עמדות טרנד מיקרו המוגנות ב אופיס סקאן 12 (XGEN ) או TMVP (Vulnerability Protection) וכן שרתים וירטואלים או פיזים המוגנים על ידי - (כולל IPS ) Deep Security – מחוסנים אוטומטית מול סוג ההתקפה הנוכחי
ביממה האחרונה זוהו מתקפות כופרה מאסיביות נגד עשרות מדינות באירופה בהן ספרד, בריטניה, רוסיה ופורטוגל באמצעות משפחת כופר בשם .Wanna Cry/Wcry ערוץ ההתפשטות מנצל פגיעות מוכרת של מיקרוסופט. התקיפה מנצלת חולשת אבטחה, שפורסמה בהדלפות Shadow Brokersבמהלך חודש שעבר. ה-Shadow Brokersהיא הקבוצה שהפיצה בשנה שעברה כלי פריצה שנגנבו מהסוכנות לביטחון לאומי של ארה"ב (NSA).
ערוץ ההתפשטות של הכופרה מנצל פגיעות מוכרת של מיקרוסופט ,MS17-010 שתוקנה במרץ 2017 וכולל פגיעות בפרוטוקול.SMB V1מיקרוסופט אכן קבלה התרעה על הפרצה אולם לא הספיקה לייצר את Patch בזמן.
במחשבים שנפגעו הופיעה הודעת כופר ובה דרישה לשלם 300 דולרים בביטקוין כדי לשחרר את הנעילה. על התשלום להיות מועבר תוך 3 ימים ולא, גובה הכופר יוכפל. אם הכסף לא יתקבל תוך שבוע – כל הקבצים יימחקו.
תמיר סגל, מנהל הפעילות של Trend Micro בישראל מסביר כי בשנה האחרונה מנסים אנשי החברה להסביר ללקוחותיהם עד כמה נושא ה Patching קריטי להגנת הארגון. " מכיוון שניהול Patches בארגון נחשב לעבודה סיזיפית פיתחנו את Virtual patching שפותר את הארגון מהצורך לנהל את העניין. הפתרון נמצא ב TMVP לתחנות קצה ו HIPSב Deep Securityלקוחות שלנו שהתקינו את פתרון ה- Virtual patching לא נפגעו מהמתקפה.
דיווחים רבים אודות המתקפה התקבלו מלפחות 16 בתי חולים ברחבי בריטניה. בספרד, אחת הנפגעות העיקריות היא ענקית התקשורת .Telefónicaכמו כן, נפגעו חברת MegaFonהרוסית, המשטרה הרוסית ומשרד הפנים הרוסי .הנסיון לפגוע בבנקים וברכבת ברוסיה נכשל . נפגעה גם חברת הרכב הצרפתית רנו., חברות שונות בפיליפינים ווייטנאם ובכמה מדינות נוספות אחרות מחוץ לאירופה כמו כן דווח כי חברת המשלוחים האמריקאית FedEx.גם נפגעה.
עוז עדן, מנהל מכירות ב- Trend Micro ישראל מסר כי: "הכותרות בעולם מראות היסטריה, עדין לא ברור מי הגופים שמסתתרים אחרי המתקפה אולם תיאום כגון זה דורש משאבים של מיליוני דולרים. חוסר האונים של חברות יגרום לתשלומי כופר בסכומי עתק, עובדה שתגביר את עוצמת ההתקפה.
הפתרון של Trend Micro
Trend Micro OfficeScan 12 משלב את גישת ה XGEN שפותחה על ידי החברה, הפתרון עושה שימוש בלמידת מכונה מדויקת עם טכנולוגיות זיהוי יוריסטיות נוספות ומונע אפשרות הדבקה של המחשב בסוג נוזקת הכופר המתוארת למעלה.
בנוסף Trend Micro מציעה ללקוחותיה להתקין את רכיב TMVP שמייצר מעטפת Virtual patching שאינה מאפשרת למתקיף גישה לפרצות מסוג זו שהתגלתה במיקרוסופט, גישה זו ייחודית ל Trend Micro וניתנת להתקנה בסביביות Windows ו לינוקס.
גם רשתות המוגנות על ידי פתרון ה IPS מסוג Tipping Point של Trend Micro – מוגנות.
המלצות:
יש לוודא התקנת העדכון של מיקרוסופט בהקדם האפשרי,https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.
רצוי לשקול לכבות SMB V1 בשרתים במידה ואין פגיעה בפעילות הארגונית.
יש לוודא, ששרתי SMB לא נגישים מהאינטרנט.