Το Megabreach των 773 εκατομμυρίων Passwords ξεκίνησε χρόνια πριν
infosec

Το Megabreach των 773 εκατομμυρίων Passwords ξεκίνησε χρόνια πριν

Πρόσφατα κυκλοφόρησε η είδηση, ότι σχεδόν 773 εκατομμύρια διευθύνσεις ηλεκτρονικού ταχυδρομείου και 21 εκατομμύρια passwords δημοσιεύθηκαν σε ένα φόρουμ hacking....
Read More
infosec

Instagram influencers ανακτούν τα accounts με τη βοήθεια hackers

Οι Instagram influencers που έχουν δει τους λογαριασμούς τους να χακάρονται και τις προσωπικές τους πληροφορίες να εκτίθενται, λένε ότι...
Read More
infosec

Windows 10: Πώς να διορθώσετε το browsing σφάλμα στο Microsoft Edge

Η τελευταία αναβάθμιση που κυκλοφόρησε από τη Microsoft για τα Windows 10 έφερε ένα πρόβλημα, το οποίο παρατηρείται όταν επιχειρεί...
Read More
infosec

Google Play: Κρυβόταν malware με τη χρήση των αισθητήρων κίνησης

Στην αγορά του Google Play υπάρχουν πολλές κακόβουλες εφαρμογές που δοκιμάζουν κόλπα για να αποφευχθεί η ανίχνευση τους. Για την...
Read More
infosec

Bug του Twitter δημοσίευε τα προσωπικά tweets των χρηστών για 5 χρόνια

Οι χρήστες του Twitter, οι οποίοι χρησιμοποιούν το δημοφιλές κοινωνικό δίκτυο από τις Android συσκευές τους, θα πρέπει να ελέγξουν...
Read More
Latest Posts

Petya ή NotPetya: η επόμενη μέρα | Πώς δρα & διαδίδεται το Ransomware

Σε εξέλιξη βρίσκεται το νέο μαζικό κύμα επιθέσεων ransomware που έχει προκαλέσει χάος σε αεροδρόμια, τράπεζες, επιχειρήσεις και πολλούς ακόμη κυβερνητικούς και μη οργανισμούς σε ολόκληρη την Ευρώπη. Ο λόγος για το Petya (ή NotPetya), μια νέα μορφή ransomware που χρησιμοποιεί το EternalBlue για να διεισδύσει σε υπολογιστές Windows, ομοίως με το WannaCry.

Η βασική διαφορά του;

Το WannaCry, ήταν ναι μεν καταστροφικό, αλλά ήταν ένα εργαλείο γεμάτο σφάλματα που δημιουργήθηκε από ερασιτέχνες. Το Petya, σύμφωνα με τους ειδικούς, δεν είναι κάποιο ερασιτεχνικό εργαλείο αλλά ένα πανίσχυρο ransomware που μπορεί να μολύνει οποιαδήποτε έκδοση των Windows, συμπεριλαμβανομένων και των Windows 10.

Petya ή NotPetya

Ας δούμε όπως πως διαδίδεται και πως λειτουργεί το καταστρεπτικό Ransomware.

Σύμφωνα με την ομάδα ασφαλείας της Kaspersky, το ransomware βασίζεται σε ένα προσαρμοσμένο εργαλείο με την ονομασία «a la Minikatz» για τη διάδοσή του. Αυτό εξάγει τα credentials που χρειάζεται για το spread, από τo process lsass.exe. To Lsass ή Local Security Authority Subsystem Service πρόκειται για ένα από τα πιο κρίσιμα αρχεία στο σύστημα των Windows.

«Το κακόβουλο λογισμικό χρησιμοποιεί μια πληθώρα εργαλείων για να διαδοθεί σε ένα δίκτυο, μολύνοντας τους υπολογιστές στην πορεία του. Χρησιμοποιεί ένα tweaked build του εργαλείου ανοιχτού κώδικα Minikatz για να εξαγάγει τα διαπιστευτήρια του διαχειριστή δικτύου από τη μνήμη του μηχανήματος. Στη συνέχεια χρησιμοποιεί αυτά τα στοιχεία πρόσβασης για να συνδεθεί και να εκτελέσει εντολές σε άλλα μηχανήματα, χρησιμοποιώντας τα PsExec και WMIC για να τα μολύνει.»

