Что общего между атаками petya и wannacry
Все за сегодня
Политика
Экономика
Наука
Война и ВПК
Общество
ИноБлоги
Подкасты
Мультимедиа
Политика
Он вам не Petya и не WannaCry, но близкий родственник
Почему новый компьютерный вирус ударил именно по Украине.
В частности, на Украине от вируса пострадали государственные организации, банки, аэропорты, частные компании. Из-за него управление системой безопасности Чернобыльской АЭС пришлось перевести на ручной режим.
В России от нового вируса пострадали компьютеры компании «Роснефть» и ряда других менее крупных организаций. В Европе заражения констатированы в Дании, Великобритании, Германии, Франции, у нас и в соседней Литве. Однако нигде речь не идет о масштабах, сопоставимых с уроном на Украине.
Пока специалисты еще работают с вирусом и до конца выясняют его механизмы распространения, но на этот час уже достаточно достоверно известно довольно многое. И можно с довольно высокой долей уверенности говорить о нескольких вещах.
Первые сообщения о том, что Украину атаковал известный вирус-шифровальщик Petya не подтвердились. По данным «Лаборатории Касперского», мир имеет дело не с Petya и не с его вариациями, а с чем-то абсолютно новым. Компания Talos, которая выполнила самый подробный на этот час анализ зловреда, назвала его Nyetya.
Контекст
Дуплетом по Украине
Как Россия проявила себя на выборах в США
Кибер-казак Дональд Дак
Можно ли избежать кибер-войны?
EternalBlue использует уязвимость в ОС Microsoft Windows, которую сама компания закрыла еще несколько месяцев назад. Это значит, что, как и в случае с WannaCry, жертвы Nyetya опять сами виноваты.
Что делает Nyetya особо опасным, так это то, что для распространения внутри компьютерной сети организации он использует Psexec и WMI (Windows Management Instrumentation), два штатных инструмента, которые применяются в рутинной работе сетевых администраторов. С их помощью, например, внутри организации распространяются обновления для программного обеспечения. Они редко когда блокируются и мониторятся не только самими администраторами сетей, но и антивирусами и прочими специальными средствами защиты.
То есть, стоило в организации заразиться одной машине, как инфицированный компьютер моментально заражал всех, до кого мог дотянуться в компьютерной сети. Но почему пострадала именно Украина? И как злоумышленникам удалось заражать эти «машины-агенты«? Ведь никто добровольно себе вирус на машину не поставит… или?!
Пока ни одна антивирусная компания и ни один специалист не может со 100-процентной уверенностью назвать все механизмы заражения Nyetya, но разные источники говорят о, как минимум, двух фактах.
Во-первых, в отличие от WannaCry, атака не осуществлялась через электронную почту. То есть хакеры на этот раз исключили человеческий фактор — никто ни на что не кликал, никто не запускал то, что запускать был не должен.
Во-вторых, по крайней мере один из путей распространения Nyetya — украинская программа MeDoc, которую в стране используют для «общения» с налоговой, а за ее пределами — для работы с украинскими госструктурами и бизнесом. Об этом говорят как Talos, так и украинская киберполиция, хотя сама компания все обвинения отрицает. Впрочем, в комментариях к последней записи на Facebook немало рассерженных пользователей оставляют сообщения вида «на машине ничего не стояло, кроме вас — и она заражена!».
По мнению специалистов, вирус мог быть внедрен в одно из обновлений MeDoс, возможно, то, что распространялось неделю назад. Апдейты MeDoс ставились автоматически, без участия пользователей, так что и заражение произошло автоматически. В «час X» вирус просто включился и принялся за работу.
Вполне возможно, что и создали ее украинские хакеры, причем они оказались дилетантами в плане «работы с клиентами». Обычно авторы вирусов-шифровальщиков для связи с жертвами используют: а)много биткойн-кошельков и б)не обычную электропочту, а каналы связи в «темном интернете» Tor. В данном случае и кошелек один, и для связи предлагалось использовать почту, зарегистрированную в одной немецкой компании. В итоге компания заблокировала адрес хакеров, так что они лишились возможности общаться со своими жертвами. А жертвы — получить код для разблокирования компьютеров.
