Trend Micro เปิดเผยข้อเท็จจริงเกี่ยวกับ แรนซั่มแวร์ WannaCry ที่องค์กรต้องเข้าใจ

Trend Micro เปิดเผยข้อเท็จจริงเกี่ยวกับ แรนซั่มแวร์ WannaCry ที่องค์กรต้องเข้าใจ





ประเด็นสำคัญ
•  Trend Micro ตรวจพบมัลแวร์ WannaCry/Wcry เป็นครั้งแรกเมื่อวันที่ 14 เมษายน 2560 ซึ่งสายพันธุ์แรก (RANSOM_WCRY.C) ถูกเผยแพร่ผ่านการโจมตีแบบอีเมล์ที่ล่อให้ผู้ใช้ดาวน์โหลดมัลแวร์นี้จากดรอปบ็อกซ์ แม้ว่าจะไม่ใช่สายพันธุ์ที่สร้างความเสียหายในปัจจุบันก็ตาม

•  เมื่อวันศุกร์ที่ 12 พฤษภาคม 2560 ที่ผ่านมา พบ WannaCry สายพันธุ์ใหม่ (RANSOM_WCRY.I / RANSOM_WCRY.A) ซึ่งถูกพัฒนามาจากสายพันธุ์ที่ระบาดเมื่อเมษายน โดยมีการใช้ประโยชน์จากช่องโหว่ CVE-2017-0144 ที่รู้จักกันในชื่อ EternalBlue หรือ MS17-10 โดยบั๊กนี้เปิดให้แรนซั่มแวร์แพร่กระจายตัวเองในลักษณะของเวิร์มทั่วทั้งเครือข่ายที่ไม่มีการป้องกัน โดยเมื่อเย็นวันศุกร์ที่ผ่านมา ไมโครซอฟท์เพิ่งออกแพทช์สำหรับวินโดวส์รุ่นที่เคยปลดระวางการซัพพอร์ตไปแล้วสำหรับช่องโหว่นี้ด้วย (ได้แก่ วินโดวส์ XP, วินโดวส์ 8, และวินโดวส์เซิร์ฟเวอร์ 2003) เพื่อช่วยบรรเทาปัญหาที่เกิดขึ้น

•  กระบวนการจัดการแพทช์ที่แข็งแกร่ง ถือเป็นหัวใจสำหรับป้องกันเกิดช่องโหว่อย่าง MS17-010 ซึ่งเป็นบั๊กสำคัญที่ทำให้ WanaCry มีอันตรายร้ายแรงมากกว่าแรนซั่มแวร์ตัวอื่นในขณะนี้ ช่องโหว่ดังกล่าวมีการออกแพทช์มาตั้งแต่เดือนมีนาคมสำหรับวินโดวส์ที่ไมโครซอฟท์ยังซัพพอร์ตอยู่ แต่ผู้ไม่ประสงค์ดีต่างทราบว่าการที่องค์กรขนาดใหญ่จะแพทช์ช่องโหว่ที่รู้จักนั้นต้องใช้เวลาพอสมควร จึงรีบโจมตีขนานใหญ่ทั่วโลกในครั้งนี้ ทาง Trend Micro ได้มีคำแนะนำที่โหลดได้ทาง https://www.trendmicro.com/vinfo/us/security/news/virtualization-and-cloud/virtual-patching-in-mixed-environments-how-it-protects-you เพื่อช่วยให้ธุรกิจต่างๆ ติดตั้งระบบแพทช์ที่สร้างความปลอดภัยให้แก่ระบบของตัวเองได้อย่างแท้จริง

•  Trend Micro ได้ให้เครื่องมือสำหรับตรวจสอบแรนซั่มแวร์ WannaCry แบบไม่มีค่าใช้จ่าย ซึ่งทูลนี้ใช้ระบบ Machine Learning และเทคนิคอื่นๆ ที่คล้ายกับในโซลูชั่น OfficeScan XG เพื่อแสดงถึงความสามารถในการปกป้องของทูลความปลอดภัยบนเอนด์พอยต์ขั้นสูง ซึ่งนอกจากการปกป้องเอนด์พอยต์ที่แข็งแกร่งแล้ว Trend Micro ยังได้แนะนำให้ใช้โซลูชั่นความปลอดภัยที่แข็งแกร่งสำหรับอีเมล์ เพื่อช่วยป้องกันการติดเชื้อตั้งแต่เริ่มแรก (76% ของการโจมตีด้วยแรนซั่มแวร์ในปี 2559 เกิดจากการส่งเมล์หลอกลวง) พร้อมกับยุทธศาสตร์การสำรองข้อมูลที่แข็งแกร่งร่วมกัน เพื่อช่วยกู้คืนระบบจากการโจมตีของแรนซั่มแวร์ด้วย

คำถามที่พบบ่อย

คำถาม: ตอนนี้เรารู้อะไรเกี่ยวกับ WannaCry/WCry บ้าง?
คำตอบ: ถือเป็นการติดเชื้อแรนซั่มแวร์ที่ไม่มีสัญญาณแจ้งให้ทราบมาก่อน ซึ่งมีผลกระทบต่อองค์กรจำนวนมหาศาลในหลายกลุ่มธุรกิจทั่วโลก โดยแรนซั่มแวร์ที่เป็นต้นเหตุคือ WannaCry/WCRY (ตรวจพบโดย Trend Micro ในชื่อ RANSOM_WANA.A และ RANSOM_WCRY.I) ซึ่งก่อนหน้านี้ Trend Micro ได้ตรวจพบและเฝ้าติดตาม WannaCry ตั้งแต่การระบาดช่วงแรกเมื่อเมษายน 2560 และให้การปกป้องผู้ใช้งานและองค์กรต่างๆ ผ่านฟีเจอร์ป้องกันแรนซั่มแวร์บนโซลูชั่นความปลอดภัย XGenTM ของ Trend MicroTM ที่ใช้เทคโนโลยี Machine-Learning มาแล้วตั้งแต่ต้น มัลแวร์ WannaCry หรือ WCRY นี้มีการใช้ประโยชน์จากช่องโหว่ของไมโครซอฟท์ที่เพิ่งมีการเปิดเผยสู่สาธารณะ (ชื่อ MS17-010 – “EternalBlue”) ซึ่งมีความเกี่ยวข้องกับการเปิดเผยทูลของหน่วยข่าวกรองสหรัฐฯ ชื่อ Shadow Brokers การโจมตีครั้งนี้มีผลกระทบต่อองค์กรต่างๆ ทั่วโลก ในทุกภาคส่วน โดยทีมนักวิจัยของเรากำลังวิเคราะห์ข้อมูลเหล่านี้อย่างละเอียด

คำถาม: ผลกระทบที่เกิดขึ้นมีอะไรบ้าง?
คำตอบ: หลายบริษัทในยุโรปเป็นกลุ่มแรกที่รายงานความเสียหาย โดยระบบงานที่สำคัญถูกล็อกไม่ให้ใช้งาน พร้อมแสดงข้อความเรียกค่าไถ่ จากนั้นก็ขยายตัวอย่างรวดเร็วจนกลายเป็นการระบาดของแรนซั่มแวร์ที่ยิ่งใหญ่ที่สุด ส่งผลถึงองค์กรจำนวนมหาศาลทั่วโลกอยู่ในขณะนี้ ซึ่งบางองค์กรถึงขั้นที่ต้องปิดการทำงานของโครงสร้างพื้นฐานไอทีทั้งระบบ รวมทั้งเหยื่อที่อยู่ในวงการสาธารณสุขต้องเผชิญกับความล่าช้าในด้านการรักษาพยาบาล ถูกบีบให้ปฏิเสธการรักษาคนไข้จนกว่าระบบจะกลับเข้าสู่สภาวะปกติ

คำถาม: กระทบใครบ้าง?
คำตอบ: แรนซั่มแวร์ WannaCry สายพันธุ์นี้มุ่งโจมตีระบบวินโดวส์ที่ยังใช้รุ่นเก่าอยู่ โดยสร้างความเสียหายอย่างรุนแรงจากช่องโหว่เหล่านี้ จากการประเมินเบื้องต้นของ Trend Micro พบว่ามีการระบาดของแรนซั่มแวร์ WannaCry มากที่สุดในโซนยุโรป ถัดมาจะเป็นประเทศในกลุ่มตะวันออกกลาง, ญี่ปุ่น, และบางประเทศในเขตเอเชียแปซิฟิกตามลำดับ

พบการติดเชื้อ WannaCry ในองค์กรหลายกลุ่มธุรกิจ ไม่ว่าจะเป็นธุรกิจด้านบริการสุขภาพ, การผลิต, พลังงาน (น้ำมันและแก๊ส), เทคโนโลยี, อาหารและเครื่องดื่ม, การศึกษา, สื่อมวลชนและการสื่อสาร, รวมไปถึงหน่วยงานภาครัฐ เนื่องจากธรรมชาติของพฤติกรรมการโจมตีลักษณะนี้ไม่ได้เจาะจงเหยื่อรายใด หรือกลุ่มธุรกิจไหนเป็นพิเศษ

คำถาม: แรนซั่มแวร์ WannaCry ทำอะไรบนเครื่องเราบ้าง?
คำตอบ: แรนซั่มแวร์ WannaCry จะตรวจหาไฟล์เป้าหมายกว่า 176 ประเภทเพื่อเข้ารหัสไฟล์ ตัวอย่างประเภทไฟล์ที่ตกเป็นเหยื่อของ WannaCry ได้แก่ ไฟล์ฐานข้อมูล, มัลติมีเดีย, และไฟล์ที่บีบอัดไว้ เช่นเดียวกับไฟล์เอกสาร Office ต่างๆ จากข้อความเรียกค่าไถ่ ซึ่งมีรองรับกว่า 27 ภาษานั้น เรียกร้องค่าไถ่จากเหยื่อครั้งแรกสูงถึง 300 ดอลลาร์สหรัฐฯ ในรูปของบิทคอยน์ ซึ่งราคาค่าไถ่จะสูงขึ้นเรื่อยๆ เมื่อปล่อยให้เวลาผ่านไป นอกจากนี้เหยื่อยังมีเวลาเพียงแค่เจ็ดวันก่อนที่ไฟล์ที่ถูกเข้ารหัสจะถูกลบถาวร ซึ่งถือเป็นเทคนิคที่สร้างความตื่นกลัวได้เป็นอย่างดี

WannaCry ใช้ประโยชน์จากช่องโหว่รหัส CVE-2017-0144 ซึ่งเป็นบั๊กบนโปรโตคอลแชร์ไฟล์ชื่อดัง Server Message Block (SMB) ในการแพร่สู่ระบบของเหยื่อ ซึ่งช่องโหว่ที่โดนโจมตีนี้มาจากข้อมูลที่หลุดออกมาจากกลุ่มแฮ็กเกอร์ Shadow Brokers ซึ่งตั้งชื่อบั๊กนี้ว่า “EternalBlue” ซึ่งหลังจากมีการเปิดเผยรายละเอียดสู่สาธารณะแล้ว ทางศูนย์จัดการเหตุการณ์ความปลอดภัยของไมโครซอฟท์หรือ MSRC ก็ได้ออกแพทช์มาอุดช่องโหว่ที่ให้รหัสว่า MS17-010 ตั้งแต่มีนาคม 2560

สิ่งที่ทำให้ WannaCry ส่งผลกระทบในวงกว้างมากก็คือ ความสามารถในการแพร่กระจายตนเอง ด้วยพฤติกรรมที่เหมือนเวิร์มนี้ ทำให้ WannaCry สามารถกระจายตัวเองไปบนเครือข่าย, ติดเชื้อระบบที่เชื่อมต่ออยู่ได้โดยไม่ต้องอาศัยการกระทำของผู้ใช้เพิ่มเติม เพียงแค่ขอให้มีผู้ใช้รายเดียวบนเครือข่ายที่ติดเชื้อ ก็เท่ากับว่าทั้งเครือข่ายตกอยู่ในความเสี่ยงแล้ว พฤติกรรมการแพร่เชื้อตัวเองของ WannaCry มีลักษณะคล้ายแรนซั่มแวร์ในตระกูลอย่าง SAMSAM, HDDCryptor, และ Cerber บางสายพันธุ์ โดยทุกสายพันธุ์นี้สามารถติดเชื้อทั้งระบบและเซิร์ฟเวอร์ต่างๆ ที่เชื่อมต่อผ่านเครือข่ายได้

