Petya (malware) - Petya (malware)
ASCII art z lebkou a zkříženými hnáty je zobrazen jako součást nákladu na původní verzi Péťa.
| |
| Přezdívky | GoldenEye NotPetya |
|---|---|
| Klasifikace | trojský kůň |
| Typ | Malware |
| Podtyp | Cryptovirus |
| Ovlivněné operační systémy | Okna |
Petya je rodina šifrovacího malwaru, která byla poprvé objevena v roce 2016. Malware se zaměřuje na systémy založené na systému Microsoft Windows a infikuje hlavní spouštěcí záznam, aby provedl užitečné zatížení, které zašifruje tabulku systému souborů pevného disku a zabrání spuštění systému Windows. Následně požaduje, aby uživatel provedl platbu v bitcoinech , aby znovu získal přístup do systému. Malware Petya nakazil miliony lidí během prvního roku jeho vydání. Výrobce malwaru Petya byl zatčen a pokutován.
Varianty Petya byly poprvé spatřeny v březnu 2016 a šířily se prostřednictvím infikovaných e-mailových příloh . V červnu 2017 byla pro globální kybernetický útok použita nová varianta Petya , primárně zaměřená na Ukrajinu . Nová varianta se šíří exploitem EternalBlue , o kterém se obecně věří, že byl vyvinut v USA . Národní bezpečnostní agentura (NSA) a na začátku roku byl používán ransomwarem WannaCry . Kvůli těmto rozdílům v provozu společnost Kaspersky Lab označovala tuto novou verzi jako NotPetya, aby ji odlišila od variant 2016. Navíc, i když se jedná o ransomware, byla tato varianta upravena tak, aby nemohla skutečně vrátit své vlastní změny. Útoky NotPetya byly obviňovány ruskou vládou, konkrétně hackerskou skupinou Sandworm v rámci ruské vojenské zpravodajské organizace GRU , bezpečnostními výzkumníky, Googlem a několika vládami.
Dějiny
Petya byla objevena v březnu 2016; Check Point poznamenal, že i když dosáhl méně infekcí než jiný ransomware aktivní na začátku roku 2016, jako je CryptoWall , obsahoval značné rozdíly v provozu, které způsobily, že byl „okamžitě označen jako další krok ve vývoji ransomwaru“. Další varianta Petya objevená v květnu 2016 obsahovala sekundární užitečné zatížení používané v případě, že malware nemůže dosáhnout přístupu na úrovni správce .
Jméno „Petya“ je odkazem na film GoldenEye Jamese Bonda z roku 1995 , kde je Petya jedním ze dvou sovětských zbraňových satelitů, které nesou „Goldeneye“ - atomovou bombu odpálenou na nízké oběžné dráze Země za vzniku elektromagnetického pulzu . Účet na Twitteru, který Heise navrhl, mohl patřit autorovi malwaru, nazvaného „Janus Cybercrime Solutions“ podle zločinecké skupiny Aleca Trevelyana v GoldenEye , měl avatara s obrazem postavy GoldenEye Borise Grishenka, ruského hackera a antagonisty v film hrál skotský herec Alan Cumming .
Dne 30. srpna 2018 odsoudil krajský soud ve městě Nikopol v Dněpropetrovské oblasti na Ukrajině nejmenovaného ukrajinského občana na jeden rok vězení poté, co se přiznal k šíření verze Petya online.
2017 kybernetický útok
.png)
Dne 27. června 2017, hlavní globální kybernetického útoku začal (ukrajinské společnosti byli mezi prvními, kteří uvádějí, že byli napadeni), využívající novou variantu Péťa. V ten den společnost Kaspersky Lab nahlásila infekce ve Francii, Německu, Itálii, Polsku, Velké Británii a USA, ale většina infekcí se zaměřila na Rusko a Ukrajinu, kde bylo původně napadeno více než 80 společností, včetně národní banky Ukrajiny . ESET odhadoval, že 28. června 2017 bylo 80% všech infekcí na Ukrajině, přičemž Německo bylo druhým nejtěžším hitem s přibližně 9%. Tiskový tajemník ruského prezidenta Vladimira Putina Dmitrij Peskov uvedl, že útok v Rusku nezpůsobil žádnou vážnou škodu. Experti se domnívali, že šlo o politicky motivovaný útok proti Ukrajině, protože k němu došlo v předvečer ukrajinského svátku Den ústavy .
Společnost Kaspersky nazvala tuto variantu „NotPetya“, protože má ve srovnání s předchozími variantami velké rozdíly ve svých operacích. Inženýr McAfee Christiaan Beek uvedl, že tato varianta byla navržena tak, aby se rychle šířila, a že se zaměřovala na „kompletní energetické společnosti, energetickou síť , autobusová nádraží, čerpací stanice, letiště a banky“.
Věřilo se, že aktualizace softwaru mechanismus z Médoc , že podle ukrajinského -a daň příprava programu F-Secure analytika Mikko Hypponen , „Zdá se, že de facto“ mezi společnostmi, které podnikají v zemi, byla ohrožena na šíření malware. Analýza společnosti ESET zjistila, že v aktualizačním systému byly nejméně šest týdnů před útokem přítomny zadní vrátka , což popisuje jako „důkladně dobře naplánovanou a dobře provedenou operaci“. Vývojáři společnosti MEDoc popřeli, že by byli za kybernetický útok zcela odpovědní, a uvedli, že i oni byli oběťmi.
Dne 4. července 2017 zabavila ukrajinská jednotka počítačové kriminality servery společnosti poté, co zjistila „novou aktivitu“, o které se domnívala, že povede k „nekontrolovanému šíření“ malwaru. Ukrajinská policie doporučila uživatelům MEDoc software přestat používat, protože předpokládala, že zadní vrátka jsou stále přítomna. Analýza zabavených serverů ukázala, že aktualizace softwaru nebyly použity od roku 2013, existují důkazy o ruské přítomnosti a byl ohrožen účet zaměstnance na serverech; vedoucí jednotek varoval, že společnost MEDoc může být shledána trestně odpovědnou za umožnění útoku kvůli její nedbalosti při zachování bezpečnosti jejich serverů.
Úkon
Užitečné zatížení Petya infikuje hlavní spouštěcí záznam počítače (MBR), přepíše zavaděč systému Windows a spustí restart. Po uvedení do provozu, užitečné zatížení šifruje hlavní tabulky souborů na NTFS systému souborů , a potom zobrazí zprávu výkupné náročné platba v Bitcoin . Obrazovka počítače mezitím zobrazuje text údajně vydaný chkdsk , skenerem systému souborů Windows, což naznačuje, že se opravují sektory pevného disku.
Původní užitečné zatížení vyžadovalo, aby mu uživatel udělil oprávnění správce; jedna varianta Petya byla spojena s druhým užitečným zatížením Mischa, které se aktivovalo, pokud se Petya nepodařilo nainstalovat. Mischa je konvenčnější užitečné zatížení ransomwaru, které šifruje uživatelské dokumenty i spustitelné soubory a ke spuštění nevyžaduje oprávnění správce. Dřívější verze Petya maskovaly své užitečné zatížení jako soubor PDF připojený k e-mailu. Americký tým pro reakci na počítačové hrozby (US-CERT) a Národní centrum pro integraci kybernetické bezpečnosti a komunikací (NCCIC) vydaly 30. června 2017 zprávu o počátečních zjištěních malwaru (MIFR) o Petya.
Varianta „NotPetya“ použitá v útoku v roce 2017 používá EternalBlue , exploit, který využívá zranitelnosti v protokolu SMB ( Server Message Block ) systému Windows . Obecně se věří, že EternalBlue vyvinula americká národní bezpečnostní agentura (NSA); unikl v dubnu 2017 a byl také používán WannaCry . Malware získává hesla (pomocí vylepšené verze Mimikatz s otevřeným zdrojovým kódem) a pomocí dalších technik se šíří do jiných počítačů ve stejné síti a tato hesla používá ve spojení s PSExec ke spouštění kódu na jiných místních počítačích. Navíc, přestože se stále tvrdí, že jde o ransomware, byla šifrovací rutina upravena tak, aby malware nemohl technicky vrátit své změny. Tato charakteristika spolu s dalšími neobvyklými znaky ve srovnání s WannaCry (včetně relativně nízkého poplatku za odemčení ve výši 300 USD a používání jediné pevné bitcoinové peněženky ke shromažďování výkupných plateb místo generování jedinečného ID pro každou konkrétní infekci pro účely sledování), přiměly výzkumníci spekulovat, že tento útok nebyl zamýšlen jako zisk vytvářející podnik, ale poškození zařízení rychle a jízda mimo mediální pozornosti WannaCry obdržel prohlašovat, že je ransomware.
Zmírnění
Zjistilo se, že je možné zastavit proces šifrování, pokud je infikovaný počítač okamžitě vypnut, když se objeví fiktivní obrazovka chkdsk, a bezpečnostní analytik navrhl, že vytváření souborů pouze pro čtení pojmenovaných perf.ca/nebo perfc.datv instalačním adresáři Windows by mohlo zabránit užitečné zatížení aktuálního kmene z provádění. E -mailová adresa uvedená na obrazovce výkupného byla jejím poskytovatelem Posteo pozastavena z důvodu porušení podmínek používání . V důsledku toho nemohli infikovaní uživatelé skutečně odeslat pachateli požadované potvrzení platby. Navíc, pokud byl souborový systém počítače založen na FAT, byla přeskočena šifrovací sekvence MFT a byla zobrazena pouze zpráva ransomwaru, což umožňuje triviálně obnovit data.
