Wybuch ransomware Petya to WannaCry przygotowany przez profesjonalistów

Hakerzy i Wirusy

Wybuch wyjątkowo wrednej rodziny ransomware przebija się na całym świecie. I chociaż podobny jest do WannaCry, który eksplodował w maju, specjaliści ds. bezpieczeństwa ostrzegają, że obecna kampania jest znacznie bardziej profesjonalna i potencjalnie dużo groźniejsza dla firm.

Laboratorium F-Secure potwierdziło, że ransomware użyty w tym ataku należy do rodziny Petya i zachowuje się jak robak sieciowy, rozprzestrzeniając się przez tę samą podatność SMB (używając eksploita EternalBlue opracowanego przez NSA) co WannaCry.

Jarkko z Laboratoriów F-Secure w poście z 2016 określił malware Petya jako wyjątkowo wredny i złośliwy ransomware, ponieważ zamiast szyfrowania plików, blokuje cały dysk, przez co nie ma do niego dostępu, dopóki infekcja nie zostanie usunięta.

Nieszczęsna ofiara ransomware Petya widzi najpewniej coś podobnego:

Nieznany jest do tej pory wektor infekcji, ale efekt końcowy jest właściwie taki sam.

Większość rodzin crypto-ransomware namierza i szyfruje pliki na dyskach twardych ofiary. Oznacza to, że ofiary nie mogą uzyskać dostępu do tych plików, ale nadal mogą korzystać z systemu operacyjnego. Petya przenosi go na wyższy poziom, szyfrując części dysku twardego, które sprawiają, że nie można uzyskać dostępu do czegokolwiek na dysku, w tym Windowsa.

Technicznie mówiąc, oto, co się dzieje:

  • Złośliwy plik jest wykonywany
  • Zaplanowane działanie powoduje ponowne uruchomienie zainfekowanej maszyny po godzinie (tak wygląda to dla użytkowników)
  • Czekając na restart, Petya poszukuje maszyn w sieci, na które mógłby się rozprzestrzenić
  • Po zebraniu adresów IP do zainfekowania, Petya wykorzystuje podatność SMB i wysyła kopię siebie na namierzone maszyny
  • Po ponownym ueuchomieniu, Petya zaczyna szyfrowanie podczas ładowania systemu, po czym wyświetlana jest wiadomość o okupie

Epidemia Petya uderzyła w organizacje na całym świecie, włączając w to Francję, Polskę, Indie, Hiszpanię, Wielką Brytanię, USA, Rosję i przede wszystkim Ukrainę. I tak jak WannaCry, całkowicie przejęło systemy, na których polegają ludzie, takie jak bankomaty na Ukrainie.

Mimo, że jeden z analityków zdołał wykorzystać pomyłkę popełnianą przez napastników za WannaCry, doradca ds. Bezpieczeństwa F-Secure, Sean Sullivan, nie widzi takiej możliwości w tym przypadku.

Cyberprzestępcom wykorzystującym ostatnio WannaCry nie udało się wyłudzić dużej sumy, ponieważ nie byli w stanie poradzić sobie z liczbą ofiar dotkniętych przez złośliwe oprogramowanie, które rozprzestrzeniło się na niespotykaną skalę. Wygląda na to, że cyberatak przy użyciu ransomware o nazwie Petya jest bardziej „przemyślanym” działaniem nastawionym na zysk – powiedział Sean. Skończyły się czasy, w których globalne cyberataki mające na celu wyłudzanie okupów są przeprowadzane przez amatorów.

Okup wyonosi 300 dolarów i ma być wpłacony w bitcoinach. Do dnia wczorajszego, niemal 30 osób wpłaciło sumę, by odblokować maszyny (nie mamy informacji, czy było to skuteczne). Najwyraźniej adresy email napastników zostały zablokowane przez dostawcę usług, ale Sean uważa, że jest wiele powodów, dla których dostawca móże cofnąć tę decyzję.

W związku z tym organizacje muszą zachować ostrożność w nadchodzących dniach, aby uniknąć infekcji Petya. Ze względu na podobieństwa z WannaCry, wiele tych samych zasada bezpieczeństwa należy stosować: zaktualizuj system Windows, jeśli to możliwe skonfiguruj zaporę, aby zablokować przychodzący ruch przez port 445, stosuj ochronę punktów końcowych. Produkty F-Secure mają wiele proaktywnych środków ochronnych, które pomagają chronić klientów przed Petyą i innymi rodzajami ransomware.

Będziemy publikować dalsze informacje o ataku na naszych stronach. Możecie też śledzić na bieżąco szefa naszych Laboratoriów – Mikko Hypponena.

 

 

 

 

Oceń artykuł

2 głosów

0 komentarzy

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Log Out / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Log Out / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Log Out / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Log Out / Zmień )

Connecting to %s

Może Ci się też spodobać

%d blogerów lubi to: