[ Zavřít ] 


 

RSS Kanál

 

... a Petya možná ani není ransomware KE STAŽENÍ

Kauza posledního masivního útoku Petya se lehce komplikuje. Jak ostatně napovídaly jisté znaky celé události. Laboratoře Kaspersky konstatují, že kód této nové, zmutované Petyi je natolik nepodobný původní, že to žádná Petya není. A navíc se z další analýzy kódu zjišťuje, že byl ransomware buď velmi špatně zorganizován, anebo - což je pravděpodobnější - o ransomware ani fakticky nejde. A samozřejmě zde zůstávají otázky ohledně masového cílení Ukrajiny a původu tohoto zákeřného malware.

 

V kódu Petya, NotPetya, Petya 2017 se toho skrývá ještě víc, než se skrývat zdá (Zdroj: Pixabay.com)

„Z mnohých zemí přicházejí zprávy o napadaní novým malwarem, přičemž je pravděpodobné, že se velikost epidemie ještě zvýší,“ konstatuje Kaspersky Lab. „Někteří z expertů naznačili, že tento nový ransomware je opět WannaCry (což není) či se jedná o variaci ransomwaru Petya (či její varianty Petya.A, Petya.D či PetrWrap). Odborníci Kaspersky Lab ovšem dospěli k závěru, že se nový ransomware výrazně liší od všech doposud známých verzí Petyi, a proto je ho třeba chápat jako zcela separátní malware. Nazýváme ho ExPetr, či neoficiálně NikolivPetya.“

Ač by to zlí jazykové mohli označit za pouhé hraní si slovy, v případě expertů kyberbezpečnosti se tato slova rovnají klíčům k pochopení malwaru a vývoji schopnosti se mu bránit. Kaspersky uvádí: „Daný kyberútok je velmi komplexní, zahrnuje hned několik útočných vektorů... K zachycení přihlašovacích údajů používá vlastní nástroje podobné utilitě Mimikatz [nástroj, který po penetraci do místní sítě, tiše sbírá všechny dosažitelné přihlašovací údaje]. Ty extrahují přihlašovací údaje z procesu lsass.exe. Přihlašovací údaje jsou poté předány PsExec či WMIC, aby se malware mohl dále šířit uvnitř sítě. Infekce dále zahrnuje tyto vektory:

  • poupravený exploit EternalBlue, taktéž použití při útoku WannaCry; 
  • exploit EternalRomance, což je exploit umožňující vzdálené spuštění kódu na systémech od Windows XP po Windows 2008 přes port 445 (mimochodem opravenou záplatou MS17-010);
  • útok proti aktualizačnímu mechanismu ukrajinského softwaru MeDoc.

Po infekci čeká 10 - 60 minut, restartuje a začíná šifrovat...“ Tolik Kaspersky.

Kód odloženého restartu počítače, po němž započíná šifrování (Zdroj: Securelist.com)

Experti z kyberbezpečnostní firmy Comae ovšem došli k závěru, že celé následující divadélko na téma vydírání je jen zástěrka. Všem obětem se totiž zobrazovala tatáž obrazovka se stejnými údaji a se stejnou adresou wowsmith123456@posteo.net, s níž měli komunikovat. Německý provozovatel Posteo samozřejmě daný mail co nejrychleji zablokoval, a pokud by komunikace s obětmi byla skutečně součástí plánu útočníků, tak by se nekonala. Navíc by to svědčilo o vyložené hlouposti agresorů. Ti ovšem nejspíš nebyli tak hloupí. V Comae si všimli, že aktuálně varianta masivně útočící na Ukrajině bootovací sektor jen nešifruje, ale že ho ničí. Petya totiž ransomware, ale wiper (smazávač, ničitel).

„Cílem wiperu je škodit a ničit. Cílem ransomwaru je vydělat peníze. Různý je záměr, motiv i příběh sám. Ransomware disponuje schopností zvrátit změny (např. obnovit MBR či dešifrovat data po zaplacení). Wiper data prostě zničí a postará se o to, aby se nedala obnovit.“ (Matt Suiche z Comae)

Nová podoba malware nikam neukládá původní šifrovanou MBR, ale prostě ji smaže. Data (v systému) jsou zašifrována, MBR je smazána, bootovací sektor poškozen. Počítač nelze nabootovat ani v případě, že by uživatel opravdu dešifrovací klíč získal. 

Rozdíl kódu Petya 2016 a Petya 2017: ta pozdější data trvale maže a nezvratně ničí (Zdroj: Comae.io)

Analýzu Comae posléze potvrdily i Kaspersky Lab. Navíc si povšimly i toho, že klíč, který měla oběť zaslat pro získání dešifrovacího klíče, je jen podvod - náhodně generovaná řada znaků. 

Shrnutí?

Nejlepší shrnutí všech detailů, souvislostí a kontextu politické situace podává sám Suiche: „Ransomware byl jen vábničkou určující způsob, jakým budou o incidentu referovat média. Tím spíš, že se útok odehrál jen krátkou dobu po rozšíření ransomwaru WannaCry. To mělo upoutat pozornost médií směrem nějaké tajuplné hackerské skupiny místo státem sponzorovaných hackerů (jako v případě útoku Shamoon). Útočník jen předělal již existující ransomware.

V poslední době se odehrála celá řada útoků proti Ukrajině: od vypnutí rozvodných sítí přes explozi auta vysoce postaveného člena vojenské kontrarozvědky až po aktuální útok Petyou 2017. 

Způsob, jakým státem sponzorovaný útok předstírá, že je hromadně se šířícím ransomwarem - a že nedávný útok WannaCry dokázal, že masivně šířený ransomware není profitabilní - dokazuje, že se skutečný útočník snaží velmi subtilní cestou určovat, jakou formou bude o záležitosti referováno.“

Ať už tedy použitý malware nazveme Petya 2017, NotPetya či ExPetr:

  • je téměř jisté, že nešlo o ransomware,
  • je vysoce pravděpodobné, že jeho skutečným cílem byla Ukrajina;
  • je jasné, že snaží skrýt svou pravou intenci a zamezit po volání sponzorů útočníků k odpovědnosti v rámci mezinárodních vztahů.

Zdroje: Kaspersky Lab official blog, Securelist.com, HackerNews.com, Comae.io, Securelist.com

 

 

Tento program naleznete ke stažení v našem katalogu www.instaluj.cz

 

 

 

 

 

Microsoft rozdává Penbook

Penbook, poznámkový náčrtník, co snese dotykové pero, prst i myš, je až do 4. července 2020 zdarma. Stačí zamířit do aplikačního obchodu Microsoft Store a nainstalovat si jej právě touto cestou. Získáte tak elektronickou tabuli k zápisu všeho...

Květnový update sníží spotřebu RAM Chromií

Google Chrome, Microsoft Edge a všechny prohlížeče běžící na jádru Chromium čeká významné snížení potřeby operační paměti, a to díky nové fičuře Windows 10 uvolňované s květnovým povýšením. Jde o SegmentHeap, funkcionalitu...

Microsoft končí s kamennými prodejnami

Koronavirus zpečetil osud kamenných prodejen Microsoftu. Znovu se už neotevřou. Ze všech poboček zůstanou zachovány jen čtyři provozovny na prestižních adresách. Ani ty ovšem nebudou sloužit maloobchodnímu prodeji, nýbrž reprezentačním účelům.  ...

Edge bez oprávnění nakládá s osobními daty

Uvolnění Microsoft Edge na vykreslovacím jádru už doprovází další kauza Microsoftu. Edge si sám naimportuje veškerá data dostupných prohlížečů, aniž by se obtěžoval zeptat se uživatele. To, co jeden může považovat za specifické selhání v...


 
© 2005-2020 PS Media s.r.o. - digital world
 

reklama