Numărul de IP-uri din România afectate de ransomware-ul „WannaCry” a ajuns la 514. Cele mai multe sunt din Bucureşti – 134. Cele mai puţine, în Bihor – 1. În Banat, „fruncea“ e Timişul, cu 12, urmat de Arad, 7, şi Caraş-Severin, cu doar 4 IP-uri afectate, aflăm de la CERT-RO. Care ne trimite la un instrument de decriptare!
Centrul Național de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) a primit, până vineri, cinci notificări de la două companii private, două companii de stat, precum și o persoană fizică, informează Mediafax. Cele mai multe adrese afectate sunt în București (134), Iași (49), Argeș (32), Vrancea (22) și Cluj (21). Cele mai puţine, în Bihor (1), Covasna, Olt, Sălaj (2). În Caraş-Severin, CERT-RO susţine că au fost afectate 4 IP-uri, la fel ca în judeţul Constanţa. Timişul figurează cu 12, iar Aradul, cu 7. CERT-RO avertizează că „atacul este unul extrem de sever, iar răspândirea lui este încă în desfășurare”.
Conform unui comunicat de presă al Agenției Europene pentru Securitatea Rețelelor și Sistemelor Informatice (ENISA), campania WannaCry a atins în jur de 190.000 de sisteme compromise localizate în peste 150 de țări, printre organizațiile afectate regăsindu-se și operatori de servicii de sănătate, energie, transport, finanțe și telecom.
Începând cu a doua parte a zilei de 12 mai, multiple organizații și utilizatori casnici din lume (inclusiv din România, precum Dacia Mioveni) au fost afectați de un malware de tip crypto-ransomware cunoscut sub denumirea de WannaCry (sau WannaCrypt, WanaCrypt0r, WCrypt, WCRY). WannaCry se deosebește de majoritatea campaniilor precedente de amenințări cibernetice de tip ransomware prin faptul că utilizează o capabilitate de răspândire rapidă în rețea specifică viermilor informatici, precizează CERT-RO.
„Până în acest moment, se știe sigur că malware-ul se propagă prin exploatarea unei vulnerabilități a protocolului SMB (Server Message Block) din cadrul sistemelor de operare Windows XP/7/8/8.1, Windows 10 nefiind vulnerabil. WannaCry utilizează un „exploit” (modul de exploatare) publicat de grupul ShadowBrokers cu câteva luni în urmă, odată cu alte unelte de exploatare despre care se presupune că ar fi fost dezvoltate de Agenția Națională de Securitate a SUA (NSA)”, explică CERT-RO.
Instituția amintește că Microsoft a publicat încă din 14 martie 2017 o actualizare de securitate (patch) pentru rezolvarea acestei vulnerabilități: MS17-010, iar sistemele Windows cărora nu le-a fost aplicat acest patch sunt în continuare vulnerabile.
CERT-RO precizează că din cauza debutului campaniei într-o zi de vineri (12 mai) procesul de detecție și răspuns a fost îngreunat. Mai mult, în lipsa unei legislații naționale care să prevadă obligativitatea raportării incidentelor de securitate cibernetică, instituția nu poate realiza o evaluare exactă a numărului de organizații și utilizatori casnici afectați și impactul produs.
Echipa CERT-RO susţine că a apărut „un instrument de decriptare“ publicat pe blogul Comae Technologies şi disponibil la adresa asta.