Η επίθεση πιστεύεται ότι ξεκίνησε μέσω μιας ευπαθούς ενημέρωσης του ουκρανικού λογισμικού MeDoc, το οποίο χρησιμοποιείται από πολλούς κυβερνητικούς οργανισμούς στη χώρα. Σύμφωνα με αναφορές, αυτός είναι και ο λόγος για τον οποίο η Ουκρανία χτυπήθηκε περισσότερο από όλες τις υπόλοιπες χώρες.

Η Kaspersky αναφέρει ότι πάνω από το 60 τοις εκατό των επιθέσεων πραγματοποιήθηκαν στην Ουκρανία και η Ρωσία είναι η δεύτερη στην λίστα με 30 τοις εκατό. Και αυτά είναι μόνο τα αρχικά ευρήματα της εξελισσόμενης έρευνας της εταιρείας.


Πως δρά το Petya;

Μόλις το κακόβουλο λογισμικό μολύνει έναν υπολογιστή, παραμένει αδρανές για περίπου μια ώρα και στη συνέχεια επανεκκινεί το σύστημα. Μετά την επανεκκίνηση, τα αρχεία κρυπτογραφούνται και τα θύματα λαμβάνουν ένα σημείωμα λύτρων στον υπολογιστή τους.  Κατά τη διαδικασία της επανεκκίνησης, τα θύματα προειδοποιούνται να μην προβούν σε τερματισμό του συστήματος επειδή μπορεί να χάσουν τα αρχεία τους.

Πόσα λύτρα έχουν πληρωθεί μέχρι στιγμής;

Όπως ήδη έχουμε αναφέρει οι πληρωμές των λύτρων γίνονται σε Bitcoins, ενώ όλες οι συναλλαγές που γίνονται στο wallet ID του εισβολέα, εμφανίζονται στο παρακάτω link:

https://bitref.com/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX

Μέχρι στιγμής έχουν πραγματοποιηθεί 42 πληρωμές, ύψους περίπου 4 BTC (~$10.000).

Petya ή NotPetya;

H Symantec, καθώς και αρκετές ακόμη εταιρείες και αναλυτές ασφάλειας εκτιμούν ότι νέο ransomware ανήκει στην οικογένεια Petya. Το ransomware «Petya» εντοπίστηκε για πρώτη φορά το 2016, σύμφωνα με τους ερευνητές της Symantec.

«To Petya υπάρχει από το 2016. Διαφέρει από τα τυπικά ransomware, καθώς δεν κρυπτογραφεί μόνο τα αρχεία, αλλά αντικαθιστά και κρυπτογραφεί την κύρια εγγραφή εκκίνησης (MBR)», αναφέρει η εταιρεία.

Ωστόσο, η Kaspersky Lab φαίνεται πως διαφωνεί με αυτή την προσέγγιση, επισημαίνοντας πως πρόκειται για μια νέα μορφή ransomware που ανήκει σε μια δική της ταξινόμηση και εμφανίζεται για πρώτη φορά, ονομάζοντας το Ransomware ως «NotPetya».

Σε κάθε περίπτωση ένα είναι το μόνο σίγουρο: Το Petya ή ΝotPetya συνεχίζει ακάθεκτο, και αυτή τη φορά δεν φαίνεται να υπάρχει κάποιο Switch kill για να ανακόψει την ξέφρενη πορεία του. Tο μόνο που μένει τώρα είναι να δούμε πως θα εξελιχθεί όλο αυτό.

 

UPDATE 28/06/2017
Προκειμένου να αποτρέψουν μια πιθανή μόλυνση, χρήστες και διαχειριστές θα πρέπει να βεβαιωθούν ότι τα συστήματά τους διαθέτουν την τελευταία ενημέρωση ασφάλειας που κυκλοφόρησε η Microsoft για την επιτυχή αντιμετώπιση των SMB exploits στα Windows. Το patch με την ονομασία «MS17-010» μπορεί να βρεθεί στον ακόλουθο σύνδεσμο: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx Eπιπλέον θα πρέπει να απενεργοποιηθεί το SMBv1 (δείτε εδώ πως) και να αποκλειστεί η πρόσβαση στις θύρες 137, 138, 139 και 445.
UPDATE 29/06/2017
Σύμφωνα με ανακοίνωση της Microsoft, το Windows Defender εντοπίζει τη νέα μορφή ransomware ως «Ransom: Win32 / Petya», οπότε θα πρέπει να βεβαιωθείτε ότι τρέχετε την έκδοση 1.247.197.0 προκειμένου το antivirus να εμποδίσει επιτυχώς την απειλή.

 

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *