Para a segurança de sua empresa, elaboramos a seguir uma série de medidas de prevenção  essenciais e urgentes para que você não seja mais uma vítima do WanaCry. Muitos fabricantes já estão detectando as primeiras variantes dos ataques, contudo, para realmente mitigar o risco é preciso executar algumas ações de prevenção no ambiente. A criticidade dessa campanha de ransomware ocorre devido a utilização do exploit EternalBlue/DoublePulsar descrita no MS17-010.

Os clientes de Serviços Gerenciados já estão com essas medidas sendo implementadas em seus ambientes através da equipe do SOC Real Protect.

 

Medidas de Prevenção essenciais contra o WanaCry:

Recomendamos que as ações abaixo sejam efetuadas o mais rapidamente possível:

No perímetro de sua rede:

  • Bloquear o uso e download da aplicação TOR no APP Control para todo ambiente;
  • Garantir que as funções de antimalware estejam habilitadas e atualizadas no Firewall, UTM ou NextGenFW;
  • Bloquear o download de arquivos executáveis no Filtro Web (Certifique-se que o HTTPs está sendo inspecionado);
  • Bloquear anexos de arquivos executáveis no Filtro de Email;
  • Garantir que o Filtro Web e Filtro de Email estejam com a vacina atualizada;
  • Bloqueio de urls e endereços IP no Filtro Web que estão relacionadas ao ransomware (171.25.193.9 | 95.130.11.147 | 82.223.21.74 | 51.15.48.254 | 91.121.230.218 | 62.210.125.130);
  • Habilitar as regras no Network IPS para proteção da vulnerabilidade CVE -2017-0143;
  • Garantir que as regras de firewall não permitam o redirecionamento de tráfego na porta 445 para redes protegidas;

 

Nas estações e servidores:

  • Garantir que todos os computadores estão com o antimalware instalado e atualizado com a vacina hoje;
  • Aplicar os patches de atualização relacionados à vulnerabilidade MS17-010;
  • Garantir que o backup esteja atualizado e isolado do restante da rede;
  • Habilitar regras de Host IPS para o CVE -2017-0143;
  • Bloqueio de gravação de arquivos de extensão *.Wcry nas estações e servidores.

 

Informações Adicionais:

  • Recomendamos que seja realizado o monitoramento contínuo do ambiente em busca de atividades suspeitas;
  • Em caso de suspeita de equipamento contaminado, é recomendado isolar o equipamento da rede imediatamente;
  • Funcionamento do WanaCry de acordo com o Trend Labs: https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/ransom_wcry.a
  • Lista de IP’s a serem bloqueados: 171.25.193.9 | 95.130.11.147 | 82.223.21.74 | 51.15.48.254 | 91.121.230.218 | 62.210.125.130
  • Assinaturas de IPS disponíveis no FortiGate: MS.SMB.Server.SMB1.WriteAndx.Trans2.Secondary.Code.Execution

MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution

MS.Office.RTF.File.OLE.autolink.Code.Execution

  • Assinaturas de Host IPS disponíveis nas soluções Trend Micro:

https://success.trendmicro.com/solution/1117192