Κακόβουλα αρχεία Windows EXE μολύνουν τους χρήστες macOS
infosec

Κακόβουλα αρχεία Windows EXE μολύνουν τους χρήστες macOS

Ερευνητές ασφαλείας, ανακάλυψαν πολλά αρχεία Windows EXE, που χρησιμοποιούν κακόβουλα payloads για να μολύνουν τους χρήστες macOS με infostealers και...
Read More
infosec

Η Cisco προειδοποιεί για σφάλμα κωδικού στο Network Assurance Engine

Η Cisco προειδοποιεί τους πελάτες της πως πρέπει άμεσα να εγκαταστήσουν μία αναβάθμιση, η οποία θα διορθώσει ένα πολύ σοβαρό...
Read More
infosec

500px: Παραβίαση δεδομένων του 2018 εξέθεσε πληροφορίες χρηστών

500px: Η πλατφόρμα κοινοποίησης φωτογραφιών αποκάλυψε πως υπήρχε ένα σφάλμα ασφαλείας που εξέθεσε τα προσωπικά δεδομένα χρηστών και τις πληροφορίες...
Read More
infosec

Χακαρισμένοι λογαριασμοί Twitter χρησιμοποιούνται για να προμοτάρουν την Σαουδική Αραβία

Αρκετοί verified λογαριασμοί Twitter έχουν αναληφθεί από παλιούς συνεργάτες την Σαουδική Αραβία και μερικοί τους έχουν χρησιμοποιήσει για να προωθήσουν...
Read More
infosec

10 εταιρείες που προσπάθησαν να αγοράσουν το Facebook

Το Facebook, όπως γνωρίζουμε όλοι, δεν είναι μόνο μια από τις πιο αγαπημένες και δημοφιλής πλατφόρμες δισεκατομμύρια χρηστών αλλά και...
Read More
Latest Posts

Petya/Notpetya. Το ransomware «μεταλλάχθηκε» σε wiper (;)

Ransomware ή Wiper: Μια ενδιαφέρουσα τροπή φαίνεται να λαμβάνει η πρόσφατη κυβερνοεπίθεση με το κακόβουλο λογισμικό Petya/Notpetya που έπληξε δεκάδες χώρες σε ολόκληρο τον κόσμο αυτή την εβδομάδα. Εμπειρογνώμονες ασφαλείας προσεγγίζουν ολοένα και περισσότερο την άποψη ότι το NοtPetya δεν πρόκειται για ένα συμβατικό ransomware. Όπως αναφέρουν μάλλον πρόκειται για ένα εργαλείο σαμποτάζ.

Ransomware

Οι εταιρείες και οι οργανισμοί που επλήγησαν από την κυβερνοεπίθεση, σε Ουκρανία, Ρωσία, ΗΠΑ, καθώς και σε άλλες χώρες της Ευρώπης, της Ασίας και της Αυστραλίας, δεν θα μπορούσαν ποτέ να ανακτήσουν τα δεδομένα τους.

Το WannaCry, ήταν ναι μεν καταστροφικό, αλλά ήταν ένα εργαλείο γεμάτο σφάλματα που δημιουργήθηκε από ερασιτέχνες. Το Petya, σύμφωνα με τους ειδικούς, δεν είναι κάποιο ερασιτεχνικό εργαλείο αλλά ένα πανίσχυρο ransomware που μπορεί να μολύνει οποιαδήποτε έκδοση των Windows.  (Συμπεριλαμβανομένων και των Windows 10).

Από την άλλη:

Αρκετοί ερευνητές και εταιρείες ασφάλειας, συμπεριλαμβανομένης της Kaspersky, πιστεύουν ότι το κακόβουλο λογισμικό που εισέβαλε στους υπολογιστές απλώς μεταμφιεζόταν ως ransomware.

Το malware επωφελήθηκε από τον «θόρυβο» που κατάφερε να δημιουργήσει το WannaCry , κάτι που λειτούργησε σαν «δόλωμα» για τα μέσα μαζικής ενημέρωσης.

Και ενώ οι προγραμματιστές του προσπάθησαν να το κάνουν να μοιάζει με ransomware, οι ερευνητές επισημαίνουν ότι στην πραγματικότητα πρόκειται για ένα «wiper», αφού σβήνει τμήματα που χρειάζεται ένας δίσκος για να τρέξει.