Společnost Microsoft již v březnu 2017 vydala opravy podporovaných verzí systému Windows k vyřešení chyby zabezpečení EternalBlue. V květnu 2017, v přímé návaznosti na WannaCry, následovaly opravy pro nepodporované verze systému Windows (například Windows XP ). Wired se domníval, že „na základě rozsahu škod, které Petya dosud způsobila, se však zdá, že mnoho společností opravování odložilo, a to navzdory jasné a potenciálně zničující hrozbě podobného šíření ransomwaru“. Některé podniky mohou považovat instalaci aktualizací na určité systémy za příliš rušivou, a to buď kvůli možnému výpadku nebo kvůli problémům s kompatibilitou, což může být v některých prostředích problematické.
Dopad
Ve zprávě zveřejněné Wired , odhad Bílého domu stanovil celkové škody způsobené společností NotPetya na více než 10 miliard dolarů. Potvrdil to bývalý poradce pro vnitřní bezpečnost Tom Bossert , který byl v době útoku nejvyšším představitelem americké vlády zaměřeným na kybernetickou bezpečnost.
Během útoku zahájeného 27. června 2017 byl systém monitorování radiace v ukrajinské Černobylové jaderné elektrárně offline. Zasaženo bylo také několik ukrajinských ministerstev, bank a systémů metra. Říká se, že to byl vůbec nejničivější kyberútok.
Mezi postižené jinde patřila britská reklamní společnost WPP , Maersk Line , americká farmaceutická společnost Merck & Co. , ruská ropná společnost Rosnefť (její produkce ropy nebyla ovlivněna), nadnárodní advokátní kancelář DLA Piper , francouzská stavební společnost Saint-Gobain a její maloobchodní a dceřiná společnost prodejny v Estonsku, britská společnost pro spotřební zboží Reckitt Benckiser , německá společnost pro osobní péči Beiersdorf , německá logistická společnost DHL , americká potravinářská společnost Mondelez International a americký provozovatel nemocnic Heritage Valley Health System. Na Cadbury Chocolate Factory v Hobartu , Tasmánie, je první společností v Austrálii, které mají být ovlivněny Péťa. Dne 28. června 2017 byl údajně zasažen JNPT , největší indický kontejnerový přístav, a všechny operace se zastavily. Komunitní nemocnice Princeton ve venkovské Západní Virginii sešrotuje a nahradí celou počítačovou síť na cestě k obnově.
Přerušení podnikání společnosti Maersk, největšího provozovatele kontejnerových lodí a zásobovacích plavidel na světě, se odhadovalo na ušlých příjmech mezi 200 a 300 miliony USD.
Podle výroční zprávy společnosti za rok 2019 se obchodní dopad na FedEx v roce 2018 odhaduje na 400 milionů USD.
Jens Stoltenberg , generální tajemník NATO , tlačil na alianci, aby posílila její kybernetickou obranu, a řekl, že kyberútok by mohl spustit zásadu kolektivní obrany podle článku 5.
Pojišťovací dopravce Mondelez International, Curychská americká pojišťovací společnost , odmítla vyplatit nárok na vyčištění škod způsobených infekcí Notpetya s odůvodněním, že Notpetya je „válečný akt“, na který se politika nevztahuje. Mondelez žaluje Curych American o 100 milionů dolarů.
Reakce
Europol uvedl, že si je vědom a naléhavě reaguje na zprávy o kybernetickém útoku v členských státech Evropské unie . Ministerstvo vnitřní bezpečnosti Spojených států amerických byl zapojen a koordinaci s mezinárodními a místními partnery. Demokratický kongresman Ted Lieu v dopise adresovaném NSA požádal agenturu, aby aktivněji spolupracovala s technologickými společnostmi, aby je upozornila na zranitelnosti softwaru a pomohla jim předcházet budoucím útokům na základě malwaru vytvořeného NSA. 15. února 2018 Trumpova administrativa obvinila z útoku Rusko a varovala, že to bude mít „mezinárodní důsledky“. Podobná prohlášení vydala také Velká Británie a australská vláda.
V říjnu 2020 DOJ jmenoval v obžalobě další důstojníky GRU. Britská vláda zároveň obvinila Sandworm GRU také z útoků na letní hry 2020.
Další pozoruhodný nízkoúrovňový malware
Viz také
Reference
Další čtení
- Greenberg, Andy (22. srpna 2018). „Nevyřčený příběh NotPetya, nejničivějšího kybernetického útoku v historii“ . Kabelové . ISSN 1059-1028 .