Petya powraca – Aktualizacja

Czerwiec 29, 2017 w ransomware, Zagrożenia 0 petya_main

Kolejna fala infekcji zdaje się wykorzystywać mechanizm Eternalblue exploit znany z incydentu WannaCry.

Znane zagrożenie Petya ransomware pojawia się w coraz to nowych odsłonach wyposażone w kolejne funkcjonalności (ostatnio jako „GoldenEye”). Nie inaczej jest tym razem – po raz pierwszy Petya stosuje exploit z zestawu agencji wywiadowczej NSA.

Jak wynika z raportów z dotkniętych regionów, fala infekcji Petya ransomware jeszcze nie minęła. Dotkniętych problemem zostało ponad 80 większych firm, włączając w to koncerny naftowe. Najwyraźniej przydały się mechanizmy przełączające procesy wytwórcze na serwery zapasowe. Większe firmy logistyczne również odnotowały problemy.

Użytkownicy G DATA są chronieni

Bieżący wariant jest wykrywany przez wszystkie rozwiązania G DATA jako Win32.Trojan-Ransom.Petya.V oraz Trojan.Ransom.GoldenEye.B. Moduły proaktywne takie jak ExploitProtection czy AntiRansomware stanowią dodatkową warstwę ochronną.

Szczegóły techniczne

Najwyraźniej znane jest pochodzenie infekcji. Mechanizm aktualizacji szeroko stosowanego oprogramowania księgowego został skompromitowany i zastosowany do zainfekowania pierwszych ofiar. W odróżnieniu od Wannacry, atak nie był propagowany przez internet. Exploit Eternalblue został wykorzystany jedynie do infekowania kolejnych środowisk w sieciach lokalnych. Infekcja następuje poprzez wykradanie danych dostępowych do kont o wysokich uprawnieniach oraz zdalną dystrybucję groźnych plików.

Sam proces szyfrowania również wydaje się znajomy: szkodnik sprawdza, czy ma uprawnienia do nadpisania określonych obszarów dysku twardego. W zależności od wyniku może wymusić ponowne uruchomienie komputera.  

Wbrew doniesieniom platform społecznościowych ta wersja ransomware nie ma wbudowanego killswitcha.  

Wygląda na to, że składnik odpowiedzialny za propagację najnowszego zagrożenia Petya współpracuje z systemami Windows XP lepiej niż przypadek WannaCry. Nowe zagrożenie szyfrujące usuwa również podczas procesu infekcji dzienniki zdarzeń Windows.


Celem są następujące rozszerzenia plików:

.3ds .7z .accdb.  ai. asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk
.djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt
.pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls.
xlsx .xvd .zip


 

Jak przeciwdziałać?

Skuteczne środki zaradcze, które mogą zapobiec infekcji lub zminimalizować jej skutki:

Zdecydowanie odradzamy wnoszenie okupu. Nie przywróci to zaszyfrowanych plików. Adres mailowy autorów szkodnika nie jest dostępny, gdyż został zablokowany przez dostawcę poczty elektronicznej.

Jeśli infekcja zostanie zauważone przed wyświetleniem informacji o okupie, dobrą praktyką w tym wypadku będzie natychmiastowe wyłączenie systemu. Pod żadnym pozorem nie można go uruchomić ponownie – istnieje szansa, że nie wszystkie dane zostały zaszyfrowane.  

Lista IoC

SHA256: 027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745

Aktualizacja 27 czerwca, 18:15
Poważnie naruszona część krytycznej infrastruktury na Ukrainie – wpłynęły pierwsze wpłaty okupu

Infekcje Petya/GoldenEye czasowo zablokowały elementy krytycznej infrastruktury Ukrainy. Przez jakiś czas zamknięte było lotnisko w Kijowie, koncern naftowy Rosneft i przedsiębiorswo Evraz przyznały, że zostały dotknięte infekcją Petya. Infekcja objęła również terminale płatnicze w sklepach. Korporacje z Europy zachodniej (w tym z UK i z Francji) również zgłosiły przypadki infekcji w swoich sieciach.

