upplýsingar um atvik séu sem ítarlegastar og gögnum, s.s. fjárkúgunarbréfum og spillikóða, sé haldið til haga til greiningar. Fullum trúnaði er heitið varðandi allar upplýsingar sem berast til CERT-IS og engar upplýsingar um fyrirtæki eða persónu sem tilkynnir veittar til þriðja aðila nema að fengnu samþykki tilkynnanda. Leiðbeiningar um tilkynningu atvika er að finna á heimasíðu CERT-IS.

Staða mála verður uppfærð eftir þörfum.

Ógn

Petya/NotPetya/PetrWrap

Gagnagíslataka (ransomware). Hugsanlega með einingum sem senda notendaupplýsingar. Ekki liggur fyrir hvort um er að ræða raunverulega gagnagíslatöku eða hvort aðalmarkmið er að spilla vélum, þe. dulkóða eða eyða skrám og stýrikerfishlutum án raunhæfs möguleika á endurheimtu.

Kerfi veik fyrir árásinni

Ekki að fullu ljóst á þessu stigi en rétt að gera ráð fyrir að allar útgáfur Windows séu veikar fyrir.

Tilvísanir

Vísar (Indicators-of-compromise)

Vísalisti er ekki tæmandi og bendum við á m.a. neðangreinda upplýsingaveitu:

Póstföng:

  • wowsmith12345[@]posteo.net

Hugsanlegar hakkasummur skráa sem tengjast óværunni:

  • 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
  • 8143d7d370015ccebcdaafce3f399156ffdf045ac8bedcc67bdffb1507be0b58
  • 34f917aaba5684fbe56d3c57d48ef2a1aa7cf06d
  • 64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1
  • 71b6a493388e7d0b40c83ce903bc6b04
  • 752e5cf9e47509ce51382c88fc4d7e53b5ca44ba22a94063f95222634b362ca5

Ráðstafanir

  • Mikilvægt er að uppfæra stýrikerfi með nýjustu öryggisuppfærslum og allan varnarbúnað, s.s. vírusvarnir, IDS og eldveggi, og tengd reglusett. Sérstaklega mikilvægt er að setja inn uppfærslur sem varða veikleika MS17-010.
  • Mælt er með að tryggja TCP port 445 gegn tengingum utan eigin nets. Einnig er mælt með að óvirkja SMBv1 þjónustuna eða uppfæra í nýrri útgáfur
  • Mælt er með að óvirkja WMIC sem er hugsanleg þriðja dreifileið óværunnar.
  • Tryggja afritatöku til að viðkvæm gögn tapist ekki ef kerfi sýkjast af óværunni. Mikilvægt er að geyma afrit þannig að ekki sé hætta á að óværan nái til þeirra, þ.e. treysta ekki á nettengd drif sem eina afritunarmátann.
  • Vert er að brýna fyrir starfsfólki að varast hlekki og viðhengi í óumbeðnum tölvupósti.

Almennt um undirbúning og viðbrögð gegn gagnagíslatöku

  • Auka þarf vitund notenda um vefveiðaárásir (e. phishing) sem eru ein stærsta dreifileiðin fyrir óværur, þ.m.t. gagnagíslatöku spillihugbúnað. Allir notendur ættu að varast hlekki og viðhengi í tölvupósti, sérstaklega ef hann er óumbeðinn og/eða frá ókunnuglegum sendanda.
  • Uppfæra stýrikerfi og allan hugbúnað reglulega í nýjustu útgáfur. Einnig fjarlægja ónotaðan og ónauðsynlegan hugbúnað. Mikilvægt er að setja reglulega inn öryggisuppfærslur.
  • Huga að vörnum, bæði á endabúnaði og netlagi, halda búnaði uppfærðum og uppfæra reglusett ört.
  • Taka afrit af öllum nauðsynlegum gögnum og gera áætlanir um hvernig bregðast beri við gagnamissi, hvort sem er vegna gagnagíslatöku eða bilana.
  • Séu gögn dulrituð með gíslatökubúnaði er fyrsta skrefið að einangra viðkomandi tölvu strax til að koma í veg fyrir smit til annarra véla og dulritun á nettengdum drifum. Næsta skref er að leita uppi spillikóðann, t.d. með vírusvarnabúnaði, og óvirkja ef hægt er. Séu til afrit er best að hreinsa viðkomandi tölvu til fulls, setja aftur upp stýrikerfi og allan nauðsynlegan búnað með öryggisuppfærslum. Þegar búið er að tryggja öryggi tölvunnar er hægt að keyra inn afrit og setja hana í rekstur aftur.
  • CERT-IS mælir ekki með að lausnargjald sé greitt nema kannað hafi verið til fulls hvort óbætanleg gögn séu annars óendurkræf. Sé tekin ákvörðun um að greiða lausnargjaldið mælum við með að haft sé samráð við þjónustuaðila eða öryggissérfræðinga til að aðstoða í því ferli.
  • Vert er að fylgjast með NoMoreRansom verkefninu sem birtir oft gagnlegar upplýsingar um viðbrögð við gagnagíslatöku.

Uppfært 28.06.2017 11:00