Další velký útok ransomwaru zasáhl nezáplatované počítače. Nejvíce je postižena Ukrajina

Útok je globální a napadá počítače různých institucí.

4
Ilustrační foto

Včera večer bezpečnostní firmy informovaly o novém masivním útoku ransomwaru, který byl zahájen 27. června v odpoledních hodinách. Ačkoli je jde o globální akci, nejvíce jsou postiženy instituce v Ukrajině. Kromě řady různých soukromých firem byly zasaženy banky, energetické firmy, dopravní služby, ale také vláda.

Podle Esetu k dalším výrazněji postiženým patří Itálie, Izrael či Srbsko. Avast uvádí, že rychle přibývají výskyty v Rusku, Indii, Francii, Španělsku a Nizozemsku. Ransomware řádí též ve střední Evropě. České republika je devátým nejvíce zasaženým státem. Bezpečnostní experti a expertky odhadují, že se jedná o variantu škodlivého kódu s názvem Petya.

„Nový ransomware připomíná známý škodlivý kód Petya. Když se mu podaří infiltrovat do MBR (Master boot record), hlavního spouštěcího záznamu počítače, zašifruje celý disk. V opačném případě šifruje jednotlivé soubory, stejně jako ransomware Mischa,“ říká Robert Lipovský, analytik z Esetu. Podle této firmy je za data požadováno výkupné ve výši 300 dolarů. (Odpovídající částka je požadována v Bitcoinech.) Malware identifikuje jako Win32/Diskcoder.C Trojan.

„V současné době jsme zastavili 12 000 pokusů o útok této modifikace ransomwaru Petya, který zneužívá exploitu EternalBlue. Z našich dat také víme, že 38 milionů počítačů, které jsme zkontrolovali minulý týden, dosud nemají záplatovaný svůj software a jsou tedy potenciálně snadno zranitelné. Skutečný počet snadno napadnutelných počítačů ale bude ještě vyšší,“ uvádí Jakub Křoustek, bezpečnostní expert z Avastu.

Použité zranitelné místo

Ve hře je tedy opět díra v protokolu SMB, kterou nedávno zneužíval WannaCry. Záplata pro SMB je k dispozici od března, zjevně ale řada počítačů stále záplatována není. Mimochodem, Microsoft z Windows bude postupně odebírat protokol SMB1.

Nástroje využité při útoku

Současně je při útoku používán PsExec, nástroj na vzdálenou instalaci softwaru. Podle Check Pointu se do útoku možná zapojil také Loki Bot, jenž se zaměřuje na odcizování přihlašovacích údajů. Tímto malwarem se můžete nakazit přes upravený dokument RTF, jenž pomocí skriptu stáhne samotný malware. Zapojení Loki Botu je ale zatím nepotvrzené.

Průběh šíření infekce v lokální síti

Když Petya pronikne na počítač, proskenuje lokální síť pomocí žádosti protokolu ARP. Pomocí protokolu SMB pak komunikuje se stroji v této síti (které odpovídají), později zahájí ještě komunikaci pomocí protokolu HTTP. Komunikace končí v momentě, kdy jsou stroje zašifrovány. Takto v kostce průběh útoku popisuje Check Point.

Ransomware Petya žádá o výkupné (foto: Avast)
Ransomware Petya žádá o výkupné (foto: Avast)

Závěr

Snímek obrazovky počítače po napadení ransomwarem nám nabídl Avast. Aktuální informace na Twitteru sdílela mj. Kateryna Kruk, známá politická aktivistka a politoložka. V jednom příspěvku popisuje, že její otec nemohl na čerpací stanici natankovat palivo. Potíže mělo např. také kijevské metro, jež nepřijímalo platební karty.

Co dodat? Kybernetické útoky mohou vážně narušit běžný život. Svět se přitom zřejmě od posledního útoku nepoučil dostatečně a instalace záplat je stále podceňována. Podceňovány mohou být také některé zásady bezpečnosti.

Mimochodem, pamatujete na Microsoft, který nedávno uvolnil určité záplaty také pro své nepodporované operační systémy Windows Vista a XP? Tvrdil, že ví o blížícím se útoku. Jednalo se o opatření namířené právě proti včerejšímu globálnímu výskytu modifikovaného ransomwaru Petya? To zatím nevíme.

Další velký útok ransomwaru zasáhl nezáplatované počítače. Nejvíce je postižena Ukrajina

Ohodnoťte tento článek!

4 KOMENTÁŘE

  1. Politická aktivistka? Tak to jo, to jepro mě vůbec ten nejdůvěryhodněší zdroj. Ale jsem člověk od přírody nedůvěřivý, to znamená nevěřím ani Avastu, ani aktivistům, to přenechám milé rád bulváru a rovnou se zeptám, kolik z vás tento „masivní“ útok skutečně postihnul?

  2. Na Ukrajině se hackerům podařilo umístit ransomware na server výrobce široce využívaného účetního programu jako jeho „novou verzi“, takže jakmile si jej firma (automaticky) stáhla a spustila „instalaci“, ransomware byl v LAN. Proto ten strmý začátek na Ukrajině.

    • No, ono se nenadarmo říká že všeliká automatizace, toliko hovada hodná jest a jestli někde správce řeší někde něco automatickýma aktualizacema, tak je prostě chobot. Totéž platí pochopitelně o automatické správě domácího PC, akorát tam se to dotkne pouze toho konkrétního trouby a jinak to nikoho neboli. Či-li kde nelze automatizaci vypnout, tam je na průser zaděláno….

  3. Podle novějších informací (např. od Kaspersky Lab) Česko není v první desítce zemí, kde je nejvíc tímto ransomwarem napadených počítačů.
    Petya nikdy ani neměla umožnit obnovit data, protože data „jen“ maže.