Ένα νέο ransomware που ονομάζεται "Petya" Επιτέθηκε σε αρκετές ιστοσελίδες μεγάλων εταιρειών. Τους προηγούμενους μήνες, το θέλω να κλάψω επίθεση Προκάλεσε χάος σε περισσότερους από 300,000 υπολογιστές παγκοσμίως. Πιστεύεται ότι ο Petya είναι συνδεδεμένος με τον ίδιο είδος εργαλείων hacking που WannaCry και μοιράζεται παρόμοια διανύσματα διάδοσης.
Η Petya έχει ήδη κρατήσει χιλιάδες υπολογιστές ομήρους, επηρεάζοντας εταιρείες και τις υποδομές τους, από... Ουκρανία προς Ηνωμένες Πολιτείες και ΙνδίαΑυτό επηρέασε το Ουκρανικό διεθνές αεροδρόμιοσε πολυεθνικές ναυτιλιακές εταιρείες, σε νομικές και διαφημιστικές εταιρείες, και οδήγησε στην παύση των συστημάτων παρακολούθησης της ακτινοβολίας σε πυρηνικές εγκαταστάσεις το Τσερνομπίλ, αποδεικνύοντας το σημαντικός παγκόσμιος αντίκτυπος αυτού του ransomware σε κρίσιμες υποδομές και βασικές υπηρεσίες.
Παγκόσμια εμβέλεια και αντίκτυπος της Petya
Πολλές εταιρείες παγκοσμίως έχουν επηρεαστεί από αυτό επίθεση ransomware που επηρεάζει υπολογιστές με συστήματα Windows και συνήθως απαιτεί διάσωση bitcoins για να προσπαθήσουν να ανακτήσουν την πρόσβαση. Οι χώρες που επηρεάστηκαν περισσότερο περιλάμβαναν Ουκρανία, Ρωσία, Ηνωμένο Βασίλειο και Ινδίααν και αναφέρθηκαν επίσης περιστατικά στην Ισπανία και σε διάφορες περιοχές της Βόρειας Αμερικής, της Νότιας Αμερικής και της Ασίας.
Οι ειδικοί ασφαλείας εντόπισαν παραλλαγές που σχετίζονται με Petya (αναφέρεται επίσης ως Πέτργουραπ), ενώ εταιρείες όπως η Kaspersky και άλλοι προμηθευτές εντόπισαν μια παραλλαγή που ονομάζεται ΌχιPetya, θεωρείται από πολλούς ειδικούς ως ψευδο-ransomware του οποίου Ο κύριος στόχος είναι να προκληθεί βλάβη. και όχι απαραίτητα για την άντληση κεφαλαίων.
Στον εταιρικό τομέα, η Πέτια επηρέασε μεγάλες διαφημιστικές ομάδες, εταιρείες υποδομής, ισχύς, φαρμακευτικά προϊόντακαθώς και κυβερνητικές υπηρεσίες και δημόσιες διοικήσεις. Το πραγματικό κόστος δεν περιορίζεται στη διάσωση: περιλαμβάνει απώλεια ή κλοπή πληροφοριώνπαρατεταμένη διακοπή των λειτουργιών, ζημία στη φήμη και τεχνικά και νομικά έξοδα. Σε πολλά περιστατικά, το σύστημα πληρωμής λύτρων κατέστη άχρηστο ή δεν παρασχέθηκε κλειδί αποκρυπτογράφησης, ενισχύοντας την υπόθεση ότι σε πολλές περιπτώσεις ο σκοπός ήταν καταστρέφουν δεδομένα και δημιουργούν αστάθεια.
Απάντηση από διεθνείς οργανισμούς και αρχές επιβολής του νόμου
Europol Δεν μπόρεσε να παράσχει επιχειρησιακά δεδομένα σχετικά με την επίθεση στα αρχικά της στάδια. Ο εκπρόσωπός του Tine Hollevoet Ανέφερε ότι προσπαθούσαν να «αποκτήσουν μια πλήρη εικόνα της επίθεσης» συνεργαζόμενοι με τον κλάδο και τους συνεργάτες τους στις αρχές επιβολής του νόμου. Το Petya «αποτελεί μια επίδειξη του πώς το κυβερνοέγκλημα μπορεί να εξελιχθεί και να αναπτυχθεί και, για άλλη μια φορά, αποτελεί μια υπενθύμιση της σημασίας των επιχειρήσεων και της ασφάλειας». ασφάλεια στον κυβερνοχώρο", δήλωσε ο Διευθύνων Σύμβουλος Ευρωπόλ, Ρομπ Γουέινραϊτ.
Εκτός από την Ευρωπόλ, ομάδες από Αντιμετώπιση περιστατικών Πολλοί προμηθευτές (όπως η Check Point, η Cisco και άλλοι) εντόπισαν παραλλαγές του Petya που εξαπλώνονταν πλευρικά εντός εταιρικά δίκτυαΠολλές αναφορές συμφωνούν ότι η επίθεση ξεκίνησε με ιδιαίτερη ισχύ στην Ουκρανία, προκαλώντας τεράστιες διαταραχές σε κρίσιμες υποδομές πριν εξαπλωθεί στην υπόλοιπη Ευρώπη και σε άλλες ηπείρους.
Πώς λειτουργεί η Petya και γιατί είναι τόσο καταστροφική
Το Petya είναι ιδιαίτερα επιβλαβές επειδή, σε αντίθεση με το ransomware που κρυπτογραφεί τα αρχεία ένα προς ένα, μπορεί κλείδωμα ολόκληρης της μονάδας δίσκουΠολλές παραλλαγές κωδικοποιούν το Κύρια εγγραφή εκκίνησης (MBR) και κρίσιμους τομείς του δίσκου και εμφανίζει ένα μήνυμα που προσομοιώνει ένα «Επισκευή συστήματος αρχείων» ενώ στην πραγματικότητα κρυπτογραφούν τον εξοπλισμό.
Σε αντίθεση με το WannaCry, η επίθεση της Petya δεν περιλαμβάνει «διακόπτης σκοτώματος»Σύμφωνα με την Europol και την ανάλυση του κλάδου, αυτό δυσχεραίνει την απενεργοποίησή του μετά την εξάπλωσή του. Σε ορισμένες περιπτώσεις, το κακόβουλο λογισμικό περιμένει περίπου μία ώρα μετά τη μόλυνση πριν επανεκκινήσει το σύστημα και εμφανίσει την προειδοποίηση κρυπτογράφησης, κατά τη διάρκεια της οποίας μπορεί να συνεχίσει να εξαπλώνεται σε όλο το δίκτυο.
El Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης σε Υπολογιστές των Ηνωμένων Πολιτειών (US-CERT) και άλλα κέντρα αντιμετώπισης άρχισαν να λαμβάνουν πολυάριθμες αναφορές για λοιμώξεις και παρατήρησαν ότι αυτή η παραλλαγή προκαλεί την Αρχεία καταγραφής των Windows και εκμεταλλεύεται τρωτά σημεία στην υπηρεσία ανταλλαγής μηνυμάτων SMB. Αυτά τα ελαττώματα επιτρέπουν την παραβίαση συστημάτων που δεν έχουν ενημερωθεί, ακόμη και αν διαθέτουν βασικές προστασίες.
Το αρχείο που αναγνωρίστηκε ως RAMSON_PETYA.SMA Περιλαμβάνει διαφορετικές παραλλαγές και φορείς μόλυνσης, μερικές από τις οποίες χρησιμοποιήθηκαν επίσης στο θέλω να κλάψω επίθεσηΟι τεχνικές διάδοσης συνδυάζουν την εκμετάλλευση SMBv1 «Αιώνιο Μπλε»εργαλεία απομακρυσμένης διαχείρισης, όπως π.χ. Psexec για πλευρική κίνηση και εκστρατείες Phishing με κακόβουλα συνημμένα ή συνδέσμους.
Στρατηγικές πρόληψης: τι να κάνετε πριν, κατά τη διάρκεια και μετά από μια επίθεση
Η καλύτερη προστασία από την Petya είναι ένα ολοκληρωμένη προληπτική στρατηγικήΟι ειδικοί προτείνουν μέτρα σε τρεις φάσεις: πριν από την επίθεση, κατά τη διάρκεια της μόλυνσης και μετά το περιστατικό, συνδυάζοντας τους τεχνικούς ελέγχους με τη διαχείριση του ανθρώπινου παράγοντα.
Πριν από την επίθεση: διατηρήστε τακτικά αντίγραφα ασφαλείας και επαληθεύτηκε μέσω προσομοιώσεων αποκατάστασης· εφαρμόστε στεγνώνει y realizaciones λειτουργικών συστημάτων και εφαρμογών· απενεργοποίηση μη ασφαλών πρωτοκόλλων όπως το SMBv1 όπου είναι δυνατόν· ανάπτυξη λύσεων πρόληψης απειλών και εκτέλεση εκπαίδευση στον κυβερνοχώρο για τους χρήστες.
Κατά τη διάρκεια της επίθεσης: αποσυνδέστε τον επηρεαζόμενο εξοπλισμό από το δίκτυο για να περιορίσετε την εξάπλωση, ειδοποιήστε τις αρχές και τις ομάδες αντιμετώπισης, αξιολογήστε το εύρος χρησιμοποιώντας πληροφορίες απειλών και συντονίστε την αντιμετώπιση με εξειδικευμένη νομική και τεχνική υποστήριξη.
Μετά τον περιορισμό: εκτελέστε μια εις βάθος αξιολόγηση ασφάλειας, να καθαρίσουν τις κερκόπορτες και τα επίμονα αντικείμενα, να πραγματοποιήσουν μια εγκληματολογική ανάλυση της αλυσίδας των γεγονότων και να ενισχύσουν το ευαισθητοποίηση χρήστηΗ εφαρμογή αρχιτεκτονικών ασφαλείας που δίνουν προτεραιότητα στην πρόληψη και την τμηματοποίηση του δικτύου μπορεί να μειώσει σημαντικά τον αντίκτυπο μελλοντικών περιστατικών.
Η περίπτωση του Petya και των παραλλαγών του καταδεικνύει ότι το ransomware έχει μετατραπεί από ένα περιθωριακό πρόβλημα σε ένα... στρατηγική απειλή Για τις επιχειρήσεις, τις κυβερνήσεις και τους πολίτες. Η εκμάθηση από αυτές τις επιθέσεις και η εφαρμογή προληπτικών μέτρων είναι ο μόνος τρόπος για τον μετριασμό των επιπτώσεων μελλοντικών επιδημιών.