Ledwie światowe koncerny pozbierały się po niedawnym wybuchu epidemii WannaCry, gdy od kilku dni obserwujemy kolejny atak, jeszcze silniejszy i poważniejszy w skutkach, który dotąd sparaliżował działania firm w ponad 65 krajach.

Globalny atak ransomware wybuchł 27 czerwca na Ukrainie, dotykając ukraińskiego banku centralnego, urzędów jak i firm prywatnych. Ransomware, początkowo nazywany „Petya”, atakuje nie tylko niezaktualizowane przez użytkowników wersje systemu Windows (jak w przypadku WannaCry), ale również wykorzystuje błędy związane z administrowaniem komputerami firmowymi podłączonymi do domeny ActiveDirectory. Wystarczy zainfekować jeden komputer w firmowej sieci, by reszta komputerów podłączonych do domeny została natychmiast zaatakowana. Niestety dotyczy to również tych komputerów i serwerów, które posiadają najnowsze aktualizacje dla Windows od Microsoftu.

Co to jest ransomware

Ransomware to złośliwe oprogramowanie mające na celu wymuszenie okupu w zamian za odblokowanie dostępu do zaszyfrowanych przezeń danych użytkownika. Ransomware, jak każde złośliwe oprogramowanie (malware), może rozprzestrzeniać się poprzez zainfekowane załączniki wiadomości e-mail, strony internetowe, a także autonomicznie przez sieć lokalną lub internet, wykorzystując znane luki w popularnym oprogramowaniu. Głośnym przykładem takiej luki była podatność protokołu SMB (współdzielenie plików w sieciach Windows), którą wykorzystywał ransomware WannaCry.

Jak działa NotPetya

Atak ransomware z 27 czerwca jest prawdopodobnie wariantem znanego już rok wcześniej ransomware Petya. Różni się od niego jednak sposobem rozprzestrzeniania się oraz do pewnego stopnia również sposobem działania. Ze względu na te różnice, ransomware został w końcu przez badaczy określony mianem NotPetya (z ang. „nie Petya) lub SortaPetya (z ang. „coś jak Petya”)

Choć pierwotne źródło ataku nie zostało jeszcze określone, wielu badaczy sugeruje, że jest nim M.E.Doc, ukraiński dostawca oprogramowania finansowego. Jego serwery zostały wykorzystane do rozpowszechniania ataku za pośrednictwem mechanizmu automatycznej aktualizacji oprogramowania. Siłę ataku spotęgował fakt, że M.E.Doc to bardzo popularna usługa na Ukrainie. Warto wspomnieć, że to nie pierwszy taki wypadek M.E.Doc. W maju firma była również podejrzana o udział w dystrybucji innego ransomware, znanego jako XData.

Gdy NotPetya zainfekował dany system operacyjny, przystępował do wykonywania kilku jednoczesnych czynności:

• szyfrował dane na komputerze ofiary,
• skanował sieć lokalną w poszukiwaniu komputerów podatnych na atak EternalBlue lub EternalRomance (znanych z działań WannaCry, ale już załatanych przez Microsoft od marca br.) i próbował je zainfekować,
• kradł dane uwierzytelniające kont administracyjnych z domeny Active Directory i za pomocą mechanizmów (skąd inną „legalnych”) PSEXEC oraz WMIC z uzyskanymi uprawnieniami starał się zainfekować pozostałe komputery w domenie AD.

Po wykonaniu tych czynności nadpisywał sektor MBR dysku twardego i wymuszał restart systemu operacyjnego, a po restarcie wyświetlał żądanie zapłaty okupu w zamian za uzyskanie narzędzia do odszyfrowania danych.

Atakujący ostatnio ransomware NotPetya (najbardziej popularna odmiana) posiada w sobie zaszytą blokadę (tzw. killswitch) – jeśli komputer był zainfekowany przez mechanizm WMIC i posiadał wcześniej utworzony plik „c:\windows\perfc”, ransomware zaprzestawał działania.

Należy tu zwrócić uwagę na trzy istotne szczegóły:
1. NotPetya infekował nawet te komputery z systemem Windows, które posiadały najświeższe aktualizacje systemu operacyjnego od Microsoftu.
2. Killswitch nie zapewnia bezpieczeństwa – poznaliśmy go, gdy było już de facto po ataku. Można się tylko domyślać, że kolejna wersja (Not)Petya tego killswitcha mieć już nie będzie.
3. *NotPetya działając na pierwszy rzut oka jako ransomware – w rzeczywistości działa jak złośliwy program niszczący – wiper (z ang. „program zamazujący”), gdyż jego mechanizmy przekazywania informacji o kluczu do odszyfrowania stacji praktycznie nie działają. To oznacza, że dane raz zaszyfrowane, są nie do odzyskania, jeśli właściciel nie posiada ich kopii zapasowej. Wygląda na to, że mamy doczynienie ze złośliwym oprogramowaniem, które nie działa jak klasyczny ransomware. Pozostaje tylko pytanie czy to zamierzone działanie czy błąd hakerów.

Mam Windows, jak żyć?

NotPetya zagraża przede wszystkim firmom, których komputery są podłączone do domeny AD. Bezpieczni nie powinni się czuć także posiadacze komputerów z Windows bez wgranych najnowszych aktualizacji od Microsoft. Przed rozprzestrzenianiem się robaków takich jak (Not)Petia czy WannaCry należy zabezpieczać się instalując w swoich sieciach nowoczesne rozwiązania bezpieczeństwa IT oraz dostosowując odpowiednio swoje polityki i zasady konfiguracyjne.

Jeszcze kilka lat temu rozwiązania bezpieczeństwa stacji końcowych oraz sieci korporacyjnych opierały się na sygnaturach (wzorcach złośliwego oprogramowania) czyli popularnych antywirusach. Takie programy działały na prostych zasadach: oprogramowanie zabezpieczające, takie jak antywirusy, skanowało pliki sygnatur znanych programów typu malware i następnie blokowało znane złośliwe pliki. Biorąc pod uwagę małą liczbę złośliwych programów i powolne tempo ich rozprzestrzeniania podejście to zapewniało wówczas rozsądną ochronę i ograniczało liczbę infekcji.

Jednak obecnie, sytuacja w IT znacznie się zmieniła. Mobilność, big data, usługi chmurowe i media społecznościowe są filarami cyfrowej rzeczywistości zwanej także Internetem rzeczy (IoT). Obecnie niezbędnym krokiem w budowaniu bezpieczeństwa jest wyposażenie sieci w nowoczesne wielowarstwowe systemy zabezpieczeń chroniące także przed nieznanymi dotąd atakami tzw. Zero-Day.

Podziel się na:
  • Facebook
  • Google Bookmarks
  • LinkedIn