Некоторые специалисты предполагают, что Nyetya — «проба пера» некой хакерской группировки. Они сумели получить доступ к обновлениям MeDoс и подумали: «а почему бы и нет?!». Ведь для любого хакера заражение апдейтов популярной программы — это настоящий Святой Грааль. Люди и компании верят им, сами их ставят, практически добровольно становятся жертвами, причем об этом не подозревают.
Впрочем, хакеры хакерами, а что нас больше всего поражает в новой вирусной истории, так это то, что многие компании продолжают демонстрировать фантастическую беспечность. Когда специалисты по безопасности говорили, а журналисты писали про WannaCry, то все предупреждали: продолжение обязательно последует, уж очень «сладкая» уязвимость EternalBlue, хакеры так просто ее не бросят. Все, что было нужно сделать, чтобы оно не последовало — установить заплатки для Windows. Бесплатные и легкодоступные, для всех ОС, включая даже давно оставленную богом и Microsoft Windows XP. Но все равно нашлись те, кто не услышал, не поверил, не подумал, не понял и — как следствие — не поставил. Злобные ли хакеры в этом виноваты?
Материалы ИноСМИ содержат оценки исключительно зарубежных СМИ и не отражают позицию редакции ИноСМИ.
Вирус Petya: как защититься
Распространение вируса Petya стало второй серьезной глобальной кибератакой за последние два месяца. Ситуация с массовым инфицированием компьютеров в крупных компаниях по всему миру заставляет еще раз серьезно задуматься о защите ПК.
В начале мая порядка 230 000 компьютеров в более чем 150 странах были заражены вирусом-шифровальщиком WannaCry. Не успели жертвы устранить последствия этой атаки, как последовала новая — под названием Petya. От нее пострадали крупнейшие украинские и российские компании, а также госучреждения.
Киберполиция Украины установила, что атака вируса началась через механизм обновления бухгалтерского программного обеспечения M.E.Doc, которое используют для подготовки и отправки налоговой отчетности. Так, стало известно, что заражения не избежали сети «Башнефти», «Роснефти», «Запорожьеоблэнерго», «Днепроэнерго» и Днепровской электроэнергетической системы. На Украине вирус проник в правительственные компьютеры, ПК Киевского метрополитена, операторов связи и даже Чернобыльской АЭС. В России пострадали Mondelez International, Mars и Nivea.
Вирус Petya эксплуатирует уязвимость EternalBlue в операционной системе Windows. Специалисты Symantec и F-Secure утверждают, что, хотя Petya и шифрует данные, подобно WannaCry, он все же несколько отличается от других видов вирусов-шифровальщиков. «Вирус Петя — это новый вид вымогательства со злым умыслом: он не просто шифрует файлы на диске, а блокирует весь диск, делая его практически негодным, — объясняют F-Secure. – В частности, он шифрует главную файловую таблицу MFT».
Как это происходит и можно ли этот процесс предупредить?
Вирус «Петя» — как работает?
Как избавиться от Petya?
Специалисты обнаружили, что вирус Petya ищет локальный файл и, если этот файл уже существует на диске, выходит из процесса шифрования. Это значит, что защитить свой компьютер от вируса-вымогателя пользователи могут путем создания этого файла и установки его только для чтения.
Несмотря на то, что эта хитрая схема предотвращает запуск процесса вымогательства, данный метод можно рассматривать скорее как «вакцинацию компьютера». Таким образом, пользователю придется самостоятельно создавать файл. Сделать это вы можете следующим образом:
Некоторые эксперты по безопасности предлагают помимо файла C: \ windows \ perfc создать файлы C: \ Windows \ perfc.dat и C: \ Windows \ perfc.dll, чтобы тщательнее защититься от вируса Petya. Вы можете повторить описанные выше шаги для этих файлов.
Поздравляем, ваш компьютер защищен от NotPetya / Petya!
Как бороться с вирусом-вымогателем: общие рекомендации
Эксперты Symantec дают некоторые советы пользователям ПК, чтобы предостеречь их от действий, которые могут привести к блокировке файлов или потере денег.
Предотвратим потерю информации
Стоит ли ждать новых атак?
