Öncelikle, bir SonicWall kullanıcısıysanız ve Gateway Anti-Virus, Intrusion Prevention hizmeti ve Capture Advanced Threat Protection'ı kullanıyorsanız, SonicWall güvenlik duvarınız ağınızı WannaCry ransomware'ten ve 17 Nisan 2017'den bu yana yayılan solucandan korumaktadır. Kodun ilk sürümünün yayınlanmasından bu yana, Sonicwall tarafından birkaç yeni değişken belirlendi ve ek karşı tedbirler çıkarıldı. Capture Labs araştırma ekibi daha fazla bilgiyi açığa çıkardıkça ve müşterilerimizin güvenlik duvarlarına otomatik olarak ek koruma eklendiğinde bilgilendirmeye devam edeceğiz.

İşte daha fazlası:

Saldırı

Bu büyük çaplı fidye saldırısı ,UK's National Health Service (NHS) sisteminde bir dizi hastaneyi kapatarak ve böylece hastaların kritik bakım almalarını engelleyerek rezil oldu. Saldırı, açıklanmayan kurbanlarla dünyadaki 100'den fazla ülkeyi vurdu. WannaCry, EternalBlue adlı bir SMB dosya paylaşımı protokolü kullanımını güçlendiren bir Trojan / fidye yazılımı ve bir solucanın bir kombinasyonudur. Ömrünü tamamlamış çeşitli sürümleri de içeren Microsoft Windows işletim sistemlerinin çeşitli sürümlerini etkiliyor(Windows XP, Vista v.s.). Microsoft bu güvenlik açığını gidermek üzere 14 Mart tarihinde çok sayıda güncelleme paketi yayımladı. Bu güncelleme paketleri Solucan / ransomware paketinin ilk versiyonunu kazara 12 Mayıs 2017 Cuma günü ilerlemesini yavaşlatan ve solucan özelliğini devre dışı bırakmak için kullanılan bir kill anahtarı içeriyordu . Ancak, bir taraftanda yeni varyantlar ortaya çıkıyor. Solucan kodunun ilk versiyonu artık fidye kodu yayamazken, WannaCry 1.0 tarafından şifrelenen sistemler şifrelenmiş olarak kalacaktır. Maalesef, WannaCry'den etkilenen dosyaları siber suçlulara ödeme yapmadan geri getirmek için bilinen bir şifre çözme yöntemi mevcut değildir (Ödeme işlemi ise önerilmemektedir).

12 Mayıs 2017 Cuma gününden bu yana, SonicWall'ın Capture Labs'ı, WannaCry'nin bilinen tüm sürümlerini engellemek için altı yeni imza yayınladı. SonicWall güvenlik hizmetlerinin, WannaCry Komuta Kontrolü ve Kontrol (C & C) sunucuları ile olan bağlantıyı engellemekten, düzeltilmemiş bir SMB Microsoft güvenlik açığından yararlanma girişimlerini engellemeye kadar bu kodun pek çok bileşenine karşı yerleşik korumaya sahip olduğuna dikkat çekiyor.

Korunma

SonicWall Capture Labs , Shadow Brokers dosya dökümünden hemen sonra Nisan ayı ortasında EternalBlue saldırısını analiz etti ve ilk genel saldırıdan önce tüm SonicWall güvenlik duvarı müşterileri için koruma sağlamıştır. Bu istismarın bilinen tüm sürümleri etkin yeni nesil güvenlik duvarı güvenlik hizmetleri yoluyla SonicWall korumalı ağlardan engellenebilir.

Bir SonicWall müşterisi olarak, yeni nesil güvenlik duvarınızın WannaCry gibi bilinen fidye saldırılarına karşı otomatik gerçek zamanlı koruma sağlamak için etkin bir Gateway Security aboneliğine sahip olmalısınız. Sonicwall genel olarak Gateway Security, Gateway Anti-virüs (GAV), Saldırı Önleme (IPS), Botnet Filtreleme ve Uygulama Kontrolü içerir . Bu teknoloji seti, WannaCry'ye (GAV'ın bir parçası) karşı imzalar, Microsoft'un güvenlik bülteninde MS17-010 ( IPS'in bir parçası) açıklanan güvenlik açıklarına karşı koruma ve WannaCry'nin yükünün bulunduğu (ve botnet filtrelemesinin bir parçası olan) C & C sunucuları ile olan iletişimi engellemektedir.