คำถาม: องค์กรที่โดนเล่นงานแล้ว ควรทำอย่างไร?
คำตอบ: Trend Micro แนะนำให้แยกทุกเครื่องที่ติดเชื้อแล้วออกมาจากเครือข่ายในทันที พร้อมทั้งจัดหาข้อมูลแบ๊กอัพล่าสุดไว้ในที่ที่ปลอดภัยเพื่อป้องกันการเปลี่ยนแปลงมากกว่าเดิม เนื่องจากการโจมตีนี้ใช้ประโยชน์จากช่องโหว่ของไมโครซอฟท์ที่เปิดเผยสู่สาธารณะแล้ว ลูกค้าทุกคนควรพิจารณาปิดการทำงานของ SMB ในเครือข่ายดังกล่าวถ้าเป็นไปได้ ไม่ว่าจะสั่งปิดทั้ง GPO หรือทำตามคำแนะนำของไมโครซอฟท์จาก https://docs.microsoft.com/en-us/msrc/customer-guidance-for-wannacrypt-attacks นอกจากนี้ เรายังแนะนำให้ติดตั้งแพทช์ MS17-010 หรือใช้ระบบเวอร์ช่วลแพทช์ของ Trend Micro เพื่อปิดกั้นช่องทางการติดเชื้อไปยังเครื่องอื่นได้

คำถาม: แล้วเราจะป้องกันภัยเหล่านี้ได้อย่างไร?
คำตอบ: WannaCry ได้สะท้อนให้เห็นถึงผลกระทบที่เกิดขึ้นได้ในชีวิตจริงของแรนซั่มแวร์ ไม่ว่าจะเป็น การทำลายระบบ, ทำให้การปฏิบัติงานหยุดชะงัก, ทำให้ชื่อเสียงเสื่อมเสีย, และสร้างความเสียหายทางการเงิน อันเป็นผลมาจากการที่ไม่สามารถดำเนินธุรกิจได้ตามปกติ ทั้งนี้ยังไม่รวมถึงค่าใช้จ่ายที่เกิดขึ้นจากการจัดการกับเหตุการณ์ด้านความปลอดภัยที่เกิดขึ้น และการกู้คืนระบบอีกด้วย

ต่อไปนี้เป็นแนวทางแก้ไข และแนวทางปฏิบัติที่ดีที่สุด ที่แต่ละองค์กรสามารถนำไปใช้ และวางระบบป้องกันให้ระบบของตัวเองพ้นจากภัยร้ายอย่าง WannaCry ได้:

•  เนื่องจากแรนซั่มแวร์นี้อาศัยช่องโหว่ในเซิร์ฟเวอร์ SMB ดังนั้นการติดตั้งแพทช์จึงจำเป็นต่อการป้องกันการโจมตีที่เข้ามาทางช่องโหว่ดังกล่าว ซึ่งแพทช์นี้มีพร้อมให้โหลดมาติดตั้งบนระบบวินโดวส์แล้วที่ https://technet.microsoft.com/en-us/library/security/ms17-010.aspx รวมถึงวินโดวส์รุ่นเก่าที่ไมโครซอฟท์เคยประกาศหยุดการซัพพอร์ตไปแล้วด้วย โดยโหลดได้ที่ https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ ถ้าองค์กรไม่สามารถติดตั้งแพทช์ได้โดยตรง ให้ใช้ระบบเวอร์ช่วลแพทช์เพื่อช่วยจัดการแทน

•  ติดตั้งไฟร์วอลล์ และระบบตรวจจับพร้อมป้องกันการบุกรุก เพื่อลดความสามารถในการแพร่กระจายของมัลแวร์ลักษณะนี้ รวมทั้งการติดตั้งระบบตรวจสอบการโจมตีบนเครือข่ายเชิงรุกก็จะช่วยยับยั้งการโจมตีลักษณะนี้ได้อีกแรงหนึ่ง

•  นอกจากใช้ประโยชน์จากช่องโหว่แล้ว ยังมีรายงานว่า WannaCry ใช้เมล์สแปมเป็นช่องทางในการเริ่มต้นเข้ามาติดเชื้อบนเครือข่ายด้วย ดังนั้นจึงควรตรวจสอบอีเมล์สแปมที่เข้าข่ายหลอกลวงทางจิตวิทยา เพื่อจำกัดเมล์ที่อาจมีไวรัสได้ นอกจากนี้ฝ่ายไอทีและแอดมินของระบบต่างๆ ควรวางกลไกด้านความปลอดภัยที่สามารถปกป้องเอนด์พอยต์จากมัลแวร์ที่เข้ามากับอีเมล์ด้วย

•  WannaCry มีการฝังโปรแกรมอันตรายหลายตัวลงในระบบ เพื่อรันกระบวนการเข้ารหัสของตนเอง ดังนั้นระบบไวท์ลิสต์ที่ใช้เทคนิค Application Control จะช่วยป้องกันแอพพลิเคชั่นที่ไม่ต้องการหรือไม่รู้จักไม่ให้ทำงานได้ นอกจากนี้ระบบตรวจสอบพฤติกรรมยังช่วยสามารถสกัดกั้นการปรับแต่งระบบได้ด้วย แรนซั่มแวร์มักจะใช้เทคนิคที่หลากหลายในการแพร่กระจายบนระบบ ซึ่งผู้ที่คอยป้องกันอันตรายเหล่านี้ควรใช้แนวทางเดียวกันนี้ในการปกป้องระบบของตัวเองอย่างสม่ำเสมอด้วย

•  WannaCry เข้ารหัสไฟล์ที่จัดเก็บบนเครื่องปัจจุบัน และไฟล์ที่แชร์ผ่านเครือข่ายด้วย ดังนั้นการคัดแยกชนิดข้อมูลและการเข้าถึงจะช่วยจำกัดบริเวณความเสียหายที่เกิดจากข้อมูลรั่วไหล หรือการโจมตีได้ด้วยการปกป้องข้อมูลสำคัญไม่ให้โดนการโจมตีโดยตรง

•  การแบ่งส่วนของเครือข่าย ยังช่วยสามารถป้องกันการแพร่กระจายของอันตรายลักษณะนี้ได้จากภายใน การออกแบบเครือข่ายที่ดีตั้งแต่ต้น จะช่วยจำกัดบริเวณการแพร่กระจายการติดเชื้อนี้ และลดผลกระทบที่มีต่อองค์กรโดยรวม

•  ปิดการใช้งานโปรโตคอล SMB บนระบบที่ไม่จำเป็นต้องใช้ การรันเซอร์วิสที่ไม่จำเป็นทิ้งไว้ มักเป็นการเปิดช่องให้ผู้โจมตีค้นหาช่องโหว่สำหรับโจมตีเข้ามาได้มากขึ้น

คำถาม: เราจะทราบได้อย่างไรว่าองค์กรได้รับการปกป้องดีแล้ว?
คำตอบ: Trend Micro มีทูลฟรีที่โหลดได้จาก https://www.trendmicro.com/product_trials/service/index/us/164 ที่ช่วยให้องค์กรต่างๆ ตรวจหาช่องโหว่บนโซลูชั่นการปกป้องเอนดพอยต์ที่ใช้งานอยู่ในปัจจุบัน โดยให้เทคนิคด้านความปลอดภัยบนเอนด์พอยต์ขั้นสูง ที่จำเพาะสำหรับสกัดกั้นอันตรายได้มากกว่า ไม่ให้เข้ามายังเครือข่ายหรืออยู่บนเอนด์พอยต์ของคุณได้

ลูกค้าของ Trend Micro ได้รับการปกป้องจากภัยร้ายนี้หรือยัง?
เรามีชุดของโซลูชั่นที่ให้การปกป้องอีกระดับจากอันตรายใหม่ๆ เหล่านี้ อันได้แก่:
•  เทคโนโลยีการอัพเดตการตั้งค่า และความปลอดภัยแบบ Next-Gen - ลูกค้าของ Trend Micro ที่ใช้โซลูชั่น OfficeScan และ Worry-Free Business Security รุ่นล่าสุด สามารถอุ่นใจได้ว่า จะได้รับฟีเจอร์ใหม่ทั้ง Predictive Machine Learning (บน OfficeScan XG และบริการ Worry-Free) และฟีเจอร์การป้องกันแรนซั่มแวร์ อยู่ในผลิตภัณฑ์ของตนเองเรียบร้อย ซึ่งคุณสามารถดูรายละเอียดเพิ่มเติมเกี่ยวกับการตั้งค่าให้เหมาะสมกับการป้องกันแรนซั่มแวร์ได้มากที่สุดจาก https://success.trendmicro.com/solution/1112223

