We wtorek nowy wirus typu ransomware Petya zablokował komputery firm i instytucji w ponad 66 krajach na świecie. Za odblokowanie dysku twardego cyberprzestępcy żądają 300 dolarów okupu. – Petya jest groźniejszy i bardziej dojrzały niż WannaCry, to nie jest amatorska robota, a podobnych ataków będzie coraz więcej – oceniają eksperci ds.cyberbezpieczeństwa z F-Secure i Fortinet.
Centrum ataku z wykorzystaniem wirusa Petya stała się we wtorek po południu Ukraina. Szereg tamtejszych firm i instytucji (m.in. banki, operatorzy telekomunikacyjni, dostawcy energii a nawet producent samolotów Antonov) padło ofiarą cyberprzestępców, którzy instalując w komputerach ofiar wirus Petya zaszyfrowali dane na dyskach twardych, a następnie zażądali okupu w wysokości 300 dol.
Szybko okazało się, że epidemia Petya rozlewa się także na inne kraje na całym świecie. Wśród regionów dotkniętych w największym stopniu atakami znalazły się w Europie m.in. Rosja, Dania, Hiszpania, Holanadia i Wielka Brytania, poza tym także USA oraz kraje w Ameryce Południowej oraz Azji. Według informacji podanych przez „The New York Times” do środy na listę ofiar wirusa Petya trafiło w sumie ponad 66 krajów na świecie.
Atakiem Petya zostały też dotknięte niektóre polskie firmy, głównie te współpracujące z rynkiem ukraińskim. Polskie władze oceniły jednak zagrożenie ze strony tego wirusa jako niskie i w komunikacie przekazanym mediom nie dostrzegły poważnego niebezpieczeństwa dla krajowej infrastruktury teleinformatycznej.
Atak z wykorzystaniem Petya to w ostatnim czasie druga już masowa infekcja komputerów za pomocą oprogramowania typu ransmoware. Wcześniej, w połowie maja br. doszło do podobnego incydentu na światową skalę, w którym wykorzystano oprogramowanie WannaCry (WannaCrypt).
Już kilka godzin po doniesieniach na temat wirusa Petya w sieci pojawiły się informacje, że ta odmiana ransomware jest bardziej skuteczna niż WannaCry w atakowaniu komputerów, bowiem jest w stanie zainfekować maszyny z wyposażoną w najnowsze aktualizacje wersją systemu Windows 10, która jest w stanie odeprzeć atak ze strony WannaCry.
Petya i WannaCry to nie to samo
Podobnego zdania są eksperci zajmujący się bezpieczeństwem w sieci z firm F-Secure oraz Fortinet, którzy podzielili się swoimi uwagami na temat Petya z serwisem Wirtualnmedia.pl.
- Oprogramowanie Petya wykorzystuje te same podatności, co te użyte przy ataku WannaCry w maju br. – podkreśla Aamir Lakhani, ekspert ds. cyberbezpieczeństwa w Fortinet. - Jest to tzw. „ransom worm” – ten wariant zamiast atakowania pojedynczej organizacji wykorzystując robaka infekuje każde urządzenie które napotka na swojej drodze.
Według Aamira Lakhani wygląda na to, że obecny atak rozpoczął się od rozesłania pliku Excel, który wykorzystuje znaną lukę w pakiecie Microsoft Office.
- Efektem udanego ataku jest zaszyfrowanie plików w komputerze, a cyberprzestępcy żądają okupu w wysokości 300 dolarów w walucie Bitcoin za ich ponowne udostępnienie. Dodatkowo ostrzegają, że wyłączenie komputera skutkować będzie całkowitą utratą systemu, czym Petya wyróżnia się od większości dotychczasowych ransomware – ocenia ekspert. - Niestety pomimo nagłośnienia istnienia wielu luk w systemach Microsoft i udostępnienia odpowiednich łat oraz globalnej skali drugiej fali ataku WannaCry nadal tysiące organizacji, w tym zarządzających infrastrukturą krytyczną, nie zdołały usprawnić swoich zabezpieczeń. Ponieważ Petya wykorzystuje dodatkowe wektory ataku, sama aktualizacja systemu operacyjnego nie wystarcza do całkowitej ochrony. Oznacza to, że oprócz aktualizowania oprogramowania konieczne są odpowiednie praktyki i narzędzia zabezpieczające.
