WannaCry vs Panda Adaptive Defense: 0-1

Hackers är numera högutbildade organisationer med tillgång till mycket sofistikerade och lättillgängliga verktyg och tekniker. Cyberattacker har därmed blivit professionella och deras ekonomiska lönsamhet har visat sig otaliga gånger, vilket de senaste åren gjort det till en miljarddollarindustri.

Ekonomisk vinst och att äventyra de konfidentiella uppgifterna för globala företag är huvudmålen för dessa hot. WannaCry är det senaste ransomware som har globala konsekvenser.

Vad är ursprunget till WannaCry?

I början av arbetsdagen på fredagen den 12 maj började Panda Securitys avancerade skyddslösningar Adaptive Defense och Adaptive Defense360 framgångsrikt upptäcka och blockera ett stort antal attacker som utnyttjade EternalBlue-sårbarhet och Exploit WannaCry Ransomware. Omfånget av attackerna nådde nästan alla hörn av världen.

Ransomwareattacken påverkade vissa sårbara Microsoft Windows-system, krypterade alla dess filer och de nätverksenheter som de var anslutna till och infekterade andra sårbara Windows-system i samma nätverk. Processen slutar med ett lösenbegär för dess dekryptering, som uppgås till $ 300 i BitCoin för varje dator som ska dekrypteras.

Vad gör WannaCry annorlunda från andra attacker vi har sett så här långt?

Styrkan i denna kampanj kan kokas ner till exploatering av en sårbarhet. Med andra ord behövdes inte nödvändigtvis mänskligt ingripande, såsom tidigare vanliga exempel av att öppna ett e-postmeddelande eller ladda ner något från internet för att få tillgång till ett system.

Denna metod gjorde följande möjligt:

• Anfallet ägde rum nästan samtidigt på hela jorden och utan användarnas ingripande. Det är därför en massiv attack utan mänskliga hinder.
• Infektionen påverkar alla anslutna Windows-enheter i samma nätverk som inte uppdateras korrekt. Infektion av en enda dator kan äventyra hela företagsnätverket.

Traditionella skyddslösningar som syftar till att stoppa skadliga filer kan inte blockera attacker som utnyttjar denna eller andra sårbarheter för att komma in i datorn och nätverket. Konsekvensen (då de flesta använder traditionellt skydd) har varit att cyberattacken kunnat sprida sig till över 150 länder och påverkat över 200 000 användare (främst företag och offentliga institutioner).

Ta en titt på vår infographic som beskriver utvecklingen av #WannaCry-attacken.

Hur kan jag skydda mig själv?

I detta sammanhang måste lösningen innebära en strukturellt annorlunda inställning till traditionella säkerhetsprodukter. Om angriparen utnyttjar det faktum att antivirusprogrammet inte är bekant med att skadlig programvara används, blir en modell som fokuserar exakt på att kontrollera vad som är okänt nödvändig.

I de senaste fallen som undersökts av PandaLabs har vi sett nya varianter av attacker, där det inte används skadlig programvara som sådan, utan de förlitar sig snarare på skript och användningen av operativsystem för att undvika att detekteras - ett tydligt exempel på självförtroende och professionalism som cyberkriminella har förvärvat de senaste månaderna.

WannaSaveU; cybersäkerhetens motattack

Institutioner såsom Spanish National Cryptological Center är beroende av den nya modellen för skydd, övervakning och synlighet som erbjuds av Panda Securitys lösning Panda Adaptive Defense för att göra sin officiella rapport om den skadliga koden WannaCry.

Det är mycket möjligt att nya attacker uppstår med varianter som utnyttjar sårbarheten som utnyttjas i EternalBlue, men använder andra skadliga program. Av denna anledning rekommenderar vi på Panda Security starkt:

• Uppdatera (patcha) era datorer med de senaste säkerhetsuppdateringarna som utgivits av tillverkaren.
• Använd adekvata skyddsåtgärder som nästa generations anti-virus / anti-malware-lösningar mot avancerade attacker och brandväggar.
• Öppna inte filer, bilagor eller länkar från otillförlitliga e-postmeddelanden eller svara på den sortens e-post.
• Var försiktig när du klickar på länkar i e-postmeddelanden, snabbmeddelanden och sociala nätverk, även om de kommer från kända kontakter.
• Gör regelbundna säkerhetskopior av din data, särskilt på de mest känsliga eller viktiga enheterna.

Och för att hantera kommande liknande attacker rekommenderar vi att du gör följande steg:

• Alla klienter måste uppdateras med Microsoft-patchen för denna SMB-sårbarhet. Denna sårbarhet är en öppen dörr till hackare.
• Vi måste vara uppmärksamma. På Panda Security observerar vi och undersöker vad vi ser på våra kunders enheter för att förutse någon form av mutation av masken eller någon annan variant som redan kunde ha levererats i nätverket på grund av bristen på sårbara patchar.

Tack vare den insyn i vad som hände som Adaptive Defense ger oss och möjligheterna att förebygga, upptäcka och genomföra nödvändiga åtgärder för att reagera omedelbart, skyddades våra kunder från de allra första minuterna av attackernas exploit. Det avancerade skyddet i Adaptive Defense, som genom den nya skyddsmodellen som använder kontinuerlig övervakning och klassificering, har återigen visat sig vara det enda vapnet mot denna sortens attacker.

Ladda ner den tekniska rapporten här.