Enquanto escrevo isso, os relatórios de notícias continuam a rodar ainda o mais recente ataque maciço de resgate global. Desta vez, a carga útil parece ser um ransomware chamado Petya. SonicWall Capture Labs identificou as variantes Petya originais em 2016. No entanto, desta vez parece ser entregue pelo Eternal Blue, uma das façanhas que foi vazada da NSA em abril. Esta é a mesma exploração que foi usada no ataque WannaCry .

Os sistemas infectados exibirão inicialmente um crânio piscante, seguido de uma tela de bloqueio:

Mais uma vez, a corrida de armas cibernéticas continua a evoluir. Se eu fizesse isso até a sua essência, o que agora estamos vendo é que os criminosos cibernéticos estão combinando explorações e ataques de maneiras criativas que não são necessariamente novas, mas ainda bastante eficazes. Como misturar coquetéis, os ingredientes são bem conhecidos, mas a mistura exata pode ser completamente nova.

Detalhes do ataque: os clientes da SonicWall estão protegidos

Hoje, 27 de junho, a SonicWall Capture Labs começou a rastrear um grande número de ataques do Ranksomware Petya contra os clientes da SonicWall. Petya como uma carga útil de malware não é nova. Na verdade, informamos no Relatório de Ameaça SonicWall anual de 2017 que foi o segundo lugar para o Locky no número de infecções que observamos no ano passado. A boa notícia para os clientes da SonicWall que estão usando nossos serviços de segurança é que tivemos assinaturas para certas variantes da Petya desde março de 2016 . Então, em abril de 2017, o Capture Labs analisou e liberou proteção para o recurso Eternal Blue que Shadow Brokers vazou da NSA . Além disso, em 27 de junho, a Equipe de Pesquisa de Ameaças do Capture Labs emitiu um novo alerta com assinaturas múltiplas que protegem os clientes da nova família Petya Ransomware.

Recomendações para os clientes da SonicWall

Como um cliente SonicWall, assegure-se de que seu firewall de próxima geração tenha uma assinatura de Gateway Security ativa atual, a fim de receber proteção automática em tempo real de ataques conhecidos de ransomware, como Petya. O Gateway Security inclui Gateway Anti-virus (GAV), Prevenção de Intrusão (IPS), Filtragem de Botnet e Controle de Aplicação. Este conjunto de tecnologia:

  • Inclui assinaturas contra Petya (parte do GAV)
  • Protege contra vulnerabilidades delineadas no boletim de segurança da Microsoft MS17-010 (parte do IPS)

Uma vez que o SonicWall Email Security usa as mesmas assinaturas e definições do Gateway Security, podemos bloquear os e-mails que fornecem a rota inicial para a infecção. Para bloquear e-mails mal-intencionados, assegure-se de que todos os serviços de segurança de email estão atualizados. Como 65% de todos os ataques de ransomware ocorrem através de e-mails de phishing, isso também precisa ser um foco importante ao dar treinamento em segurança. Além disso, os clientes com o SonicWall Content Filtering Service devem ativá-lo para bloquear a comunicação com URLs e domínios maliciosos, que funcionam de forma semelhante à forma como a filtragem de botnet interrompe a comunicação C & C.

Como mais de 50% do malware é criptografado, como prática recomendada, implemente sempre inspeção SonicWall Deep Packet de todo o tráfego SSL / TLS (DPI SSL). Isso permitirá que seus serviços de segurança SonicWall identifiquem e bloqueiem todos os ataques conhecidos de ransomware. A ativação do DPI SSL também permite que o firewall examine e envie arquivos desconhecidos para o serviço de proteção contra ameaças avançadas (ATP) da SonicWall Capture para análises de sandbox multi-engine. Recomendamos que você implante Capture ATP para descobrir e parar variantes de ransomware desconhecidas. Devido à rápida proliferação de variantes de malware, a SonicWall aproveita os algoritmos de aprendizado profundo para fornecer proteção automatizada contra ameaças conhecidas e zero-dia. A combinação da SonicWall Capture Threat Network e do SonicWall Capture ATP sandboxing fornece a melhor defesa contra novos ataques híbridos, como o Petya. Como sempre, recomendamos que você também aplique o patch do Windows fornecido pela Microsoft para proteger contra as explorações de Shadow Brokers. E é sempre uma boa idéia manter backups atuais de todos os dados críticos para permitir a recuperação no caso de um evento ransomware.

Convencido da importância de ter um bom Firewall na sua empresa? Entre em contato com a One Linea e conheça nossas soluções de segurança para sua empresa.

 

Fonte: SonicWall