Το Petya Malware εκθέτει τα ευπάθειες του λογισμικού υπολογιστών

Πρόσφατα, αρκετές οργανώσεις τόσο στην Ευρώπη όσο και στις ΗΠΑ έχουν γονατιστεί χάρη σε μια νέα επίθεση ransomware που ονομάζεται "Petya". Πρόκειται για ένα κακόβουλο λογισμικό, το οποίο έχει περάσει από πολλές μεγάλες επιχειρήσεις, συμπεριλαμβανομένης της εταιρείας τροφίμων Mondelez , WPP, διαφημιζόμενος, η Maersk, μια δανική εταιρεία εφοδιαστικής και η DLA Piper, νομική εταιρία. Όλες αυτές οι εταιρείες έχουν βιώσει υπολογιστές και κλειδαριές δεδομένων και ζήτησαν να πληρώσουν λύτρα για πρόσβαση.

Αυτή η επίθεση είναι ανησυχητική επειδή είναι η δεύτερη μεγάλη επίθεση ransomware σε δύο μήνες, η οποία έχει επηρεάσει εταιρείες σε όλο τον κόσμο. Ίσως να θυμάστε ότι τον Μάιο, η Εθνική Υπηρεσία Υγείας, NHS, στη Βρετανία, μολύνθηκε από κακόβουλο λογισμικό που ονομάζεται WannaCry. Αυτό το πρόγραμμα επηρέασε το NHS και πολλούς άλλους οργανισμούς ανά τον κόσμο. Το WannaCry αποκαλύφθηκε για πρώτη φορά στο κοινό όταν διαρρεύσαν έγγραφα που σχετίζονται με το NHS απελευθερώθηκαν ηλεκτρονικά από hackers γνωστούς ως Shadow Brokers τον Απρίλιο.

Το λογισμικό WannaCry, που ονομάζεται επίσης WannaCrypt, επηρέασε περίσσεια 230.000 υπολογιστών, τα οποία βρίσκονταν σε περισσότερες από 150 χώρες σε όλο τον κόσμο. Εκτός από το NHS, η Telefónica, μια ισπανική τηλεφωνική εταιρεία, και οι κρατικοί σιδηρόδρομοι στη Γερμανία επιτέθηκαν επίσης.

Παρόμοια με την WannaCry, η "Petya" εξαπλώνεται γρήγορα σε όλα τα δίκτυα που χρησιμοποιούν τα Microsoft Windows. Το ερώτημα είναι, όμως, τι είναι αυτό; Θέλουμε επίσης να μάθουμε γιατί συμβαίνει και πώς μπορεί να σταματήσει.

Τι είναι το Ransomware;

Το πρώτο πράγμα που πρέπει να καταλάβετε είναι ο ορισμός του ransomware. Βασικά, το ransomware είναι οποιοσδήποτε τύπος κακόβουλου λογισμικού που λειτουργεί για να εμποδίσει την πρόσβασή σας σε υπολογιστή ή δεδομένα. Στη συνέχεια, όταν προσπαθείτε να αποκτήσετε πρόσβαση σε αυτόν τον υπολογιστή ή στα δεδομένα του, δεν μπορείτε να φτάσετε σε αυτόν εκτός αν πληρώσετε λύτρα. Αρκετά δυσάρεστο και εντελώς άσχημο!

Πώς λειτουργεί το Ransomware;

Είναι επίσης σημαντικό να καταλάβετε πώς λειτουργεί το ransomware. Όταν ένας υπολογιστής μολυνθεί από ransomware, γίνεται κρυπτογραφημένος. Αυτό σημαίνει ότι τα έγγραφα στον υπολογιστή σας είναι στη συνέχεια κλειδωμένα και δεν μπορείτε να τα ανοίξετε χωρίς να πληρώσετε λύτρα. Για να περιπλέξουμε τα πράγματα, τα λύτρα πρέπει να καταβάλλονται στο Bitcoin, όχι σε μετρητά, για ένα ψηφιακό κλειδί που μπορείτε να χρησιμοποιήσετε για να ξεκλειδώσετε τα αρχεία. Αν δεν διαθέτετε αντίγραφο ασφαλείας των αρχείων σας, έχετε δύο επιλογές: μπορείτε να πληρώσετε τα λύτρα, τα οποία συνήθως είναι μερικές εκατοντάδες δολάρια σε αρκετές χιλιάδες δολάρια ή χάνετε πρόσβαση σε όλα τα αρχεία σας.

Πώς λειτουργεί το "Petya" Ransomware;

Το ransomware "Petya" λειτουργεί όπως τα περισσότερα ransomware. Αναλαμβάνει έναν υπολογιστή και στη συνέχεια ζητά $ 300 στο Bitcoin. Πρόκειται για ένα κακόβουλο λογισμικό που εξαπλώνεται γρήγορα σε ένα δίκτυο ή έναν οργανισμό μόλις μολυνθεί ένας υπολογιστής. Αυτό το συγκεκριμένο λογισμικό χρησιμοποιεί την ευπάθεια EternalBlue, η οποία είναι μέρος των Microsoft Windows. Παρόλο που η Microsoft κυκλοφόρησε τώρα μια ενημερωμένη έκδοση κώδικα για την ευπάθεια, δεν το έχουν εγκαταστήσει όλοι. Το ransomware μπορεί επίσης να εξαπλωθεί μέσω των εργαλείων διαχείρισης των Windows, το οποίο είναι προσβάσιμο αν δεν υπάρχει κωδικός πρόσβασης στον υπολογιστή.

Εάν το κακόβουλο λογισμικό δεν μπορεί να πάρει με έναν τρόπο, προσπαθεί αυτόματα ένα άλλο, το οποίο έχει εξαπλωθεί τόσο γρήγορα μεταξύ αυτών των οργανώσεων. Έτσι, η "Petya" εξαπλώνεται πολύ πιο εύκολα από την WannaCry, σύμφωνα με τους εμπειρογνώμονες στον κυβερνοχώρο.

Υπάρχει κανένας τρόπος να προστατευθείτε από την "Petya";

Αναρωτιέστε πιθανώς σε αυτό το σημείο εάν υπάρχει κάποιος τρόπος να προστατευθείτε από την "Petya". Οι περισσότερες σημαντικές εταιρείες προστασίας από ιούς έχουν υποστηρίξει ότι έχουν ενημερώσει το λογισμικό τους για να βοηθήσουν όχι μόνο να ανιχνεύσουν, αλλά και να προστατεύσουν από τη μόλυνση malware "Petya". Για παράδειγμα, το λογισμικό της Symantec προσφέρει προστασία από την "Petya" και η Kaspersky έχει ενημερώσει όλο το λογισμικό της για να βοηθήσει τους πελάτες να προστατευθούν από το κακόβουλο λογισμικό. Επιπλέον, μπορείτε να προστατεύσετε τον εαυτό σας με την ενημέρωση των Windows. Εάν δεν κάνετε τίποτα άλλο, τουλάχιστον εγκαταστήστε το κρίσιμο patch που κυκλοφόρησαν τα Windows τον Μάρτιο, το οποίο υπερασπίζεται αυτήν την ευπάθεια EternalBlue.

Αυτό σταματά έναν από τους σημαντικότερους τρόπους για να μολυνθεί και προστατεύει επίσης από μελλοντικές επιθέσεις.