SonicWall Email Security , Gateway Security ile aynı imzaları / tanımları kullandığından, enfeksiyona karşı ilk rotayı veren e-postaları etkin bir şekilde engelleyebiliriz. Kötü amaçlı e-postaları engellemek için tüm e-posta güvenlik servislerinin güncel olduğundan emin olun. Tüm Ransomware saldırılarının %65'i kimlik avı e-postaları yoluyla gerçekleştiğinden, güvenlik farkındalığı bilgisi verirken bunun büyük önemli bir durum olduğunu belirtmek çok önemlidir. Buna ek olarak, SonicWall İçerik Filtreleme Hizmetine sahip olan müşteriler, benzer şekilde çalışan kötü amaçlı URL'ler ve alanlarla olan iletişimi engellemek için etkinleştirmelidir. Botnet süzgeçlemesi, C & C iletişimini kesintiye uğratır.

Kötü amaçlı yazılımların % 50'den fazlası şifrelendiği için her zaman en iyi uygulama olarak tüm SSL / TLS (DPI-SSL) trafiğinin dağıtıması önem arz etmektedir. Bu, SonicWall güvenlik servislerinin tüm bilinen fidye saldırılarını tanımlamasını ve engellemesini sağlayacaktır. DPI-SSL'yi etkinleştirmek, güvenlik duvarının bilinmeyen dosyaları incelemesi ve bilinmeyen kopya varyantlarını keşfetmek ve durdurmak için çok motorlu işlemler için SonicWall Capture Gelişmiş Tehdit Korumasına göndermesine izin verir.

14 Mayıs 2017 itibariyle Eternalblue ve WannaCrypt'e karşı GTA / IPS imzalarının en yeni listesi.

Sıradaki ne?

Bu saldırının ardından çeşitli varyasyonlarını yayımlamıştır, bunun için az önce bahsettiğimiz koruma önlemleri Sonicwall tarafından oluşturulmuştur. Yeni geliştirilmiş güncellemelerden ve benzeri taklitçi saldırılardan emin olmak için, önce kaynaklar bölümünde listelenen Microsoft tarafından sağlanan Windows yamasını uygulayın. İkinci olarak , Cerber Ransomware'inde yaptığımız gibi en son tehditleri keşfetmek ve durdurmak için ağınıza gelen şüpheli dosyaları incelemek için SonicWall'ın çoklu motor ağ sanal alanını Capture ATP özelliğini uygulamanızda fayda vardır. Kötü amaçlı yazılımları ağınıza girmeden önce ortadan kaldırmak ve ağ geçidindeki tüm dosyaları analiz etmek için ATP özelliğini etkinleştirin.

Son olarak, kimlik avı e-postaları, fidye yazılımı için en yaygın dağıtım yöntemidir. Ransomware teçhizatının gelecek varyantlarının e-postayla yayınlanmaya devam edecektir. SonicWall'ın e-posta güvenlik çözümü, yalnızca gönderen IP'yi değil ileti içeriğini, katıştırılmış URL'leri ve ekleri incelemek için ARM kullanır . Ayrıca, sahte e-postaları tanımlamak ve engellemek ve spam ve phishing saldırılarından korunmak için SPF, DKIM ve DMARC gelişmiş e-posta kimlik doğrulamasını etkinleştirdiğinizden emin olun . Bu tür saldırılara karşı mümkün olan en iyi korumayı sağlamak için SonicWall'ın e-posta güvenlik çözümünü Capture ATP hizmetiyle dağıtın ve çok motorlu sandbox ortamındaki her e-posta ekini kontrol edin.