Βάσει λοιπόν των ισχυρισμών των ερευνητών ασφάλειας, ακόμα κι αν πραγματοποιηθεί πληρωμή των απαιτούμενων λίτρων, ο δίσκος των θυμάτων δεν μπορεί να επανακτηθεί.

Αυτό οφείλεται στο γεγονός ότι το NotPetya παράγει ένα τυχαίο αναγνωριστικό μόλυνσης (infection ID) για κάθε υπολογιστή. Ένα ransomware που δεν χρησιμοποιεί ένα διακομιστή C&C, όπως το NotPetya, χρησιμοποιεί το αναγνωριστικό μόλυνσης για να αποθηκεύει πληροφορίες για κάθε μολυσμένο υπολογιστή, μαζί με το κλειδί αποκρυπτογράφησης.

Επειδή το NotPetya παράγει τυχαία δεδομένα για το συγκεκριμένο αναγνωριστικό, η διαδικασία αποκρυπτογράφησης είναι αδύνατη, αναφέρει ο ερευνητής Anton Ivanov, της Kaspersky.

«Τι σημαίνει αυτό; Πρώτα απ ‘όλα, αυτό είναι το χειρότερο νέο για τα θύματα – ακόμα και αν πληρώνουν τα λύτρα δεν θα πάρουν τα δεδομένα τους πίσω. Δεύτερον, αυτό ενισχύει τη θεωρία ότι η επίθεση δεν κατευθύνεται από οικονομικά κίνητρα, αλλά καταστρεπτικά», προσθέτει ο Ιβάνοφ.

Ransomware, Wiper ή κάτι άλλο;

Η Kaspersky αναφέρει ότι πάνω από το 60 τοις εκατό των επιθέσεων πραγματοποιήθηκαν στην Ουκρανία. Η Ρωσία είναι η δεύτερη στην λίστα με 30 τοις εκατό. Και αυτά είναι μόνο τα αρχικά ευρήματα της εξελισσόμενης έρευνας της εταιρείας.

Οι αρχικές αναλύσεις διαψεύδονται σιγά σιγά και η ιστορία φαίνεται πως παίρνει μια εντελώς διαφορετική τροπή.  Όλο και περισσότεροι ερευνητές θεωρούν ότι πρόκειται για μία γενικευμένη κυβερνοεπίθεση, ενδεχομένως με πολιτικά κριτήρια. Επισημαίνουν όμως ότι το NotPetya δεν είναι ransomware, αλλά ένα κακόβουλο λογισμικό που κάνει wipe τα συστήματα, καταστρέφοντας τα αρχεία.

Η MalwareTech φαίνεται ωστόσο να διαφωνεί με την προσέγγιση αυτή ισχυριζόμενη πως το λογισμικό καταστρέφει μόνο τα πρώτα 25 sections του δίσκου.

Όπως αναφέρουν πολύ σωστά οι ερευνητές:

«Αυτοί οι τομείς του δίσκου είναι απαραίτητοι, αλλά είναι επίσης άδειοι σε τυποποιημένα installations των Windows. Είναι λίγο δύσκολο να πιστέψουμε ότι οι εγκληματίες του κυβερνοχώρου δεν το γνώριζαν αυτό.»

Οι ερευνητές της MalwareTech συμφωνούν ωστόσο ότι οι χάκερ δεν είχαν σαν κίνητρό τους το οικονομικό όφελος.

Ransomware Ποιος βρίσκεται πίσω από την επίθεση;

Και ενώ οι ερευνητές συνεχίζουν τις αναλύσεις, τα ερωτήματα που προκύπτουν τώρα είναι «Ποιος το έκανε;» και «Γιατί;»

Προς το παρόν δεν έχουμε κάποια απάντηση σε αυτό. Όμως οι ουκρανικές εταιρείες κυβερνητικής ασφάλειας και υπηρεσίες πιστεύουν ότι αυτό που συνέβη ήταν μια κυβερνητικά επιχορηγούμενη επίθεση. Η συγκεκριμένη επίθεση είχε ως στόχο να προκαλέσει πλήγμα στους ουκρανικούς θεσμούς.

Όταν ρωτήθηκε αν πιστεύει ότι η Ρωσία είναι πίσω από όλα αυτά, ο επικεφαλής του τμήματος Center for Cyber Protection της Ουκρανίας απάντησε:

«Είναι δύσκολο να φανταστεί κανείς κάποιον άλλον που θα ήθελε να το κάνει αυτό».

 

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *