Реакция Entensys на атаку WannaCry

Дата публикации:

В пятницу 12 мая началась одна из самых массированных хакерских атак, связанная с распространением вредоносной программы WannaCry. В результате было заражено несколько сотен тысяч компьютеров по всему миру. В целом WannaCry — это эксплойт, с помощью которого происходит заражение и распространение, и шифровальщик, который скачивается на компьютер после того, как произошло заражение. В итоге пострадавшие пользователи столкнулись с тем, что их данные оказались зашифрованы. Злоумышленники предлагают жертвам вернуть доступ к данным, уплатив определенные суммы в криптовалюте Bitcoins.

Данная атака использовала известные уязвимости в разных версиях ОС Windows. В этой связи можно сказать, что пострадали те пользователи, которые не обновляли операционную систему как минимум два месяца и не использовали локальный антивирус.

Компания Entensys является разработчиком шлюзовых решений по защите корпоративных сетей. В случае использования решения UserGate UTM с включенными модулями антивирусной защиты и защиты электронной почты вредоносные файлы блокируются на уровне шлюза. В случае же проникновения угрозы в сеть предприятия каким-то альтернативным способом UserGate UTM может уменьшать последствия заражения, блокируя попытки вируса связать со сторонними хостами и серверами ботнет-сетей. Данные возможности основаны на репутационном анализе хостов и проводимой работой по оперативной категоризации скомпрометированных серверов. Кроме этого Entensys совместно со своими технологическими партнерами проводит постоянную работу по обновлению баз модуля системы обнаружения вторжений (СОВ), в том числе добавляя сценарии реакции на атаку WannaCry. Для активных пользователей UserGate UTM все базы обновляются автоматически, что не требует переустановки или обновления решения.

Тем не менее эксперты Entensys рекомендуют произвести определенные действия для обеспечения безопасности сетевой инфраструктуры:

  1. Заблокировать доступ извне к 445 и 139 порту;
  2. Установить последние обновления на все компьютеры с операционной системой Windows;
  3. Если в локальной сети отсутствуют устаревшие системы, которые используют протокол SMB v1, то лучше всего будет отключить устаревшую версию SMB ;
  4. Пользователям UserGate UTM убедиться, что модуль СОВ активирован, а также блокируется доступ к сайтам из категорий, связанных с угрозами - Ботнеты, Вредоносные программы, Фишинг, Скомпрометированные сайты.

Более подробная информация в нашей базе знаний.