Общ

Новата атака на Ransomware се разпространява по целия свят, дори удря Чернобил


След атаките на WannaCry Ransomware, които удариха Обединеното кралство и още 100 страни, нова вълна от кибератаки бързо се разпространява като пожар по целия свят. Този път зловредният софтуер се нарича Petya или NotPetya и се счита за по-смъртоносен от рансъмуера на WannaCry.

Той съществува от 2016 г., но се разраства само през последните няколко дни, засягайки големи предприятия в Русия, Украйна, Полша и Западна Европа по време на избухването му вчера (27 юни 2017 г.).

Петя е изключил особено различни сектори в Украйна, включително централната банка, летището в Киев, метрото, държавния производител на самолети и правителствените ведомства. Поставяйки Украйна в центъра на тази глобална кибератака.

Заместник-ръководителят на президентската администрация @dshymkiv възложи на екипа да помогне на ИТ екипите на други правителствени институции pic.twitter.com/iQw33ZJO7X

- The Bankova (@TheBankova) 27 юни 2017 г.

Какво е Петя?

Рансъмуерът съществува от 2016 г. Той се разпространява в система на Windows, като използва уязвимостта MS17-010 или по-известна като EternalBlue - също използвана в WannaCry. Други инструменти като EternalRomance също могат да се използват за използване на уязвимости в системата. Ако една система, притежаваща административни атрибути, е заразена, тя може да разпространи заразата до всеки друг компютър в мрежата чрез WMI или PSEXEC.

След като Петя е проникнала в системата, тя чака 10 до 60 минути, за да се рестартира. Докато системата се рестартира, зловредният софтуер започва да шифрова файлове и презаписва основния запис за зареждане (MBR) с модифициран зареждащ файл, показващ бележка за откуп. Хакерите обещават, че криптирани файлове могат да бъдат възстановени, ако жертвите плащат откупа от $ 300 в биткойни. Те предоставиха имейл адрес, на който жертвите могат да изпратят номерата на портфейлите си. Този имейл акаунт обаче вече е деактивиран, което означава, че тези, които наскоро са били засегнати от зловредния софтуер, вече не могат да извличат своите криптирани файлове. Съобщава се, че портфейлът за биткойн, свързан с кибер атаката, е получил редица плащания и има три биткойни в него или £ 5 640 ($ 7 240).

[Източник на изображението: Symantec]

Германският доставчик на имейли Posteo реагира бързо на атаката на злонамерения софтуер. „Разбрахме, че изнудвачите на рансъмуер в момента използват адрес на Posteo като средство за контакт. Нашият екип за борба със злоупотребите незабавно провери това и веднага блокира акаунта“. Posteo потвърди следните условия към обяд, 27 юни 2017 г. Изнудвачите вече нямаха достъп до имейл акаунта, за да изпращат имейли. И изпращането на имейли до акаунта също вече не е възможно.

И така, какво представлява псевдонимът "NotPetya"? Лабораторията на Касперски съобщи, че зловредният софтуер, който се прокрадва в различни организации по света, не е вариант на Petya. Вместо това това е нов рансъмуер и те са решили да го нарекат NotPetya.

Най-новото от изследователите на @kaspersky на #Petya: всъщност е # NotPetyapic.twitter.com / uTVBUul8Yt

- Лаборатория на Касперски (@kaspersky) 27 юни 2017 г.

Как Петя е по-смъртоносна от WannaCry

Този рансъмуер прави повече от просто криптиране на файлове. Той също така презаписва и кодира MBR, което е основна част от системата за стартиране на компютъра. MBR съдържа информация за твърдия диск, използван за зареждане на операционната система. Ако зловредният софтуер успее да проникне в MBR, той ще шифрова самото устройство или ще шифрова всички файлове.

Освен това рансъмуерът също търси пароли на засегнатия компютър и се опитва да извлече идентификационни данни за влизане на регистрирани потребители от паметта или от локалната файлова система. Като злоупотребява с PSEXEC, Petya може да се разпространява през цяла мрежа, като насочва компютъра на администратор. След като основната система е нарушена, другите компютри под хост компютъра също могат да бъдат проникнати.

Изследователят на ESET Робърт Липовски обясни как е възможно широкото разпространение на Петя.

"Тази мощна комбинация вероятно е причината, поради която огнището се разпространява бързо, дори след като предишните огнища са генерирали заглавия и повечето уязвимости е трябвало да бъдат закърпени. Необходим е само един непоправен компютър, за да влезе в мрежата. Оттам нататък зловредният софтуер може да поеме администраторски права и разпространение на други компютри ".

Petya е и по-известен, тъй като прониква в закърпените компютри с Windows, дори тези с Windows 10. От друга страна, WannaCry до голяма степен пробива през по-стари системи.

Кой е засегнат?

Един от гигантите в петролната и газовата индустрия, Роснефт, съобщи, че тяхната система е била засегната от кибератаката Petya. Но тя веднага прибягна до системата за контрол на резервите на компанията, която им позволи да продължат ежедневната си работа. Роснефт е най-голямата публично търгувана петролна компания в света, която се управлява и притежава от руското правителство. Енергийната компания потърси помощта на руските служби за сигурност, за да разследва кибератаката, избухнала следобед на 27 юни 2017 г.

"Роснефт и нейните дъщерни дружества работят редовно. Тези, които разпространяват фалшиви и панически съобщения, ще бъдат подведени под отговорност заедно с тези, които стоят зад хакерската атака", каза говорителят на Роснефт Михаил Леонтьев.

Кибер атаката може да доведе до сериозни последици, обаче, поради факта, че компанията е преминала към система за контрол на резервите ...

- Роснефт (@RosneftEN) 27 юни 2017 г.

... нито производството, нито процесите на подготовка на петрола бяха спрени.

- Роснефт (@RosneftEN) 27 юни 2017 г.

След като беше една от силно засегнатите държави по време на рансъмуера WannaCry, Великобритания не беше пощадена от настоящата световна кибер атака Petya. Британската агенция за маркетинг и реклама WPP заяви, че техните ИТ системи са засегнати от Petya.

ИТ системите в няколко компании от WPP са засегнати от предполагаема кибер атака. Вземаме подходящи мерки и ще актуализираме възможно най-скоро.

- WPP (@WPP) 27 юни 2017 г.

Датската глобална транспортна и логистична компания Maersk заяви, че ИТ системите в няколко от техните сайтове и бизнес звена са деактивирани.

АКТУАЛИЗАЦИЯ 23:00 CEST pic.twitter.com/ITmwGIHD6e

- Maersk (@Maersk) 27 юни 2017 г.

Най-известният ядрен сайт в Чернобил в Украйна също беше причинен от рансъмуера, който успя да парализира уебсайта на централата. В резултат на това системата за радиационен мониторинг на Чернобил беше изключена офлайн след кибератаката. Това означава, че служителите трябва да измерват нивата на радиация с помощта на ръчни устройства.

Държавната агенция за управление на екзекуционната зона в Чернобил заяви в прессъобщение:

"Във връзка с кибератаката площадката на атомната електроцентрала в Чернобил не работи. Всички технически системи в станцията работят нормално. Но поради временното изключване на системите на Windows се извършва радиационен мониторинг на индустриалната площадка излиза ръчно". 

Как да се предпазите от тази продължаваща кибер атака?

Уверете се, че използвате надежден антималуерен софтуер, който е актуален. Можете също така да защитите компютъра си, като инсталирате всички актуални актуализации и корекции на Windows. Избягвайте да щраквате върху връзки и да не отваряте прикачени файлове, получени от ненадеждни или неизвестни податели.

Според ESET рестартирането на вашата система може да бъде вредно и е по-добре просто напълно да изключите компютъра си.

„Изключването на компютъра и повторното стартиране може да попречи на криптирането на диска, въпреки че няколко файла вече могат да бъдат криптирани след смяната на MBR и опит за по-нататъшно заразяване през мрежата“

Източници: Symantec, Kaspersky Lab, ESET, TruSTAR

ВИЖТЕ СЪЩО: Какво е WannaCry и как можете да защитите данните си срещу него?


Гледай видеото: The Worst Internet Hacking in The History of Mankind WannaCry Ransomware. Live Hindi facts (Юни 2021).