Lakhani przypomina, że z finansowej perspektywy WannaCry nie był szczególnie udany, ponieważ nie wygenerował dużych zysków dla jego twórców.
- Powodem tego było stosunkowo szybkie odnalezienie recepty na zneutralizowanie ataku. Z kolei Petya jest bardziej zaawansowaną wersją, jednak dopiero się okaże czy przestępcom uda się na niej więcej zarobić – przewiduje ekspert Fortinet.
W podobnym tonie sprawę nowego ataku komentuje Sean Sullivan, doradca ds. cyberbezpieczeństwa w firmie F-Secure.
- Cyberprzestępcom wykorzystującym ostatnio WannaCry nie udało się wyłudzić dużej sumy, ponieważ nie byli w stanie poradzić sobie z liczbą ofiar dotkniętych przez złośliwe oprogramowanie, które rozprzestrzeniło się na niespotykaną skalę – ocenia Sean Sullivan. - Wygląda na to, że cyberatak przy użyciu ransomware o nazwie Petya jest bardziej „przemyślanym” działaniem nastawionym na zysk. Skończyły się czasy, w których globalne cyberataki mające na celu wyłudzanie okupów są przeprowadzane przez amatorów.
Ransomware ewoluuje, kolejne ataki będą groźniejsze
Leszek Tasiemski, ekspert ds. cyberbezpieczeństwa w firmie F-Secure zwraca uwagę na fakt, że w ostatnich dwóch wypadkach ataków typu ransomware użyte do tego oprogramowanie przeszło swoistą ewolucję i dlatego staje się coraz groźniejsze.
- Petya jest nowszym i skuteczniejszym odpowiednikiem niedawnego ataku ransomware o nazwie WannaCry - zaznacza Leszek Tasiemski. - W odróżnieniu od niego infekuje również w pełni zaktualizowane systemy. Atak przebiega w dwóch fazach – szerzenia infekcji oraz zaszyfrowania dostępu do danych na komputerze ofiary. Petya rozprzestrzenia się po sieci lokalnej próbując infekować sąsiednie komputery przy użyciu nazwy użytkownika i hasła wydobytego z komputera pierwszej ofiary. Po kilkudziesięciu minutach infekowania innych komputerów następuje automatyczny restart, po czym oprogramowanie szyfruje dostęp do plików i wyświetla ekran z żądaniem okupu.
Tasiemski przewiduje, że możemy spodziewać się jeszcze wielu tego typu ataków, za każdym razem bardziej wyrafinowanych i skutecznych w rozprzestrzenianiu się.
- Żyjemy w czasach, kiedy złośliwe oprogramowanie będzie regularnie zakłócać funkcjonowanie nie tylko indywidualnych użytkowników, ale nawet największych instytucji oraz firm - prognozuje ekspert i przy okazji zdradza szczegóły techniczne dotyczące ataku z wykorzystaniem nowego wirusa.
- Petya próbuje odzyskać hasła z pamięci systemu Windows, a następnie usiłuje odnaleźć i zainfekować wszystkie urządzenia w sieci lokalnej (z użyciem portów tcp/445 i tcp/139, a także mechanizmów WMI oraz PSexec) – tłumaczy Tasiemski. - Oznacza to tyle, że pierwotny wektor ataku jest klasyczny – w praktyce ktoś w coś musi kliknąć. Jednak, kiedy już infekcja nastąpi, to o ile na zainfekowanym komputerze znajdują się jeszcze ślady logowania administratora domeny, Petya może zainfekować wszystkie pozostałe komputery w sieci. Po infekcji oprogramowanie modyfikuje sektor startowy dysku (MBR), instalując na nim oprogramowanie szyfrujące. Następnie przez kilkadziesiąt (30-40) minut próbuje infekować inne maszyny w sposób opisany powyżej, po czym następuje restart maszyny i jej uruchomienie do programu szyfrującego (w trybie terminala tekstowego), który jednocześnie wyświetla informację o żądanym okupie. Szyfrowanie odbywa się przy pomocy silnego algorytmu AES-128, co oznacza nikłe szanse na odszyfrowanie zawartości bez zapłacenia okupu. Opłata za odblokowanie danych tradycyjnie odbywa się w kryptowalucie BitCoin - aktualnie jest to ekwiwalent 300 dolarów.
