Včera večer bezpečnostní firmy informovaly o novém masivním útoku ransomwaru, který byl zahájen 27. června v odpoledních hodinách. Ačkoli je jde o globální akci, nejvíce jsou postiženy instituce v Ukrajině. Kromě řady různých soukromých firem byly zasaženy banky, energetické firmy, dopravní služby, ale také vláda.
Podle Esetu k dalším výrazněji postiženým patří Itálie, Izrael či Srbsko. Avast uvádí, že rychle přibývají výskyty v Rusku, Indii, Francii, Španělsku a Nizozemsku. Ransomware řádí též ve střední Evropě. České republika je devátým nejvíce zasaženým státem. Bezpečnostní experti a expertky odhadují, že se jedná o variantu škodlivého kódu s názvem Petya.
„Nový ransomware připomíná známý škodlivý kód Petya. Když se mu podaří infiltrovat do MBR (Master boot record), hlavního spouštěcího záznamu počítače, zašifruje celý disk. V opačném případě šifruje jednotlivé soubory, stejně jako ransomware Mischa,“ říká Robert Lipovský, analytik z Esetu. Podle této firmy je za data požadováno výkupné ve výši 300 dolarů. (Odpovídající částka je požadována v Bitcoinech.) Malware identifikuje jako Win32/Diskcoder.C Trojan.
„V současné době jsme zastavili 12 000 pokusů o útok této modifikace ransomwaru Petya, který zneužívá exploitu EternalBlue. Z našich dat také víme, že 38 milionů počítačů, které jsme zkontrolovali minulý týden, dosud nemají záplatovaný svůj software a jsou tedy potenciálně snadno zranitelné. Skutečný počet snadno napadnutelných počítačů ale bude ještě vyšší,“ uvádí Jakub Křoustek, bezpečnostní expert z Avastu.
«Maman, pourquoi les gens ils quittent l'avion … pourquoi le film il marche plus !» #petya pic.twitter.com/5YTitTnFI1
— Fabian RODES (@FabianRODES) June 27, 2017
Použité zranitelné místo
Ve hře je tedy opět díra v protokolu SMB, kterou nedávno zneužíval WannaCry. Záplata pro SMB je k dispozici od března, zjevně ale řada počítačů stále záplatována není. Mimochodem, Microsoft z Windows bude postupně odebírat protokol SMB1.
Nástroje využité při útoku
Současně je při útoku používán PsExec, nástroj na vzdálenou instalaci softwaru. Podle Check Pointu se do útoku možná zapojil také Loki Bot, jenž se zaměřuje na odcizování přihlašovacích údajů. Tímto malwarem se můžete nakazit přes upravený dokument RTF, jenž pomocí skriptu stáhne samotný malware. Zapojení Loki Botu je ale zatím nepotvrzené.
Průběh šíření infekce v lokální síti
Když Petya pronikne na počítač, proskenuje lokální síť pomocí žádosti protokolu ARP. Pomocí protokolu SMB pak komunikuje se stroji v této síti (které odpovídají), později zahájí ještě komunikaci pomocí protokolu HTTP. Komunikace končí v momentě, kdy jsou stroje zašifrovány. Takto v kostce průběh útoku popisuje Check Point.
Závěr
Snímek obrazovky počítače po napadení ransomwarem nám nabídl Avast. Aktuální informace na Twitteru sdílela mj. Kateryna Kruk, známá politická aktivistka a politoložka. V jednom příspěvku popisuje, že její otec nemohl na čerpací stanici natankovat palivo. Potíže mělo např. také kijevské metro, jež nepřijímalo platební karty.
Co dodat? Kybernetické útoky mohou vážně narušit běžný život. Svět se přitom zřejmě od posledního útoku nepoučil dostatečně a instalace záplat je stále podceňována. Podceňovány mohou být také některé zásady bezpečnosti.
Just called my father. He says he couldn't buy fuel at a petrol station, the system is shut down.
Everyone is disoriented.— Kateryna_Kruk (@Kateryna_Kruk) June 27, 2017
What #Russia has hit in #cyberattack in #Ukraine SO FAR:
Government Ministry
Power grid
Banks
Media
Postal
Airport
Cell/internet providers— ArianaGic/Аріянॳць (@GicAriana) June 27, 2017
National Police was targeted too, but it withstood all attacks.#Ukraine #CyberAttack
— Kateryna_Kruk (@Kateryna_Kruk) June 27, 2017
New victims in #Ukraine #CyberAttack: Ministry of Interior Affairs, Kyiv City administration, Pension Fund of Ukraine(!!!)
— Kateryna_Kruk (@Kateryna_Kruk) June 27, 2017
Even #Kyiv metro is under cyber attack. Payments by banking cards aren't accepted. https://t.co/1iuh4lK6h0
— Kateryna_Kruk (@Kateryna_Kruk) June 27, 2017
Mimochodem, pamatujete na Microsoft, který nedávno uvolnil určité záplaty také pro své nepodporované operační systémy Windows Vista a XP? Tvrdil, že ví o blížícím se útoku. Jednalo se o opatření namířené právě proti včerejšímu globálnímu výskytu modifikovaného ransomwaru Petya? To zatím nevíme.
Politická aktivistka? Tak to jo, to jepro mě vůbec ten nejdůvěryhodněší zdroj. Ale jsem člověk od přírody nedůvěřivý, to znamená nevěřím ani Avastu, ani aktivistům, to přenechám milé rád bulváru a rovnou se zeptám, kolik z vás tento “masivní” útok skutečně postihnul?
Na Ukrajině se hackerům podařilo umístit ransomware na server výrobce široce využívaného účetního programu jako jeho “novou verzi”, takže jakmile si jej firma (automaticky) stáhla a spustila “instalaci”, ransomware byl v LAN. Proto ten strmý začátek na Ukrajině.
No, ono se nenadarmo říká že všeliká automatizace, toliko hovada hodná jest a jestli někde správce řeší někde něco automatickýma aktualizacema, tak je prostě chobot. Totéž platí pochopitelně o automatické správě domácího PC, akorát tam se to dotkne pouze toho konkrétního trouby a jinak to nikoho neboli. Či-li kde nelze automatizaci vypnout, tam je na průser zaděláno….
Podle novějších informací (např. od Kaspersky Lab) Česko není v první desítce zemí, kde je nejvíc tímto ransomwarem napadených počítačů.
Petya nikdy ani neměla umožnit obnovit data, protože data “jen” maže.