Μια άλλη γραμμή άμυνας για το ξέσπασμα κακόβουλου λογισμικού "Petya" είναι επίσης διαθέσιμη και μόλις πρόσφατα ανακαλύφθηκε. Το κακόβουλο πρόγραμμα ελέγχει τη μονάδα C: για ένα αρχείο μόνο για ανάγνωση που ονομάζεται perfc.dat. Εάν το κακόβουλο λογισμικό εντοπίσει αυτό το αρχείο, δεν εκτελεί την κρυπτογράφηση. Ωστόσο, ακόμα κι αν έχετε αυτό το αρχείο, δεν εμποδίζει στην πραγματικότητα τη μόλυνση από κακόβουλο λογισμικό. Μπορεί ακόμα να εξαπλωθεί το κακόβουλο λογισμικό σε άλλους υπολογιστές σε ένα δίκτυο, ακόμη και αν ο χρήστης δεν το παρατηρήσει στον υπολογιστή του.

Γιατί αυτό το κακόβουλο λογισμικό ονομάζεται "Petya;"

Μπορεί επίσης να αναρωτιέστε γιατί αυτό το κακόβουλο λογισμικό ονομάζεται "Petya". Στην πραγματικότητα, δεν είναι τεχνικά αποκαλούμενο "Petya". Αντίθετα, μοιάζει να μοιράζεται πολλούς κώδικες με ένα παλιό κομμάτι ransomware που ονομάζεται "Petya". μετά την αρχική εκδήλωση, ωστόσο, οι ειδικοί ασφαλείας σημείωσαν ότι αυτά τα δύο ransomwares δεν ήταν τόσο παρόμοια όσο ήταν η πρώτη σκέψη. Έτσι, οι ερευνητές στο Kaspersky Lab άρχισαν να αναφέρουν το κακόβουλο λογισμικό ως "NotPetya" (αυτό είναι το πρωτότυπο!) Καθώς και άλλα ονόματα συμπεριλαμβανομένων των "Petna" και "Pneytna." Επιπλέον, άλλοι ερευνητές ονόμασαν το πρόγραμμα άλλα ονόματα συμπεριλαμβανομένων "Goldeneye" Ο Bitdefender, από τη Ρουμανία, άρχισε να το καλεί.

Ωστόσο, η "Πέτα" είχε ήδη κολλήσει.

Πού ξεκίνησε η "Petya";

Αναρωτιέστε τι ξεκίνησε η "Petya"; Φαίνεται ότι ξεκίνησε μέσω ενός μηχανισμού ενημέρωσης από λογισμικό που ενσωματώνεται σε ένα συγκεκριμένο λογιστικό πρόγραμμα. Αυτές οι εταιρείες συνεργάζονταν με την ουκρανική κυβέρνηση και απαιτούσαν από την κυβέρνηση να χρησιμοποιήσει αυτό το συγκεκριμένο πρόγραμμα. Αυτός είναι ο λόγος για τον οποίο τόσες πολλές εταιρείες στην Ουκρανία έχουν επηρεαστεί από αυτό.Οι οργανώσεις περιλαμβάνουν τράπεζες, κυβέρνηση, το σύστημα μετρό του Κιέβου, το κύριο αεροδρόμιο του Κιέβου και επιχειρήσεις κοινής ωφέλειας.

Το σύστημα που παρακολουθεί τα επίπεδα ακτινοβολίας στο Τσερνομπίλ επηρεάστηκε επίσης από το ransomware και τελικά έγινε εκτός σύνδεσης. Αυτό υποχρεώνει τους υπαλλήλους να χρησιμοποιούν χειροκίνητες συσκευές χειρός για τη μέτρηση της ακτινοβολίας στη ζώνη αποκλεισμού. Επιπλέον, υπήρξε ένα δεύτερο κύμα μολύνσεων από κακόβουλο λογισμικό που δημιουργήθηκαν από μια καμπάνια που περιείχε συνημμένα ηλεκτρονικού ταχυδρομείου, τα οποία ήταν γεμάτα με κακόβουλο λογισμικό.

Πόσο μακριά έχει εξαπλωθεί η μόλυνση "Petya";

Το ransomware "Petya" έχει εξαπλωθεί σε μεγάλο βαθμό και έχει διαταράξει τις επιχειρήσεις των εταιρειών τόσο στις ΗΠΑ όσο και στην Ευρώπη. Για παράδειγμα, επηρεάστηκαν επίσης η WPP, μια διαφημιστική εταιρεία στις ΗΠΑ, η Saint-Gobain, μια εταιρεία κατασκευαστικών υλικών στη Γαλλία, και οι επιχειρήσεις Rosneft και Evraz, πετρελαίου και χάλυβα στη Ρωσία. Μια εταιρεία του Πίτσμπουργκ, τα Heritage Valley Health Systems, έχει επίσης πληγεί από το κακόβουλο λογισμικό "Petya". Αυτή η εταιρεία διαχειρίζεται νοσοκομεία και εγκαταστάσεις φροντίδας σε όλη την περιοχή του Πίτσμπουργκ.

Ωστόσο, σε αντίθεση με το WannaCry, το κακόβουλο λογισμικό "Petya" προσπαθεί να εξαπλωθεί γρήγορα μέσω δικτύων που έχει πρόσβαση, αλλά δεν επιχειρεί να εξαπλωθεί έξω από το δίκτυο. Αυτό το γεγονός μόνο θα μπορούσε να βοηθήσει πραγματικά τα πιθανά θύματα αυτού του κακόβουλου λογισμικού, καθώς έχει περιορίσει την εξάπλωση του. Επομένως, φαίνεται να υπάρχει μείωση σε πόσες νέες μολύνσεις έχουν παρατηρηθεί.

Ποιο είναι το κίνητρο για τους εγκληματίες του κυβερνοχώρου που στέλνουν μήνυμα "Petya";

Όταν ανακαλύφθηκε αρχικά η "Petya", φαίνεται ότι το ξέσπασμα του κακόβουλου λογισμικού ήταν απλώς μια απόπειρα ενός κυβερνοεγκληματία να εκμεταλλευτεί διαφυγόντα ηλεκτρονικά όπλα στον κυβερνοχώρο. Ωστόσο, όταν οι επαγγελματίες της ασφάλειας εξέτασαν λίγο περισσότερο το ξέσπασμα κακόβουλου λογισμικού "Petya", λένε ότι ορισμένοι μηχανισμοί, όπως ο τρόπος είσπραξης των πληρωμών, είναι αρκετά ερασιτεχνικοί, επομένως δεν πιστεύουν ότι υπάρχουν σοβαροί εγκληματίες του κυβερνοχώρου.

Πρώτον, η σημείωση λύτρων που έρχεται με το κακόβουλο λογισμικό "Petya" περιλαμβάνει την ίδια διεύθυνση πληρωμής για κάθε θύμα κακόβουλου λογισμικού. Αυτό είναι περίεργο, επειδή οι επαγγελματίες δημιουργούν μια προσαρμοσμένη διεύθυνση για κάθε ένα από τα θύματά τους. Δεύτερον, το πρόγραμμα ζητά από τα θύματά του να επικοινωνούν απευθείας με τους επιτιθέμενους μέσω μιας συγκεκριμένης διεύθυνσης ηλεκτρονικού ταχυδρομείου, η οποία αναστάλθηκε αμέσως όταν ανακαλύφθηκε ότι η διεύθυνση ηλεκτρονικού ταχυδρομείου χρησιμοποιήθηκε για τα θύματα της "Petya". Αυτό σημαίνει ότι ακόμη και αν κάποιος πληρώσει τα 300 δολάρια λύτρα, δεν μπορεί να επικοινωνήσει με τους επιτιθέμενους και, επιπλέον, δεν μπορούν να έχουν πρόσβαση στο κλειδί αποκρυπτογράφησης για να ξεκλειδώσουν τον υπολογιστή ή τα αρχεία του.

Ποιοι είναι οι επιτιθέμενοι, τότε;

Οι ειδικοί στον τομέα της ασφάλειας στον κυβερνοχώρο δεν πιστεύουν ότι ένας επαγγελματικός εγκληματίας στον κυβερνοχώρο βρίσκεται πίσω από το malware "Petya", έτσι ποιος είναι; Κανείς δεν ξέρει σε αυτό το σημείο, αλλά είναι πιθανό ότι το άτομο ή τα άτομα που το εξέδωσαν ήθελαν το κακόβουλο λογισμικό να μοιάζει με απλό ransomware, αλλά είναι πολύ πιο καταστροφικό από το τυπικό ransomware. Ένας ερευνητής ασφάλειας, Nicolas Weaver, πιστεύει ότι η "Petya" είναι μια κακόβουλη, καταστροφική και σκόπιμη επίθεση. Ένας άλλος ερευνητής, ο οποίος πηγαίνει από τον Grugq, πιστεύει ότι η αρχική "Petya" ήταν μέρος μιας εγκληματικής οργάνωσης για να κερδίσει χρήματα, αλλά αυτή η "Petya" δεν κάνει το ίδιο.

Και οι δύο συμφωνούν ότι το κακόβουλο πρόγραμμα σχεδιάστηκε για να εξαπλωθεί γρήγορα και να προκαλέσει πολλές ζημιές.

Όπως αναφέρθηκε, η Ουκρανία χτυπήθηκε πολύ σκληρά από την «Πέτα,» και η χώρα έχει δείξει τα δάχτυλά της στη Ρωσία. Αυτό δεν προκαλεί έκπληξη, δεδομένου ότι η Ουκρανία κατηγόρησε τη Ρωσία για αρκετές προηγούμενες επιδρομές στον κυβερνοχώρο. Ένα από αυτά τα cyberattacks συνέβη το 2015, και είχε ως στόχο το ουκρανικό δίκτυο ηλεκτρικής ενέργειας. Τελικά κατέληξε να εγκαταλείψει προσωρινά τμήματα της δυτικής Ουκρανίας χωρίς καμία εξουσία. Ωστόσο, η Ρωσία αρνήθηκε να συμμετάσχει σε κυβερνοεπιθέσεις στην Ουκρανία.

Τι πρέπει να κάνετε αν πιστεύετε ότι είστε θύμα του Ransomware;

Πιστεύετε ότι μπορεί να είστε θύμα μιας επίθεσης ransomware; Αυτή η συγκεκριμένη επίθεση προσβάλλει έναν υπολογιστή και περιμένει περίπου μια ώρα πριν αρχίσει να ξαναρχίζει ο υπολογιστής αυθόρμητα. Εάν συμβεί αυτό, προσπαθήστε αμέσως να απενεργοποιήσετε τον υπολογιστή. Αυτό ενδέχεται να αποτρέψει την κρυπτογράφηση των αρχείων στον υπολογιστή. Σε αυτό το σημείο, μπορείτε να προσπαθήσετε να αφαιρέσετε τα αρχεία από το μηχάνημα.

Εάν ο υπολογιστής ολοκληρώσει την επανεκκίνηση και δεν εμφανιστεί ένα λύτρο, μην το πληρώσετε. Θυμηθείτε, η διεύθυνση ηλεκτρονικού ταχυδρομείου που χρησιμοποιείται για τη συλλογή πληροφοριών από τα θύματα και για την αποστολή του κλειδιού τερματίζεται. Επομένως, αποσυνδέστε τον υπολογιστή από το διαδίκτυο και το δίκτυο, διαμορφώστε ξανά το σκληρό δίσκο και, στη συνέχεια, χρησιμοποιήστε ένα αντίγραφο ασφαλείας για να εγκαταστήσετε ξανά τα αρχεία. Βεβαιωθείτε ότι πάντα δημιουργείτε αντίγραφα ασφαλείας των αρχείων σας σε τακτική βάση και πάντα διατηρείτε ενημερωμένο το λογισμικό προστασίας από ιούς.