Bezpiecznie w sieci

Kolejny atak w największych światowych koncernach

Petya.A. to nowe ransomware, które zaatakowało przede wszystkim instytucje oraz firmy Ukrainy oraz Rosji, ale rozprzestrzeniło się na wszystkich kontynentach, infekując także firmy z Polski. Według specjalistów z brytyjskiego National Cyber Security Centre może mieć gorsze długofalowe skutki dla Europy niż atak WannaCry.

Według nieoficjalnych informacji, atak rozpoczął się około 8.00 rano i początkowo objął przede wszystkim Ukrainę, jej instytucje rządowe, polityków, potem zaś firmy zarówno prywatne, jak i państwowe, przede wszystkim dostawców mediów. Narzędziem było ransomware Peyta.A. Jest to rozwijane od 2013 roku ransomware, początkowo dość proste, rozwijane przez grupę Janus Cybercrime Solutions i po raz pierwszy w obecnej wersji obecne na rynku przestępczym od grudnia 2015 roku. Pierwszy atak z jego użyciem przeprowadzono na działy HR kilku międzynarodowych koncernów, gdzie stanowiło część folderu.zip zawierającego rzekome CV.

Reklama

Petya.A jest stosunkowo nową odmianą, szyfrującą pliki z 64 rozszerzeniami, czyli praktycznie wszystkich aplikacji używanych zarówno przez użytkowników domowych, jak i biznesowych. Skuteczniejsza niż WannaCry, bowiem szyfruje Master Boot Record; według firmy bezpieczeństwa McAffee szyfrowany jest Master File Table (MFT). W przypadku ataku z 27 czerwca, grupa, która za nim stała żądała stałego okupu 300 BT (bitcoinów). Adres portfela jest zawsze ten sam; w komunikacie o szyfrowaniu przestępcy domagali się przesłania klucza i adresu BTC,z którego dokonano wpłaty na e-mail wowsmith123456@posteo.net.

Co ciekawe, około godziny 15.00 administratorzy Posteo zablokowali ten adres mailowy ( wieczorem został jednak odblokowany), tym samym uniemożliwiając przesłanie "potwierdzenia zapłaty" przestępcom i odszyfrowanie swoich plików. Prawdopodobnie problemy z adresem i doświadczenia z WannaCry, kiedy to nawet zapłacenie przestępcom nie umożliwiało odszyfrowania plików, powodowało, że jak podawał serwis Blockchain, o 19.00 na koncie przestępców znajdowało się tylko 1,25 BT czyli około 14000 zł.

Około 10.00 rano atak zablokował dwa ministerstwa na Ukrainie, sekretariat premiera i państwowy koncern energetyczny UkrEnergo, którego zarząd oświadczył jednak iż atak nie wpłynie na dostawy energii. Nieco później ofiarami ataku zostały Międzynarodowy Port Lotniczy Kijiv Boryspil, którego dyrektor Pawło Riabikin najpierw stwierdził iż nastąpił "masywny atak spamowy" zaś później przyznał iż należy spodziewać się opóźnień w lotach, wreszcie bank centralny Ukrainy, który poinformował w oświadczeniu o atakach na inne banki - państwowe i prywatne m.in. Oszadzbank. Ofiarą ataku padła też największa ukraińska firma lotnicza - Antonow oraz dystrybutor energii Kievenergo i firma usług pocztowych Nowa Poszta, a także kijowskie metro.

W wypowiedzi dla agencji Interfax, minister spraw wewnętrznych Ukrainy, Anton Geraszczenko, oskarżył o ten atak Rosję, stwierdzając iż zorganizowały go rosyjskie służby wywiadowcze. "Ten atak jest największym w historii Ukrainy. Jego celem jest destabilizacja sytuacji ekonomicznej i spokoju społecznego na Ukrainie" - zauważył.

Można by tak sądzić, ponieważ ukraińscy specjaliści bezpieczeństwa około 20.00 znaleźli wektor ataku. To miejscowe popularne aplikacje do zarządzania dokumentami M.E.doc, których używają najczęściej instytucje państwowe. Ktoś dokonał podmiany aktualizacji tego oprogramowania na serwerze upd.me-doc.com.ua (92.60.184.55) na złośliwą wersję, która zaciągała pliki malware i skanowała porty TCP139 i TCP445.

Jednak odpowiedzialność za atak nie jest tak jednowymiarowa, bowiem, jak twierdzi rosyjska firma bezpieczeństwa, Grupa IB niemal jednocześnie nastąpił atak na banki i instytucje w Rosji. W wielu przypadkach uwieńczony powodzeniem - zablokowane zostały całkowicie dwa wrażliwe systemy naftowego koncernu Rosnieft oraz Centralnego Banku Rosji. Następną ofiarą ataku był Sbierbank oraz wielki koncern przeróbki metali Ewraz. Jednocześnie, według agencji interfax, ofiarą padły "setki firm usług informatycznych i elektronicznych oraz firm usługowych, handlowych, a nawet stacji benzynowych".