Впервые вирус Petya заявил о себе в марте 2016 года, и его поведение сразу заметили специалисты по безопасности. Новый вирус Петя поразил компьютеры на Украине и в России в конце июня 2017 года. Но этим вряд ли все закончится. Хакерские атаки с использованием вирусов-вымогателей, аналогичных Petya и WannaCry, повторятся, заявил зампред правления Сбербанка Станислав Кузнецов. В интервью ТАСС он предупредил, что подобные атаки точно будут, однако заранее сложно предугадать, в каком виде и формате они могут появиться.
Если после всех прошедших кибератак вы еще не предприняли хотя бы минимальные действия для того, чтобы защитить свой компьютер от вируса-шифровальщика, то настало время этим заняться вплотную.
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.
Отчет: WannaCry и Petya — массовые, но не самые опасные атаки
Такие вирусы, как WannaCry и Petya, о масштабных заражениях которыми сообщалось летом, не самые страшные. Об этом говорится в отчете разработчика продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью компании Solar Security за первое полугодие 2017 года. Эксперты считают наиболее опасной атаку Kill Chain («убийственная цепочка»).
«Несмотря на WannaCry и Petya, цифры по внешним инцидентам демонстрируют высокий, но не драматический рост. Дело в том, что массовые атаки на российские компании происходят регулярно, но, как правило, остаются вне поля зрения СМИ. В то же время о таком явлении, как Kill Chain пока говорят только специалисты по информационной безопасности. Таких атак еще относительно мало, но мы видим, что они перестали быть «страшилками» из презентаций западных вендоров и являются реальной угрозой. При этом большинство российских компаний не готово к их отражению», — комментирует исследование менеджер по развитию бизнеса Solar JSOC компании Solar Security Константин Черезов.
Kill Chain формируют атаки, состоящие из нескольких последовательных шагов злоумышленников. «Kill Chain — это цепь последовательных действий киберпреступника, направленных на взлом инфраструктуры и компрометацию ключевых ресурсов компании», — поясняют эксперты.
В 13% случаев первым шагом Kill Chain была атака на веб-приложение (например, онлайн-банк), в 25% — на управляющие протоколы систем (в том числе использование уязвимости Shellshock, известной с сентября 2014 года), в 62% — внедрение в организацию вредоносного программного обеспечения через e-mail-вложения или фишинговые ссылки.
В целом, согласно отчету, в первой половине текущего года средний поток событий информационной безопасности составлял 6,156 млрд в сутки, из них около 950 в сутки — события с подозрением на инцидент (172 477 за полгода). Это примерно на 28% больше, чем в первом полугодии 2016 года. Доля критичных инцидентов составила 17,2%. Таким образом, если в 2016 году критичным был каждый девятый инцидент, то теперь уже каждый шестой, отмечается в исследовании. Эксперты связывают такую динамику с общим повышением интенсивности массовых и нацеленных атак на организации.
Основными инструментами киберпреступников в первом полугодии были, как и раньше, атаки на веб-приложения (34,2%), компрометация учетных данных внешних сервисов клиента (23,6%) и вредоносное ПО (19,2%).
Основными виновниками внутренних инцидентов (в 63% случаев) оставались рядовые сотрудники компаний, хотя их доля стабильно снижается, указывают эксперты. Инциденты, связанные с действиями внутренних злоумышленников, не претерпели существенных изменений. В 43,4% случаев это утечки информации, еще в 23,5% — компрометация внутренних учетных записей, менее 10% приходится на использование хакерских утилит, средств удаленного администрирования и т. п.
\n \n\t\t\t \n\t\t\t \n\t\t \n\t»,»content»:»\t\t
Fortinet об атаке Petya: уроки WannaCry не выучили слишком многие организации
Официальный блог компании Fortinet предлагает технический анализ эпидемии нового вируса-шифровальщика.
В Fortinet отслеживают новый вариант вируса-шифровальщика, который имеет возможность изменять главную загрузочную запись, аналогичную предыдущей атаке, известной как Petya. В настоящее время он оказывает влияние на широкий спектр отраслей и организаций, включая критические инфраструктуры, такие как энергетика, банковское дело и транспортные системы.
Это новое поколение вируса-вымогателя имеет несколько векторов атак и включает те же уязвимости, которые были использованы во время недавней атаки WannaCry. Подобно WannaCry, эта атака сочетает в себе вымогательство с поведением червя и относится к новой группе вредоносных программ, называемых ransomworm. Вместо того, чтобы нацеливаться на одну организацию, они используют широкомасштабный подход, который увеличивает масштаб и область действия атаки.
Хотя на данном этапе исследование продолжается, мы можем утверждать, что этот вирус-вымогатель демонстрирует поведение, подобное червям (ransomworm) благодаря его активному зонду для SMB-сервера. Мы можем также предположить, что он распространяется через EternalBlue и WMIC. Исследователи изначально полагали, что Petya/NotPetya был передан его первым жертвам через электронные письма, содержащие зараженные документы Microsoft Office, которые использовали CVE-2017-0199.
Как только уязвимое устройство подверглось заражению, Petya/NotPetya, по-видимому, нарушает главную загрузочную запись (MBR) во время цикла заражения. Затем он посылает пользователю сообщение о выкупе, в котором говорится: «Ваши файлы больше не доступны, потому что они были зашифрованы», и требует выкуп в 300 долл. биткойнами. Затем он указывает, что выключение компьютера приведет к полной потере системы.
Это иная тактика, нежели обратный отсчет времени или постепенное стирание файлов данных. С большинством атак вымогателей единственной потенциальной потерей являются данные. Поскольку Petya изменяет главную загрузочную запись, главный риск — это потеря всей системы. Кроме того, он инициирует перезагрузку системы в течение одного часа, добавив к атаке дополнительный элемент отказа в обслуживании.
В дополнение к эксплойтам Microsoft Office данный вирус использует тот же вектор атаки, что и WannaCry, применяя те же уязвимости Microsoft, которые были обнаружены Shadow Brokers в начале этого года. Однако из-за того, что в этом эксплойте использовались дополнительные векторы атаки, их исправление было бы недостаточным для полного прекращения этого эксплойта, а это значит, что исправление должно сочетаться с хорошими инструментами и практиками безопасности. Клиенты Fortinet, например, были защищены от всех векторов атаки, поскольку они были обнаружены и заблокированы нашими решениями ATP, IPS и NGFW. Кроме того, антивирсная команда Fortinet оперативно выпустила новую сигнатуру, чтобы улучшить первую линию защиты.
Эксперты Fortinet обращают внимание на два аспекта. Во-первых, несмотря на широкую огласку уязвимостей и исправлений Microsoft и всемирный характер атаки WannaCry, по-прежнему остаются тысячи организаций, в том числе, в области критической инфраструктуры, которые подверглись атаке и не смогли защитить свои системы. Во-вторых, возможно, что эта атака является просто тестом для подготовки будущих атак, нацеленных на недавно обнаруженные уязвимости.
С финансовой точки зрения, атака Wannacry была не очень успешной, так как принесла очень мало дохода своим разработчикам. Частично это объяснялось тем, что исследователи смогли найти возможность обезвредить атаку. Атака Petya намного сложнее, хотя еще и предстоит увидеть, будет ли она более успешной финансово, чем ее предшественница.
Как подчеркивают в Fortinet, слишком многие организации практикуют плохую «гигиену» безопасности. Когда эксплойт нацелен на известную уязвимость, для которой патч доступен в течение нескольких месяцев или лет, жертвы, к сожалению, виноваты сами. Ключевыми элементами этой атаки были уязвимости, для которых исправления были доступны в течение некоторого времени. Кроме того, эти организации не располагают достаточными инструментами для обнаружения таких видов эксплойтов.
Что известно об украинской компании, которая причастна к рассылке вируса Petya.A Статьи редакции
Это частичный аналог «1С», и его считают лишь рычагом в политической игре.
27 июня 2017 года вирус-вымогатель Petya.A (другие названия — NotPetya и WannaCry-2) поразил компьютеры Украины, России, Польши, Франции, Германии и Испании. Программа заблокировала информацию на компьютерах и потребовала выкуп в биткоинах, эквивалентный 300 долларам (около 17 700 рублей по нынешнему курсу).
Власти Украины и эксперты IT-компаний увидели потенциального виновника распространения вируса в украинской компании M.E.Doc — создательнице популярной в стране одноимённой программы по документобороту.
5 июля руководство компании призналось, что программу действительно взломал вирус Petya.A, который затем через неё распространился дальше. Специалисты IT-индустрии увидели в этой ситуации не просто работу хакеров, попытавшихся разжиться на кибератаке, а возможное политическое столкновение, в котором M.E.Doc стала инструментом.
Обновлено. «Лаборатория Касперского» прокомментировала ситуацию с вирусом Petya.A.
По данным киберполиции Украины, вирусная атака началась из-за уязвимости в новой версии программы M.E.Doc, которую скачали многие коммерческие и государственные структуры.
Представитель киберполиции заявил, что ведомство получило 1500 жалоб на вирус от украинских компаний, после чего власти завели 23 уголовных дела против неустановленных лиц. Специалисты Microsoft подтвердили причастность M.E.Doc к распространению вируса.
1 июля 2017 года Служба безопасности Украины (СБУ) обвинила российские спецслужбы в причастности к кибератаке. После консультации с международными антивирусными компаниями спецслужбы решили, что за атакой стоит группировка, которая в 2015-2016 годах атаковала финансовую систему, объекты транспорта и энергетики Украины троянами TeleBots и Blackenergy.
По мнению СБУ, кибератака происходила в несколько этапов накануне Дня конституции Украины (28 июня), чтобы дополнительно дестабилизировать политическую ситуацию в стране.
4 июля глава украинской киберполиции Сергей Демидюк пригрозил компании-разработчику M.E.Doc уголовным делом за возможное распространение вируса Petya.A. По мнению руководителя спецслужбы, компания знала об угрозе заражения своих систем вирусом, но не предприняла никаких действий.
5 июля министр внутренних дел Украины Арсен Аваков рассказал об ещё одной хакерской атаке на сервера страны. Она началась днём 4 июля и длилась около трёх часов, затем спецслужбам удалось отбить нападение. По словам чиновника, атака исходила с серверов M.E.Doc. Позже представитель СБУ заявил, что руководство НАТО предоставило спецслужбам оборудование для борьбы с будущими кибератаками.
Судя по всему, после новой атаки Демидюк решил пригрозить компании уголовным делом. Кроме того, в день повторного нападения у компании-автора M.E.Doc изъяли серверы. Сейчас сайт M.E.Doc недоступен.
Официально ни одна страна не взяла на себя ответственность за распространение вируса. Специалисты NATO считают, что в теории за атакой могут стоять власти. Аналитики компании DrWeb подтвердили, что именно программа M.E.Doc стала причиной массового заражения вирусом Petya.A.
В этот же день разработчик антивирусного оборудования ESET выпустил отчёт о том, как шифровальщик распространился через автоматическое обновление M.E.Doc. В документе говорится, что программа распространяла версии с уязвимостью, которой воспользовался вирус, с апреля 2017 года. С того момента эксперты зафиксировали ещё два обновления с дырой в защите, в том числе и в версии 22 июня — всего за пять дней до хакерской атаки.
Американский специалист по безопасности Джонатан Николс считает, что вирусная атака необязательно была санкционирована тем или иным государством.
Эксперты «Лаборатории Касперского», в отличие от специалистов других IT-компаний, не связали Petya.A с украинской программой. В компании заявили, что, исходя из предварительного расследования, техника хакеров напоминает методику злоумышленников из группировки BlackEnergy.
Обновлено. Представитель «Лаборатории Касперского» прокомментировал TJ ситуацию вокруг вируса и компании M.E Doc.
Мы называем эту атаку ExPetr. При распространении вредоносного ПО киберпреступники добавили вредоносный код в очередное обновление M.E.Doc. Но это не значит, что разработчики программы встроили вредоносный код в свою программу – скорее всего, киберпреступники сумели подменить обновление без ведома разработчиков, что позволило им использовать легальную программу для проникновения в инфраструктуру организаций.
Авторы M.E.Doc стали своего рода жертвой в этой атаке. Еще, например, кроме зараженного обновления M.E.Doc при атаке ExPetr использовались эксплойты Eternal Blue и EternalRomance, эксплуатирующий уязвимость в системе Windows (первый также использовался в майской атаке шифровальщика WannaCry).
