Novi ransomware nazvan "Petya" Napao je nekoliko web stranica velikih kompanija. U prethodnim mjesecima, wannaCry napad To je izazvalo haos na više od 300,000 računara širom svijeta; vjeruje se da je Petya povezan s istim vrsta alata za hakovanje koje WannaCry koristi i dijeli slične vektore propagacije.
Petya je već uzeo hiljade računara za taoce, utičući na kompanije i njihovu infrastrukturu, od Ukrajina prema Sjedinjenim Američkim Državama i IndijiOvo je uticalo na Ukrajinski međunarodni aerodrommultinacionalnim brodarskim kompanijama, pravnim i reklamnim firmama, te je dovelo do prestanka rada sistema za praćenje zračenja u nuklearnim postrojenjima u Černobil, demonstrirajući veliki globalni utjecaj ovog ransomwarea na kritičnu infrastrukturu i esencijalne usluge.
Globalni doseg i utjecaj Petye
Brojne kompanije širom svijeta su pogođene ovim ransomware napad koji utiče na računare sa Windows sistemima i koji obično zahtijeva spašavanje u Bitcoins pokušati ponovo dobiti pristup. Među najpogođenijim zemljama su bile Ukrajina, Rusija, Ujedinjeno Kraljevstvo i Indijaiako su incidenti zabilježeni i u Španiji i raznim regijama Sjeverne Amerike, Južne Amerike i Azije.
Stručnjaci za sigurnost identificirali su varijante povezane sa Petya (također se naziva Petrwrap), dok su kompanije poput Kasperskyja i drugih dobavljača identificirale varijantu pod nazivom Ne Petya, koji mnogi stručnjaci smatraju pseudo-ransomwareom čiji Glavni cilj je nanošenje štete. a ne nužno i za prikupljanje sredstava.
U korporativnoj sferi, Petja je utjecao velike reklamne grupe, kompanije infrastruktura, energija, farmaceutski proizvodikao i vladine kancelarije i javne uprave. Pravi trošak nije ograničen samo na spašavanje: on uključuje gubitak ili krađa informacijaproduženi prekid poslovanja, šteta na ugledu i tehnički i pravni troškovi. U brojnim incidentima, sistem plaćanja otkupnine je postao neupotrebljiv ili nije obezbijeđen ključ za dešifriranje, što pojačava hipotezu da je u mnogim slučajevima svrha bila uništiti podatke i generirati nestabilnost.
Odgovor međunarodnih organizacija i organa za provođenje zakona
Europol Nije mogao pružiti operativne podatke vezane za napad u njegovim ranim fazama; njegov glasnogovornik Tine hollevoet Naznačio je da pokušavaju "dobiti potpunu sliku napada" sarađujući s industrijom i svojim partnerima u provođenju zakona. Petya "je demonstracija kako se sajber kriminal može razvijati i rasti, i još jednom, podsjetnik na važnost poslovanja i sigurnosti." cyber security", izjavio je generalni direktor Europol, Rob Wainwright.
Pored Europola, timovi iz Incident Response Više dobavljača (kao što su Check Point, Cisco i drugi) otkrilo je varijante Petye koje su se lateralno širile unutar korporativne mrežeMnogi izvještaji se slažu da je napad započeo s posebnom silom u Ukrajini, uzrokujući masovne poremećaje kritične infrastrukture prije nego što se proširio na ostatak Evrope i druge kontinente.
Kako Petja funkcioniše i zašto je toliko destruktivna
Petya je posebno štetna jer, za razliku od ransomwarea koji šifrira datoteke jednu po jednu, može zaključavanje cijelog diskaMnoge varijante kodiraju Glavni zapis za pokretanje (MBR) i kritične sektore diska i prikazuju poruku koja simulira "Popravak sistema datoteka" dok oni zapravo šifriraju opremu.
Za razliku od WannaCryja, Petjin napad ne uključuje "kill switch"Prema analizama Europola i industrije, ovo otežava njegovo onesposobljavanje nakon što se proširi. U nekim slučajevima, zlonamjerni softver čeka oko sat vremena nakon infekcije prije nego što ponovo pokrene sistem i prikaže upozorenje o šifriranju, tokom kojeg vremena može nastaviti širiti se mrežom.
El Američki tim za odgovor na računarske hitne slučajeve (US-CERT) i drugi centri za odgovor počeli su primati brojne izvještaje o infekcijama i primijetili da ova varijanta uzrokuje Windows evidencije i iskorištava ranjivosti u SMB servisu za razmjenu poruka. Ove mane omogućavaju kompromitovanje nezakrpljenih sistema čak i ako imaju osnovnu zaštitu.
Datoteka identificirana kao RAMSON_PETYA.SMA Uključuje različite varijante i vektore infekcije, od kojih su neki korišteni i u wannaCry napadTehnike širenja kombiniraju iskorištavanje SMBv1 “Vječno plavo”alati za udaljenu administraciju kao što su psexec za lateralno kretanje i kampanje phishing sa zlonamjernim prilozima ili linkovima.
Strategije prevencije: šta učiniti prije, tokom i nakon napada
Najbolja zaštita od Petje je sveobuhvatna preventivna strategijaStručnjaci preporučuju mjere u tri faze: prije napada, tokom infekcije i nakon incidenta, kombinirajući tehničke kontrole s upravljanjem ljudskim faktorom.
Prije napada: održavati redovne sigurnosne kopije i provjereno simulacijama restauracije; primijeniti zakrpe i ažuriranja operativnih sistema i aplikacija; onemogućite nesigurne protokole kao što je SMBv1 gdje je to moguće; implementirajte rješenja za sprječavanje prijetnji i izvršite obuka za kibernetičku sigurnost za korisnike.
Tokom napada: isključite pogođenu opremu s mreže kako biste spriječili širenje, obavijestite vlasti i timove za odgovor, procijenite obim koristeći obavještajne podatke o prijetnjama i koordinirajte odgovor sa specijaliziranom pravnom i tehničkom podrškom.
Nakon zadržavanja: izvršiti detaljna sigurnosna procjena, očistiti skrivena vrata i uporne artefakte, izvršiti forenzičku analizu lanca događaja i ojačati svijest korisnikaImplementacija sigurnosnih arhitektura koje daju prioritet prevenciji i segmentaciji mreže može značajno smanjiti utjecaj budućih incidenata.
Slučaj Petye i njenih varijanti pokazuje da je ransomware od marginalnog problema postao strateška prijetnja Za preduzeća, vlade i građane. Učenje iz ovih napada i primjena proaktivnih mjera jedini je način za ublažavanje utjecaja budućih epidemija.