Zgodnie z oczekiwaniami, ofiary zaczęły wpłacać okup w celu odzyskania danych z zaszyfrowanych maszyn. Znany jest tylko jeden portfel bitcoin powiązany z bieżącą falą infekcji.

G DATA zdecydowanie odradza wpłacanie okupów!

Aktualizacja 19:30
Skrzynka pocztowa atakującego została zablokowana

Dostawca poczty Posteo dowiedział się o wykorzystywaniu skrzynki do celów przestępczych (adres widniał w notce o okupie) i natychmiast zablokował do niej dostęp zgłaszając sprawę do niemieckiej agencji Bundesamt für Sicherheit in der Informationstechnik. Ani atakujący, ani ofiary nie mają obecnie dostępu do skrzynki.

Aktualizacja 28 czerwca, 09:15
Ujawniono nowe szczegóły techniczne – Rząd Ukrainy wykazuje poczucie humoru

Nasi analitycy oraz społeczność infosec zebrały więcej danych na temat kampanii ransomware. Dane zostały dodane w sekcji Szczegóły techniczne powyżej.

Rząd Ukrainy zdaje się nie tracić poczucia humoru, publikując ten post na Twitterze.

Aktualizacja 09:25
Co z nazwą?

Obecnie stosowana robocza nazwa zagrożenia – „Petya” jest nieco myląca. Z uwagi na podobieństwa do zagrożeń z serii Petya/Misha/GoldenEye, początkowo stosowaliśmy właśnie nazwę „Petya”. Pojawiały się również nazwy: NotPetya, EternalPetya, PetyaBlue, Petna, PetyaWrap, Petrwrap, SortaPetya, Nyetya, Expetr itd.

Jednak mając na uwadze fakt, że chodzi o nowy wariant zagrożenia, zdecydowaliśmy się w przyszłości stosować nazwę Petna w odniesieniu do tej wersji ransomware. Nazwy wykrywane przez skanery G DATA pozostają bez zmian.

Aktualizacja 30.06 11:45
Ransomware? Niekoniecznie.

Dokładniejsza analiza zeszłotygodniowego ataku daje więcej pytań niż odpowiedzi. Coraz więcej badaczy potwierdza to co sugerowaliśmy w naszej wcześniejszej aktualizacji tego wpisu- Petna nie została stworzona dla zysków finansowych. Pierwsze opinie i relacje ekspertów sugerowały kolejny zmasowany atak nowego wirusa szyfrującego. Na to wskazywały wszelkie dostępne informacje.

Zaobserwowaliśmy wiele podobieństw pomiędzy pierwotną wersją Petya z 2016 roku, a jej następcą GoldenEye. Ograniczony poziom funkcjonalności Petny (nadpisywanie tablic MTF i sektorów rozruchowych) jest praktycznie identyczny jak poprzednika. Diabeł tkwi w szczegółach. O ile twórcy Petya/GoldenEye zadbali o możliwość odzyskania klucza deszyfrującego, którym następnie kusili swoje ofiary, tak osoby stojące za atakami Petna „wyrzuciły klucz” pozbawiając swoje ofiary możliwości odzyskania zaszyfrowanych plików. W tym momencie atak ten można uznać za przeprowadzony w celu całkowitego zniszczenia danych na zainfekowanych stacjach roboczych. Nie wiadomo co kierowało sprawcami oaz jaki był cel dodania informacji o okupie. Możliwe, że hakerzy liczyli na tych kilka wpłat, które docelowo trafiły do ich portfela jako swoisty napiwek od ofiar.

Z pewnością twórcom udało się zdobyć olbrzymie zainteresowanie mediów na całym świecie, która mogła służyć różnym celom. Od zwykłej zasłony dymnej lub zwykłej chęci rozgłosu po ambicje i cele, których w tym momencie nie znamy. Pozostaje nam czekać na odpowiedź, aż kurz po Petna całkowicie opadnie.

Komentarze

Brak komentarzy.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Możesz użyć następujących tagów oraz atrybutów HTML-a: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Follow @gdatapl