Σε εξέλιξη βρίσκεται το νέο μαζικό κύμα επιθέσεων ransomware που έχει προκαλέσει χάος σε αεροδρόμια, τράπεζες, επιχειρήσεις και πολλούς ακόμη κυβερνητικούς και μη οργανισμούς σε ολόκληρη την Ευρώπη. Ο λόγος για το Petya (ή NotPetya), μια νέα μορφή ransomware που χρησιμοποιεί το EternalBlue για να διεισδύσει σε υπολογιστές Windows, ομοίως με το WannaCry.
Η βασική διαφορά του;
Το WannaCry, ήταν ναι μεν καταστροφικό, αλλά ήταν ένα εργαλείο γεμάτο σφάλματα που δημιουργήθηκε από ερασιτέχνες. Το Petya, σύμφωνα με τους ειδικούς, δεν είναι κάποιο ερασιτεχνικό εργαλείο αλλά ένα πανίσχυρο ransomware που μπορεί να μολύνει οποιαδήποτε έκδοση των Windows, συμπεριλαμβανομένων και των Windows 10.
Ας δούμε όπως πως διαδίδεται και πως λειτουργεί το καταστρεπτικό Ransomware.
Σύμφωνα με την ομάδα ασφαλείας της Kaspersky, το ransomware βασίζεται σε ένα προσαρμοσμένο εργαλείο με την ονομασία “a la Minikatz” για τη διάδοσή του. Αυτό εξάγει τα credentials που χρειάζεται για το spread, από τo process lsass.exe. To Lsass ή Local Security Authority Subsystem Service πρόκειται για ένα από τα πιο κρίσιμα αρχεία στο σύστημα των Windows.
“Το κακόβουλο λογισμικό χρησιμοποιεί μια πληθώρα εργαλείων για να διαδοθεί σε ένα δίκτυο, μολύνοντας τους υπολογιστές στην πορεία του. Χρησιμοποιεί ένα tweaked build του εργαλείου ανοιχτού κώδικα Minikatz για να εξαγάγει τα διαπιστευτήρια του διαχειριστή δικτύου από τη μνήμη του μηχανήματος. Στη συνέχεια χρησιμοποιεί αυτά τα στοιχεία πρόσβασης για να συνδεθεί και να εκτελέσει εντολές σε άλλα μηχανήματα, χρησιμοποιώντας τα PsExec και WMIC για να τα μολύνει.”
Η επίθεση πιστεύεται ότι ξεκίνησε μέσω μιας ευπαθούς ενημέρωσης του ουκρανικού λογισμικού MeDoc, το οποίο χρησιμοποιείται από πολλούς κυβερνητικούς οργανισμούς στη χώρα. Σύμφωνα με αναφορές, αυτός είναι και ο λόγος για τον οποίο η Ουκρανία χτυπήθηκε περισσότερο από όλες τις υπόλοιπες χώρες.
Η Kaspersky αναφέρει ότι πάνω από το 60 τοις εκατό των επιθέσεων πραγματοποιήθηκαν στην Ουκρανία και η Ρωσία είναι η δεύτερη στην λίστα με 30 τοις εκατό. Και αυτά είναι μόνο τα αρχικά ευρήματα της εξελισσόμενης έρευνας της εταιρείας.
Πως δρά το Petya;
Μόλις το κακόβουλο λογισμικό μολύνει έναν υπολογιστή, παραμένει αδρανές για περίπου μια ώρα και στη συνέχεια επανεκκινεί το σύστημα. Μετά την επανεκκίνηση, τα αρχεία κρυπτογραφούνται και τα θύματα λαμβάνουν ένα σημείωμα λύτρων στον υπολογιστή τους. Κατά τη διαδικασία της επανεκκίνησης, τα θύματα προειδοποιούνται να μην προβούν σε τερματισμό του συστήματος επειδή μπορεί να χάσουν τα αρχεία τους.
Πόσα λύτρα έχουν πληρωθεί μέχρι στιγμής;
Όπως ήδη έχουμε αναφέρει οι πληρωμές των λύτρων γίνονται σε Bitcoins, ενώ όλες οι συναλλαγές που γίνονται στο wallet ID του εισβολέα, εμφανίζονται στο παρακάτω link:
https://bitref.com/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
Μέχρι στιγμής έχουν πραγματοποιηθεί 42 πληρωμές, ύψους περίπου 4 BTC (~$10.000).
Petya ή NotPetya;
H Symantec, καθώς και αρκετές ακόμη εταιρείες και αναλυτές ασφάλειας εκτιμούν ότι νέο ransomware ανήκει στην οικογένεια Petya. Το ransomware “Petya” εντοπίστηκε για πρώτη φορά το 2016, σύμφωνα με τους ερευνητές της Symantec.
“To Petya υπάρχει από το 2016. Διαφέρει από τα τυπικά ransomware, καθώς δεν κρυπτογραφεί μόνο τα αρχεία, αλλά αντικαθιστά και κρυπτογραφεί την κύρια εγγραφή εκκίνησης (MBR)”, αναφέρει η εταιρεία.
Ωστόσο, η Kaspersky Lab φαίνεται πως διαφωνεί με αυτή την προσέγγιση, επισημαίνοντας πως πρόκειται για μια νέα μορφή ransomware που ανήκει σε μια δική της ταξινόμηση και εμφανίζεται για πρώτη φορά, ονομάζοντας το Ransomware ως “NotPetya”.
Σε κάθε περίπτωση ένα είναι το μόνο σίγουρο: Το Petya ή ΝotPetya συνεχίζει ακάθεκτο, και αυτή τη φορά δεν φαίνεται να υπάρχει κάποιο Switch kill για να ανακόψει την ξέφρενη πορεία του. Tο μόνο που μένει τώρα είναι να δούμε πως θα εξελιχθεί όλο αυτό.
[su_box title=”UPDATE 28/06/2017″ box_color=”#d4dabb” title_color=”#103a13″ radius=”0″]Προκειμένου να αποτρέψουν μια πιθανή μόλυνση, χρήστες και διαχειριστές θα πρέπει να βεβαιωθούν ότι τα συστήματά τους διαθέτουν την τελευταία ενημέρωση ασφάλειας που κυκλοφόρησε η Microsoft για την επιτυχή αντιμετώπιση των SMB exploits στα Windows. Το patch με την ονομασία “MS17-010” μπορεί να βρεθεί στον ακόλουθο σύνδεσμο: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx Eπιπλέον θα πρέπει να απενεργοποιηθεί το SMBv1 (δείτε εδώ πως) και να αποκλειστεί η πρόσβαση στις θύρες 137, 138, 139 και 445.[/su_box]
[su_box title=”UPDATE 29/06/2017 ” box_color=”#d2c864″ title_color=”#103a13″ radius=”0″]Σύμφωνα με ανακοίνωση της Microsoft, το Windows Defender εντοπίζει τη νέα μορφή ransomware ως “Ransom: Win32 / Petya”, οπότε θα πρέπει να βεβαιωθείτε ότι τρέχετε την έκδοση 1.247.197.0 προκειμένου το antivirus να εμποδίσει επιτυχώς την απειλή.[/su_box]