•  Smart Scan Agent Pattern และ Office Pattern Release: Trend Micro ได้เพิ่มข้อมูลสายพันธุ์มัลแวร์ และการตรวจจับโปรแกรมอันตรายใหม่ๆ ลงในข้อมูลแพทเทิร์นดังต่อไปนี้สำหรับทุกผลิตภัณฑ์ที่ใช้ข้อมูลแพทเทิร์นนี้แล้ว
o  Smart Scan Agent Pattern – 13.399.00
o  Official Pattern Release (conventional) - 13.401.00

•  Trend Micro Web Reputation Services (WRS) มีการเพิ่มข้อมูลเซิร์ฟเวอร์สั่งการของแฮ็กเกอร์ หรือ C&C เพิ่มเติม

•  Trend Micro Deep Security และ Vulnerability Protection (รู้จักกันก่อนหน้านี้ในชื่อ IDF Plug-in for OfficeScan) ซึ่งลูกค้าที่อัพเดต Rule ล่าสุดแล้ว จะได้รับการปกป้องอีกระดับสำหรับวินโดวส์หลายรุ่นพร้อมกัน ซึ่งรวมถึงรุ่นที่ไมโครซอฟท์สิ้นสุดการซัพพอร์ตแล้วอย่าง XP, 2000, 2003 ด้วย โดย Trend Micro ได้ออก Rule สำหรับป้องกันภัยใหม่ดังกล่าวดังนี้
o  IPS Rules 1008224, 1008228, 1008225, 1008227 - ซึ่งรวมเอาแพทช์อย่าง MS17-010 และการปกป้องเพิ่มเติมที่ป้องกันการใช้ประโยชน์จากช่องโหว่ของ SMB บนวินโดวส์ด้วย

•  Trend Micro Deep Discovery Inspector ลูกค้าที่ใช้ Rule รุ่นล่าสุดจะได้รับการปกป้องขึ้นมากอีกระดับจากช่องโหว่ที่มีการใช้ประโยชน์ในการโจมตี โดยทาง Trend Micro ได้ออก Rule เพิ่มเป็นทางการสำหรับการป้องกันเชิงรุกดังนี้
o  DDI Rule 2383:  CVE-2017-0144 – Remote Code Execution – SMB (Request)

•  Trend Micro TippingPoint  filter ดังต่อไปนี้ได้รับการปรับปรุงเพื่อการป้องกันที่ดีขึ้น ได้แก่
o  Filters 5614, 27433, 27711, 27935, 27928 – ที่ครอบคลุมถึง MS17-010 และการป้องกันการโจมตีด้วยการรันโค้ดผ่าน SMB ของวินโดวส์จากระยะไกล
o  ThreatDV Filter 30623 – ช่วยจำกัดการสื่อสารขาออกแบบ C2
o  Policy Filter 11403 – ให้การปกป้องมากขึ้นอีกระดับต่อการแบ่งส่วนข้อมูลบน SMB ที่น่าสงสัย

WannaCry Ransomware



Key Messages

•   Trend Micro first detected WannaCry/Wcry 14-April-2017. The initial variant (RANSOM_WCRY.C) was typically distributed via phishing attacks that then had users downloading the malware from Dropbox. This initial variant wasn’t of particular note
•   On Friday, 12-May-2017, a new variant of WannaCry (RANSOM_WCRY.I / RANSOM_WCRY.A) built on the April variant foundations and added an exploit for CVE-2017-0144, better known was EternalBlue or MS17-10. This exploit allowed the ransomware to spread like a worm throughout unprotected networks. Latest Friday evening, Microsoft released a publicly available patch for unsupported Windows versions (Windows XP, Windows 8, Windows Server 2003) to help address the issue
•   A strong patch management process is key to protecting against vulnerabilities like MS17-010, which is what sets WannaCry apparent from other ransomware variants. This vulnerability was patched in March for support operating systems. Threat actors know it takes time for large enterprises to patch known vulnerabilities, and they took full advantage in this massive attack. This white paper provides guidelines to help businesses implement a patching system to keep their systems safe
•   Trend Micro offers a free assessment tool that can detect the WannaCry ransomware. This tool uses machine learning and other techniques similar to those seen in OfficeScan XG to highlight the protection provided by advanced endpoint security tools. In addition to strong endpoint protection, Trend Micro also recommends strong email security solutions to help prevent the initial infection (79% of ransomware attacks in 2016 started via a phish) and a strong backup strategy to help recover from successful ransomware attacks
FAQ

Q: What do we know about WannaCry/WCry?
A: An unprecedented spate of ransomware infections is hitting a number of organizations across various industries around the world. The culprit: the WannaCry/WCRY ransomware (detected by Trend Micro as RANSOM_WANA.A and RANSOM_WCRY.I). Trend Micro detected and monitored WannaCry since its emergence in the wild in April, 2017, and has been protecting users and enterprises with the ransomware protection features of machine learning-infused Trend Micro™ XGen™ security.
WannaCry or WCRY appears to be taking advantage of a recently disclosed Microsoft vulnerability (MS17-010 – “EternalBlue”) associated with the Shadow Brokers tools release. This has affected organizations around the world in all verticals. Our researchers are currently analyzing it in more detail.

Q: What happened?
A: Several firms in Europe were the first to report having their mission-critical Windows systems locked and displaying a ransom note. This quickly developed into one of the most widespread ransomware outbreaks currently affecting a large number of organizations around the world. Some affected organizations had to take their IT infrastructure offline, with victims in the healthcare industry experiencing delayed operations and forced to turn away patients until processes could be re-established.
[Infographic: A multilayered defense against ransomware]

Q: Who’s affected?
A: This variant of the WannaCry ransomware attacks older Windows-based systems, and is leaving a trail of significant damage in its wake. Based on Trend Micro’s initial telemetry, Europe has the highest detections for the WannaCry ransomware. The Middle East, Japan, and several countries in the Asia Pacific (APAC) region showing substantial infection rates as well.

WannaCry’s infections were seen affecting various enterprises, including those in healthcare, manufacturing, energy (oil and gas), technology, food and beverage, education, media and communications, and government. Due to the widespread nature of this campaign, it does not appear to be targeting specific victims or industries.

[READ: A technical overview of the WannaCry/Wcry ransomware]

Q: What does WannaCry ransomware do?
A: WannaCry ransomware targets and encrypts 176 file types. Some of the file types WannaCry targets are database, multimedia and archive files, as well as Office documents. In its ransom note, which supports 27 languages, it initially demands US$300 worth of Bitcoins from its victims—an amount that increases incrementally after a certain time limit. The victim is also given a seven-day limit before the affected files are deleted—a commonly used fear-mongering tactic.


Figure 1: One of WannaCry’s ransom note

WannaCry leverages CVE-2017-0144, a vulnerability in Server Message Block, to infect systems. The security flaw is attacked using an exploit leaked by the Shadow Brokers group—the “EternalBlue” exploit, in particular. Microsoft’s Security Response Center (MSRC) Team addressed the vulnerability via MS17-010 released March, 2017.

What makes WannaCry’s impact pervasive is its capability to propagate. Its worm-like behavior allows WannaCry to spread across networks, infecting connected systems without user interaction. All it takes is for one user on a network to be infected to put the whole network at risk. WannaCry’s propagation capability is reminiscent of ransomware families like SAMSAM, HDDCryptor, and several variants of Cerber—all of which can infect systems and servers connected to the network.

WannaCry leverages CVE-2017-0144, a vulnerability in Server Message Block, to infect systems. The security flaw is attacked using an exploit leaked by the Shadow Brokers group—the “EternalBlue” exploit, in particular. Microsoft’s Security Response Center (MSRC) Team addressed the vulnerability via MS17-010 released March, 2017.

What makes WannaCry’s impact pervasive is its capability to propagate. Its worm-like behavior enables WannaCry to spread across networks and infect systems connected to them. WannaCry’s propagation capability is reminiscent of ransomware families like SAMSAM, HDDCryptor, and several variants of Cerber—all of which can infect systems and servers connected to the network.

[READ: Shadow Brokers Leaks Hacking Tools: What it Means for Enterprises]

Q: What should affected organizations do?
A: Trend Micro recommend that all compromised machines are immediately isolated and relevant backups are protected from further changes. Since this attack appears to exploit a known Microsoft vulnerability - customers should consider disabling SMB in their environments if possible - either via GPO or using instructions provided by Microsoft. In addition, we recommend patching with MS17-010 or using Trend Micro virtual patching as this is what is being used to propagate to other machines.

Q: How can it be thwarted?
A: WannaCry highlights the real-life impact of ransomware: crippled systems, disrupted operations, marred reputations, and the financial losses resulting from being unable to perform normal business functions—not to mention the cost of incident response and clean up.
Here are some of the solutions and best practices that organizations can adopt and implement to safeguard their systems from threats like WannaCry:
•   The ransomware exploits a vulnerability in SMB server. Patching is critical for defending against attacks that exploit security flaws. A patch for this issue is available for Windows systems, including those no longer supported by Microsoft. When organizations can’t patch directly, using a virtual patch can help mitigate the threat
•   Deploying firewalls and detection and intrusion prevention systems can help reduce the spread of this threat. A security system that can proactively monitor attacks in the network also helps stops these threats
•   Aside from using an exploit to spread, WannaCry reportedly also uses spam as entry point. Identifying red flags on socially engineered spam emails that contain system exploits helps. IT and system administrators should deploy security mechanisms that can protect endpoints from email-based malware
•   WannaCry drops several malicious components in the system to conduct its encryption routine. Application control based on a whitelist can prevent unwanted and unknown applications from executing. Behavior monitoring can block unusual modifications to the system. Ransomware uses a number of techniques to infect a system; defenders should do the same to protect their systems
•   WannaCry encrypts files stored on local systems and network shares. Implementing data categorization helps mitigate any damage incurred from a breach or attack by protecting critical data in case they are exposed
•   Network segmentation can also help prevent the spread of this threat internally. Good network design can help contain the spread of this infection and reduce its impact on organizations
•   Disable the SMB protocol on systems that do not require it. Running unneeded services gives more ways for an attacker to find an exploitable vulnerability

Q: How can I find out if my organization is protected?
A: Trend Micro offers a free tool to help organizations identify the gaps in their existing endpoint protection solution by providing you with the specific advanced endpoint security techniques to stop more threats from getting in your networks and on your endpoints.

Are Trend Micro customers protected?
We have a series of solutions that provide some level of protection against these new threats:
•   Updated Configuration and Next Generation Technology - Trend Micro customers using the latest versions of OfficeScan and Worry-Free Business Security should ensure that they have both Predictive Machine Learning (OfficeScan XG, Worry-Free Services) and all relevant Ransomware protection features enabled in their product.  The following article contains information on optimal configurations to help protect against ransomware:  https://success.trendmicro.com/solution/1112223
•   Smart Scan Agent Pattern and Official Pattern Release: Trend Micro has added known variant and component detections into the following patterns for all products that utilizes these patterns:
o   Smart Scan Agent Pattern – 13.399.00
o   Official Pattern Release (conventional) - 13.401.00
•   Trend Micro Web Reputation Services (WRS) has added coverage for known Command and Control (C&C) servers.
•   Trend Micro Deep Security and Vulnerability Protection (formerly the IDF plug-in for OfficeScan) customers with the latest rules have an updated layer of protection for multiple Windows operating systems, including some that have reached end-of-support (XP, 2000, 2003). Specifically, Trend Micro released the following rule for proactive protection:
•   IPS Rules 1008224, 1008228, 1008225, 1008227 – Includes coverage for MS17-010 and some specific protection against Windows SMB remote code execution vulnerabilities
•   Trend Micro Deep Discovery Inspector customers with the latest rules also have an additional layer of protection against the vulnerabilities associated with the exploit. Specifically, Trend Micro has released the following official rule for proactive protection:
•   DDI Rule 2383:  CVE-2017-0144 – Remote Code Execution – SMB (Request)
•   Trend Micro TippingPoint customers with the following filters have updated protection:
•   Filters 5614, 27433, 27711, 27935, 27928 – Includes coverage for MS17-010 and some specific protection against Windows SMB remote code execution vulnerabilities and attacks
•   ThreatDV Filter 30623 - helps to mitigate outbound C2 communication
•   Policy Filter 11403 - provides additional protection against suspicious SMB fragmentation