Szczególne cechy ataku Paetya.A, sprawiają iż jest on trudny do powstrzymania. Ransoware rozprzestrzenia się bowiem nie tylko przez atak na SMB przy użyciu sposobu zastosowanego w exploicie NSA Eternal Blue. Prawdopodobne są także ataki socjotechniczne czyli tradycyjne e-maile z "trującymi" załącznikami. Ofiarami padają bezpieczne dotąd komputery z Windows 10 i takie, na których zainstalowano już łatkę chroniącą przed podatnością na taki WannaCry. Co ciekawe, znane są przypadki np. z Polski, gdzie ransomware zainfekował wszystkie komputery w sieci firmowej, przyłączone do ActiveDirectory, zaś nie infekował w ogóle maszyn tam nie podpiętych. Ransomware "nie widzi" też dysków zewnętrznych i pamięci dyskowych odłączalnych i nie szyfruje ich. Od momentu infekcji do momentu uruchomienia mechanizmu szyfrowania z nieznanych przyczyn upływa zwykle od 30 do 40 minut, tak że użytkownik, który szybko zorientował się iż właśnie ransomware znalazło się na jego maszynie, może jeszcze uratować komputer, wyłączając go i próbując później usunąć ransomware z dysku przy pomocy zewnętrznej aplikacji posadowionej na systemie ratunkowym. Jednak Peyta.A ma sporą przewagę nad WannCry - korzysta z mechanizmów systemowych WMIC i PSEXEC, co umożliwia atakowanie systemów zapatchowanych i uodpornionych na WannaCry i ransomware z tej rodziny.

Szybkie rozprzestrzenienie się ransomware spowodowało iż trafiło ono także na Zachód, zaczynając od Europy Środkowej. Zaatakowane zostało 30 firm czeskich i słowackich, Peyta.A poczynił pewne spustoszenia także w Polsce. Zainfekowane zostały systemy firmy Raben, Kronospan, InterCars, wrocławskiego producenta słodyczy Mondelez, polskie systemy firmy kurierskiej TNT oraz Saint-Gobain. Jest prawdopodobne, że do systemów polskich firm Peyta.A przeniknął przez sieci ich ukraińskich oddziałów, i dalej już zakażenie postępowało po sieciach lokalnych.

Taki wektor ataku byłby także możliwy na Zachodzie - według szwajcarskiej rządowej agencji bezpieczeństwa ofiarą Petya.A padły firmy Rosji, Ukrainy, Wlk.Brytanii, Indii, Hiszpanii i Holandii. W przypadku tych ostatnich krajów ofiarą padło około 30 firm w większości należących do małych i średnich przedsiębiorstw handlowych i usługowych. Za to ofiary ransomware były także wśród wielkich firm międzynarodowych - przestały działać dwa kluczowe systemy giganta przewozowo-logistycznego Maersk z Danii, zablokowany został system wewnętrzny agencji reklamowo-eventowej WPP, znajdującej się co prawda w Wlk.Brytanii, ale działającej na całym rynku europejskim, ofiara padły także firm z Norwegii, a sam atak norweski urząd bezpieczeństwa IT określił jako "podobny do tego, który zablokował usługi Maersk".

Nieznane są jeszcze rozmiary ataku Petya.A w USA i Azji - wiadomo już jednak, ze ransomware zablokowało "liczne" firmy w Hongkongu, Wietnamie, Indiach i Chinach

Obecnie śledztwo w sprawie ataku prowadzą brytyjskie National Cyber Security Centre (NCSC) oraz E3, biuro ds. zwalczania cyberprzestępczości Europolu. Jak oświadczył dyrektor wykonawczy Europolu, Rob Wainwright "natychmiast odpowiadamy na wielkie ataki ransomware na przedsiębiorstwa w Europie". Z kolei przedstawiciele NCSC oświadczyli nieoficjalnie iż atak ransomware Peyta "może mieć gorsze długofalowe skutki dla Europy niż atak WannaCry".

Marek Meissner

INTERIA.PL
Dowiedz się więcej na temat: cyberprzestępstwa | cyberprzestępczość | ransomware
Reklama
Reklama
Reklama
Reklama
Strona główna INTERIA.PL
Polecamy
Finanse / Giełda / Podatki
Bądź na bieżąco!
Odblokuj reklamy i zyskaj nieograniczony dostęp do wszystkich treści w naszym serwisie.
Dzięki wyświetlanym reklamom korzystasz z naszego serwisu całkowicie bezpłatnie, a my możemy spełniać Twoje oczekiwania rozwijając się i poprawiając jakość naszych usług.
Odblokuj biznes.interia.pl lub zobacz instrukcję »
Nie, dziękuję. Wchodzę na Interię »