Interviu cu Mircea Grigoraş, Director General Adjunct CERT-RO: „Vor mai exista și alte variante de ransomware care vor încerca să exploateze alte vulnerabilități cunoscute până în prezent sau nu”

Pericolul amenințărilor informatice nu a dispărut după valul de amenințări WannaCry. Numeroși utilizatori ai sistemelor de operare Windows XP au devenit victimele amenințărilor cibernetice de tip ransomware, aducând din nou în prim plan problematica reprezentată de breșele existente în sistemele de securitate, precum și modul în care utilizatorii sistemelor de operare reușesc să se protejeze în fața unor astfel de atacuri.

Mircea Grigoraş, Director General Adjunct CERT-RO, ne vorbeşte despre măsurile de protecţie şi provocările la care suntem expuşi în faţa ameninţărilor WannaCry, în interviul pe care l-a oferit lui Vladimir Adrian Costea, pentru Europunkt.

Vladimir Adrian Costea: Care sunt principale “metode” după care acționează atacurile cibernetice WannaCry? În ce constă originalitatea acestor atacuri?

Mircea Grigoraş: În prezent nu se știe cu exactitate care a fost vectorul inițial de infecție, existând două variante posibile:

• Atacul inițial a constat într-o campanie de tip email phishing/spear-phishing, urmată de propagarea infecției și la alte sisteme Windows accesibile prin rețea și vulnerabile;
• Spațiul de adrese IP publice din Internet a fost scanat pentru a identifica sistemele Windows expuse și vulnerabile, acestea fiind ulterior exploatate de la distanță.

Varianta inițială a malware-ului WannaCry dispune de un mecanism de dezactivare („kill switch”) care funcționează astfel: odată reușită exploatarea unui sistem informatic, malware-ul verifică mai întâi dacă poate realiza o conexiune către un anume domeniu web, iar în caz afirmativ nu mai pornește procesul de criptare a fișierelor de pe stația compromisă.

Care sunt breșele din sistemele de securitate care sunt exploatate de atacatori?

Malware-ul se propagă prin exploatarea unei vulnerabilități a protocolului SMB (Server Message Block) din cadrul sistemelor de operare Windows XP/7/8/8.1. Windows 10 nu este vulnerabil.

WannaCry utilizează un „exploit” (modul de exploatare) publicat de grupul ShadowBrokers cu câteva luni în urmă, odată cu alte unelte de exploatare despre care se presupune că ar fi fost dezvoltate de Agenția Națională de Securitate a SUA (NSA).

Compania Microsoft a publicat încă din 14 martie 2017 o actualizare de securitate (patch) pentru rezolvarea acestei vulnerabilități: MS17-010. Cu toate acestea, sistemele Windows cărora nu le-a fost aplicat acest patch au rămas vulnerabile.

Care este impactul pe care amenințările WannaCry l-au generat asupra utilizatorilor de Windows? Care este numărul victimelor acestor atacuri?

La nivel internațional se vehiculează cifra de aproximativ 200.000 de sisteme compromise. În ceea ce privește impactul, acesta este diferit pentru fiecare dintre cele în jur de 150 de țări afectate deoarece sistemele compromise sunt diverse, aparținând și unor organizații ce oferă servicii esențiale în domenii precum sănătate, energie, transport, finanțe și telecom.

În ce măsură amenințările WannaCry pot să reapară în viitorul apropriat?

WannaCry nu este o amenințare singulară, ci face parte dintr-o categorie denumita generic crypto-ransomware sau ransomware. Această amenințare a apărut în octombrie 2013, primul ransomware fiind Crypto-Locker. Ce este deosebit la acest ransomware este modul de răspândire în rețea.

Prin urmare, cu siguranță vor mai exista și alte variante de ransomware care vor încerca să exploateze alte vulnerabilități cunoscute până în prezent sau nu.

Cum a fost afectată România de aceste atacuri cibernetice? Cum evaluați reacția instituțiilor statului?

Conform informațiilor deținute până în prezent, 326 de adrese IP publice din România au realizat conexiuni către un domeniu web asociat campaniei ransomware WannaCry.

Datorită modului în care funcționează acest malware, este posibil ca pe unele dintre sistemele informatice ce au realizat aceste conexiuni să se fi inhibat procesul de criptare a datelor.

De asemenea, având în vedere că printr-un IP public pot comunica mai multe sisteme informatice, este posibil ca numărul sistemelor afectate să fie mai mare. Din estimările noastre, în România au fost afectate aproximativ 70 de organizații, majoritatea private.

Încă din după amiaza zilei de vineri 12 mai 2017, când s-au înregistrat primele semne ale fenomenului la nivel mondial,  CERT-RO a constituit o echipă de monitorizare a evoluției campaniei WannaCry la nivel național.

CERT-RO a coordonat măsurile derulate inclusiv la nivelul Ministerului Comunicațiilor și Societații Informaționale, fiind în contact permanent cu multe instituții ale statului care încă de sâmbătă au deplasat la sedii personalul IT pentru a putea răspunde în caz de nevoie. În acest context, apreciez că instituțiile statului au avut o reacție promptă.

Care sunt măsurile pe care le considerați necesare pentru a proteja sistemele de securitate în fața acestor atacuri?

În vederea contracarării amenințării WannaCry, utilizatorii sistemelor de operare Windows sunt sfătuiți să întreprindă următoarele măsuri:

1. Realizarea de copii de siguranță periodice (backup);
2. Aplicarea patch-ului de securitate MS17-010,
3. Utilizarea unui antivirus/anti-malware eficient și actualizat;
4. Segmentarea rețelei și implementarea unor reguli de firewall care să blocheze traficul de rețea inutil (spre exemplu porturile SMB: 139, 445);
5. Asigurați-vă că domeniul com este accesibil, ținând cont de faptul că malware-ul nu comunică prin web proxy. Eventual instalați unealta oferită de CCN-CERT care previne executarea malware-ului:

https://www.ccn-cert.cni.es/en/updated-security/ccn-cert-statements/4485-nomorecry-tool-ccn-cert-s-tool-to-prevent-the-execution-of-the-ransomware-wannacry.html;

6. Manifestarea unei atenții sporite la deschiderea fișierelor și link-urilor provenite din surse necunoscute/incerte, mai ales cele din mesajele email;

De asemenea, CERT-RO a realizat și „Ghidul privind combaterea amenințărilor informatice de tip ransomware”, disponibil la adresa:

https://cert.ro/vezi/document/ghid-protectie-ransomware.

Care sunt provocările pe care le-au generat amenințările WannaCry asupra sistemelor de securitate?

Cred că o provocare a fost faptul că nu întotdeauna administratorii de sistem pot să implementeze în propriile rețele ultimele patch-uri din cauza obligativității menținerii unor aplicații vechi de care depind anumite procese funcționale. În acest caz, poate WannaCry va fi un semnal de alarmă pentru actualizarea respectivelor aplicații.

În alte cazuri, lipsa update-urilor a fost cauzată de neglijență sau de ignoranță, iar în aceste situații, sistemele de securitate nu pot să protejeze deoarece este vorba de inteferența umană în sistemele informatice.

Mircea Grigoraș este un profesionist cu experiență în domeniul securității informatice, cu aproape 6 ani de experiență în investigarea atacurilor cibernetice relevante pentru securitatea națională și peste 9 ani de lucru pe probleme de securitate națională. El este director general adjunct al CERT-RO din ianuarie 2014, unde coordonează reacția și răspunsul la incidentele de securitate cibernetică la nivel național, cooperarea cu alte instituții care se ocupă de răspunsul și investigația în domeniul securității cibernetice, precum și cooperarea cu sectorul privat în identificarea și atenuarea amenințărilor cibernetice.

Este membru al mai multor grupuri de lucru și comitete de lucru la nivel european, precum și grupuri internaționale de experți în domeniul securității rețelelor și a informațiilor și a participat ca antrenor la mai multe proiecte europene în domeniul criminalității informatice și al securității informatice.