Ransomware Nyetya nejspíš začal po aktualizaci účetnického softwaru

Útoky ransomwaru Nyetya, který se šíří po celém světě, podle bezpečnostního týmu Cisco Talos začal pravděpodobně na Ukrajině po aktualizaci softwaru na ukrajinské daňové účetnictví zvané MeDoc.

Malware Nyetya je po WannaCry teprve druhý ransomware, který se šíří jako virus typu červ (tzn. v celé síti, nikoliv pouze do infikovaného zařízení). Jakmile ransomware pronikne do systému, šíří se třemi způsoby. Jedním z nich je využití exploit kitu EternalBlue, podobně jako ransomware WannaCry. Mezi další mechanismy šíření patří využití legitimního administrátorského nástroje pro Windows zvaného Psexec a legitimního komponentu pro Windows s názvem WMI.

V souvislosti s těmito ransomware útoky doporučuje Cisco Talos firmám:

  • Ujistit se, že používají aktuálně podporovaný systém, který dostává bezpečnostní aktualizace.
  • Mít efektivní správu aktualizací, které jsou aplikovány i na koncová zařízení (mobily, počítače atd.) a další kritické části infrastruktury.
  • Nasadit anti-malware řešení a ujistit se, že je pravidelně aktualizované.
  • Mít plán obnovy po havárii, který zahrnuje obnovu dat ze zařízení, která jsou offline. Zálohovací zařízení by totiž po provedení zálohy mělo být odpojeno od sítě.

Autor: Petr Smolník, šéfredaktor


Nejčtenější