С первого дня обвинений представители компании отвергали причастность к распространению Petya.A. По их словам, в обновлении M.E.Doc от 22 июня не было уязвимостей и вирусов (это заявление противоречит расследованию ESET). В компании подчеркнули, что тоже пострадали от действий хакеров и с первого же дня расследования предоставили логи и резервные копии серверов спецслужбам.
30 июня соосновательница M.E.Doc Олеся Линник рассказала, что никто из пострадавших от вируса не предоставил компании заражённый файл, исходивший с серверов M.E Doc. Компания также привлекла к расследованию третью сторону — американскую транснациональную компанию-разработчицу сетевого оборудования Cisco. Линник раскритиковала и статью Microsoft о причастности программы к атаке.
В статье никак не показан способ первоначального заражения системы. Программа M.E.Doc, как и любая другая, в своей работе использует множество системных библиотек Windows, которые вполне могли быть заражены ранее. Таким образом, единственное, что показано в статье, – это то, что программа была запущена на ранее заражённом компьютере и, соответственно, сама подверглась заражению.
Программа M.E.Doc – это локальный продукт, которым пользуются только на Украине, а вирус охватил ещё 64 страны. В нашей стране пострадало 12 500 компаний, а пользователей у программы около миллиона. То есть, если бы причина была в нас, накрыло бы всех.
По мнению Линник, M.E.Doc могла привлечь злоумышленников как эффективный способ распространить вирус в системы компаний-пользователей. Эту версию следует расследовать, а не утверждать, что в деле виновато руководство компании, которая могла стать жертвой политических игр, считает её глава.
5 июля представители компании признали причастность программы M.E.Doc к кибератаке. Руководство подчеркнуло, что это первый за историю сервиса факт взлома, в результате которого в программный код пакета обновления попал вирус. В компании также добавили, что к недавнему инциденту могут быть причастны организаторы кибератаки с помощью вируса WannaCry в мае 2017 года.
Впервые теорию о причастности российских хакеров к атаке Petya.A высказал генеральный директор интернет-магазина Rozetka Владислав Чечеткин. По его словам, программу M.E.Doc крупным компаниям «всучил» бывший министр доходов и сборов Украины Александр Клименко. Экс-чиновник, который сейчас критикует руководство страны и оказывает гуманитарную помощь Донбассу, отверг обвинения в навязывании M.E. Doc.
Линник подтвердила, что её компания пользовалась «Wnet Украина», но не стала связывать обыски провайдера с обвинениями в распространении вируса.
Программа M.E.Doc почти неизвестна за украинской границей, но в стране она занимается документооборотом 80% компаний. 400 тысяч клиентов обсуждают и отправляют финансовую и налоговую документацию с помощью сервиса. Такую большую ответственность она получила в том числе из-за недавних санкций украинских властей против российских сервисов.
Местный юрист Валерия Дяченко в ответ на санкции заявила, что в стране нет достойного аналога российской программе «1C» — одной из самых популярных программ по документообороту на Украине. M.E.Doc стала частичной заменой «1C».
На фоне этой ситуации злоумышленникам было выгодно ударить по M.E.Doc. В разговоре с The New York Times бывший заместитель директора по разведке и компьютерным операциям Великобритании Брайан Лорд предположил, что хакеры преследовали не денежный интерес, а изучали слабые места компаний и государственных учреждений. С версией о том, что злоумышленников не интересовали деньги, согласны и эксперты «Лаборатории Касперского».
Во время майской атаки вируса WannaCry, аналога Petya.A, от воздействия шифровщика больше всего пострадала Россия. Тогда IT-компании и специалисты указывали на причастность к атаке правительства КНДР.
Во время июньской атаки Россия оказалась на втором месте по количеству жалоб на Petya.A. Первое место заняла Украина. Примечательно, что атака пришлась на день накануне украинского Дня Конституции, когда компании наиболее загружены работой. Старший технический научный сотрудник компании Cisco Крейг Уильямс считает, что это не может быть совпадением.
Хотя официальных подтверждений причастности какого-либо правительства к распространению вируса до сих пор нет, директор Института государственности и демократии Иван Лозовый подозревает страну, которая уже несколько лет находится в открытой конфронтации с Украиной. «Русские заинтересованы в том, чтобы у Украины было как можно больше проблем», — сказал Лозовый в беседе с The New York Times.