Ti aiutiamo a gestire gli attacchi ransomware

Microsoft ha appena rilasciato patch per Windows XP, Windows 8 e alcune piattaforme server che non erano originariamente incluse nell'aggiornamento MS17-010.

Inoltre, abbiamo visto anche una nuova variante di WannaCry che non utilizza l'interruttore "killswitch" originale. I ricercatori ora sospettano che questo meccanismo sia in realtà un tentativo di aggirare il motore di analisi dinamica che risponde automaticamente alle richieste GET per evitare il rilevamento.

Descrizione originale:

Un ransomware autoreplicante-chiamato Wanna, WannaCry o Wcr sta distruggendo i computer in tutto il mondo. Dalle prime informazioni risultava che la diffusione iniziale nella maggior parte delle aziende avveniva tramite metodi tradizionali, principalmente e-mail e file PDF della botnet Necurs. WannaCry è unico in quanto può diffondersi rapidamente attraverso le reti abilitate SMBv1 a partire dal primo paziente.

Questo strumento di esecuzione-remota-codice-non certificato SMBv1 è stato rilasciato dall'organizzazione "Shadow Broker" il 14 aprile 2017. Viene chiamato informalmente "Eternal Blue" e Microsoft lo ha menzionato attivamente nel bollettino sulla sicurezza MS17-010 del 14 marzo.

Dai un'occhiata all'esempio pubblico "Eternal Blue" di seguito e facci capire perché questo ransomware può diffondersi in modo efficiente; può essere diffuso in un'azienda vulnerabile senza alcuna azione da parte degli aggressori.

Dopo che Microsoft ha rilasciato la patch corrispondente (MS17-010), molti utenti non l'hanno ancora distribuita.

Sebbene il ransomware sia molto preoccupante, i clienti che hanno adottato la soluzione di sicurezza di Juniper possono sentirsi relativamente più a loro agio e il loro ambiente è protetto. Rivediamo le funzionalità di WannaCry e gli strumenti disponibili per prevenirne lo scoppio.

Innanzitutto, è probabile che i clienti che hanno implementato la nostra soluzione avanzata di protezione malware nel cloud SkyATP siano protetti a più livelli:

Attraverso la sicurezza e gli aggiornamenti push intelligenti delle informazioni di SkyATP, la comunicazione tra l'utente e la botnet Necurs viene automaticamente troncata; l'accesso interno può essere rifiutato dal firewall SRX di Juniper;

Se non utilizzi le informazioni di sicurezza basate sulla rete-di cui sopra per la protezione degli aggiornamenti push, la funzione anti-malware di SkyATP può essere identificata da WannaCry attraverso la sua solida pipeline di rilevamento multi-segmento (incluso rilevamento basato su firma-, analisi statica di machine learning e truffe basate su sandbox-meccanismo di analisi dinamica). Fino ad ora (12 maggio), abbiamo analizzato 24 casi indipendenti, tutti identificati e catturati entro 30 secondi;

Sulla base del meccanismo di implementazione di cui sopra, si presuppone che anche se SkyATP non blocca il download iniziale del file, una volta che SkyATP riconosce che il file è dannoso, può trasmettere queste informazioni ai dispositivi SRX di varie aziende, isolando così i dannosi a livello di rete. software.