Fortinet xin cập nhật một vài thông tin về biến thể ransomware mới này để mọi người biết và có thêm thông tin trao đổi với khách hàng nhé.
Hiện tại thì khách hàng của Fortinet được bảo vệ từ tất cả các hướng tấn công của biến thể ransomware mới Petya này bởi giải pháp ATP, IPS và NGFW. Ngoài ra, AV team cũng đã phát hành một bảng cập nhật antivirus mới sau một vài giờ phát hiện ra biến thể này để có thể nâng cao sự phòng chống ở bước đầu tiên. Dưới đây là những khuyến nghị cập nhật của Fortinet tới khách hàng để tự bảo vệ hệ thống của mình dưới đợt tấn công này.
Petya - Một mã độc mới còn nguy hiểm hơn cả Wannacty?
?AV Signature: W32/Petya.EOB!tr, W32/Agent.YXH!tr
?IPS Signature: – – MS.Office.RTF.File.OLE.autolink.Code.Execution (Created on 13/04/2017, Last Updated on 19/06/2017)
– MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code. Execution (Created on 14/03/2017, Last Updated on 05/06/2017)
?Sandbox: Fortinet Sandbox (FSA) có thể phát hiện được biến thể ransomware này.
?TOR Communications: Block TOR outbound traffic thông qua AppControl Signature
?Cập nhật những bản vá của Microsoft:
Security Update for Microsoft Windows SMB Server: March 14, 2017
Security update for Office 2016: April 11, 2017Hiện biến thể ransomware Petya đang gây ảnh hưởng đến nhiều ngành công nghiệp và tổ chức bao gồm các cơ sở hạ tầng quan trọng như năng lượng, ngân hàng và các hệ thống giao thông. Đây là thế hệ ransomware mới được thiết kế để tận dụng lợi thế kịp thời của các khai thác gần đây. Phiên bản hiện tại đang nhắm đến những lỗ hổng tương tự đã bị khai thác trong cuộc tấn công WannaCry tháng 5 vừa qua. Trong biến thể này, thay vì nhắm mục tiêu vào một tổ chức, nó sử dụng phương pháp tiếp cận rộng để nhắm mục tiêu đến bất kì thiết bị nào mà nó phát hiện worm được cài vào có thể khai thác được hệ thống này. Theo thông tin từ phía Fortinet ghi nhận được, dường như cuộc tấn công này bắt đầu với việc phân phối một tài liệu Excel, tận dụng một khai thác Microsoft Office đã biết. Một khi thiết bị bị nhiễm qua vector này, Petya bắt đầu sử dụng cùng một lỗ hổng được WannaCry sử dụng để lây lan sang thiết bị khác. Hành vi giống như worm của biến thể này chính là do sự thăm dò chủ động của nó đối với một máy chủ SMB. Nó được lan rộng qua EternalBlue và WMIC.Khi một thiết bị bị khai thác, Petya sẽ làm hỏng Master Boot Record (MBR) trong suốt chu trình lây nhiễm. Sau đó, nó thông báo cho người dùng một thông báo ghi khoản tiền chuộc $300 trong tiền tệ Bitcoin để có thể truy cập được những dữ liệu đã mã hóa trên máy tính và việc tắt máy tính sẽ dẫn đến việc mất toàn bộ hệ thống. Đây là một chiến thuật khác so với đồng hồ đếm ngược hoặc việc tẩy xóa dần các tập tin dữ liệu như trong các phiên bản trước của ransomware. Chính vì Petya làm hỏng MBR nên nguy cơ mất mát toàn bộ hệ thống là rất cao. Ngoài ra, nó khởi tạo một khởi động lại của hệ thống trên một giờ đồng hồ, bổ sung thêm một yếu tố từ chối dịch vụ để tấn công.Bên cạnh việc khai thác Microsoft Office, Petya sử dụng cùng một vector tấn công như WannaCry, khai thác lỗ hổng Microsoft đã được Shadow Brokers phát hiện ra từ đầu năm nay. Tuy nhiên vì các vectors tấn công bổ sung đã được sử dụng trong khai thác này nên việc vá một mình sẽ không đủ để ngăn chặn hoàn toàn việc khai thác này, do đó cần phải kết hợp giữa các bản vá và nhiều công cụ bảo mật bên cạnh những best practices để có thể ngăn chặn hoàn toàn cuộc tấn công này. Tuy nhiên, những khách hàng của Fortinet sẽ hoàn toàn yên tâm vì đã được bảo vệ bởi các giải pháp ATP, IPS và NGFW.
Mọi chi tiết vui lòng liên hệ Công ty Việt Nét:
Email: sales@vietnetco.vn
Hotline: 1-900-6736