Petya/ExPetr/GoldenEye (вирус-вымогатель).
 
2017/08/17 18:04:04

Petya/GoldenEye
Вирус-вымогатель

Petya — вирус-вымогатель, который массово атаковал компьютеры в Европе, России и других странах мира 27 июня 2017 года. Вредоносная программа блокирует работу компьютеров на ОС Windows и требует $300 за восстановление доступа к ней. По данным системы телеметрии ESET, большинство атак шифратора Petya приходится на Украину, Германию и Польшу. Россия вошла в первую десятку атакуемых по итогам второго дня эпидемии.

Содержание

Распространение в России

Атака на правительство Севастополя

Специалисты Главного управления информатизации и связи Севастополя успешно отразили атаку сетевого вируса-шифровальщика Petya на серверы регионального правительства. Об этом 17 июля 2017 года на аппаратном совещании правительства Севастополя сообщил начальник управления информатизации Денис Тимофеев.

Он заявил, что вредоносная программа Petya никак не повлияла на данные, хранящиеся на компьютерах в государственных учреждениях Севастополя.

« Атака вируса оказалась безрезультатной во многом потому, что мы используем решения на базе Linux, - объяснил Тимофеев. - Проблема была быстро локализована, все недостатки удалось устранить, и данные не пострадали. »

Чиновник добавил, что у некоторых пользователей на экранах появилось страшное предупреждение, но в целом удалось отделаться «легким испугом»[1].

Вирус Petya атаковал правительство Севастополя

Ориентированность на использование свободного ПО заложена в концепции информатизации Севастополя, утвержденной в 2015 году. В ней указывается, что при закупках и разработке базового ПО, а также ПО информационных систем для автоматизации целесообразно анализировать возможность использования свободных продуктов, позволяющих сократить бюджетные расходы и снизить зависимость от поставщиков и разработчиков.

Ранее, в конце июня, в рамках масштабной атаки на медицинскую компанию «Инвитро» пострадал и филиал ее филиал, расположенный в Севастополе. Из-за поражения вируса компьютерной сети филиал временно приостановил выдачу результатов анализов до устранения причин.

«Инвитро» заявила о приостановке приема анализов из-за кибератаки

Медицинская компания «Инвитро» приостановила сбор биоматериала и выдачу результатов анализов пациентов из-за хакерской атаки 27 июня. Об этом РБК заявил директор по корпоративным коммуникациям компании Антон Буланов.

Как говорится в сообщении компании, в ближайшее время «Инвитро» перейдет в штатный режим работы. Результаты исследований, проведенных позже этого времени, будут доставлены пациентам после устранения технического сбоя. На данный момент лабораторная информационная система восстановлена, идет процесс ее настройки. ​«Мы сожалеем о сложившейся форс-мажорной ситуации и благодарим наших клиентов за понимание», — заключили в «Инвитро».

По этим данным, атаке компьютерного вируса подверглись клиники в России, Белоруссии и Казахстане.

Атака на «Газпром» и другие нефтегазовые компании

29 июня 2017 года стало известно о глобальной кибератаке на компьютерные системы «Газпрома». Таким образом, еще одна российская компания пострадала от вируса-вымогателя Petya.

Как сообщает информационное агентство Reuters со ссылкой на источник в российском правительстве и человека, участвовавшего в расследовании инцидента, «Газпром» пострадал от распространения вредоносной программы Petya, которая атаковала компьютеры в общей сложности более чем в 60 странах мира.

По данным СМИ, вирус Petya заразил компьютерные системы «Газпрома»

Собеседники издания не предоставили подробностей о том, сколько и какие системы были заражены в «Газпроме», а также о размере ущерба, нанесенного хакерами. В компании отказались от комментариев по запросу Reuters.

Между тем, высокопоставленный источник РБК в «Газпроме» сообщил изданию, что компьютеры в центральном офисе компании работали без перебоев, когда началась масштабная хакерская атака (27 июня 2017 года), и продолжают два дня спустя. Еще два источника РБК в «Газпроме» также заверили, что в компании «все спокойно» и никаких вирусов нет.

В нефтегазовом секторе от вируса Petya пострадали «Башнефть» и «Роснефть». Последняя заявила 28 июня о том, что компания работает в в штатном режиме, а «отдельные проблемы» оперативно решаются.

«Роснефть» заявила, что ее серверы подверглись «мощной хакерской атаке». Об этом компания написала[2] 27 июня 2017 года в своем Twitter. По факту кибератаки компания обратилась в правоохранительные органы.

Компьютеры «Роснефти» поразил вирус, похожий по своему действию на WannaCry, рассказал[3] РБК собеседник в правоохранительных органах. Он добавил, что такой же атаке подверглись сети подконтрольной «Роснефти» «Башнефти».

Источники «Ведомостей» добавляют, что все компьютеры в НПЗ «Башнефти», «Башнефть-Добыче» и управлении «Башнефти» «единомоментно перезагрузились, после чего скачали неустановленное программное обеспечение и вывели на экран заставку вируса WannaCry». Издание отмечает, что на экране у пользователей появилось сообщение с предложением перевести $300 в биткоинах по указанному адресу, после чего пользователям на e-mail будет выслан ключ для разблокировки компьютеров. Также подчеркивается, что вирус зашифровал все данные на пользовательских компьютерах.

Источник РБК в «Роснефти» подтвердил информацию о том, что на экранах компьютеров сотрудников компании появилось сообщение с вирусом. В «Башнефти» такой экран высвечивается только на части компьютеров. В «Башнефти» также попросили всех выключить компьютеры.

В этот же день атаки Арбитражный суд Башкирии завершил заседание, на котором рассматривал иск «Роснефти» и подконтрольной ей «Башнефти» к АФК «Система» и «Система-Инвест» о взыскании 170,6 млрд рублей, которые, как утверждает нефтяная компания, «Башнефть» понесла в виде убытков в результате реорганизации в 2014 году.

По данным РБК, ситуация в «Башнефти» не нормализовалась к 29 июня 2017 года.[4]

Банки и промышленность

Стало известно о заражении компьютеров в «Евраз», российском отделении фирмы Royal Canin (производит форма для животных) и российское подразделение компании Mondelez (производитель шоколада Alpen Gold и Milka).

Банк России также сообщил о кибератаках на российские кредитные организации, которые не привели к нарушениям в работе банков.

27 июня 2017 года «Хоум кредит» обнаружил попытки нарушения своей киберзащиты «на ограниченном количестве банковских компьютеров». Однако по результатам проверки стало известно, что основная банковская и платежная система банка не была затронута вирусом-вымогателем Petya.

Распространение на Украине

Вирусная атака на Украине. В одной картинке

Вирусом Petya оказались заражены компьютерные системы крупных украинских компаний и организаций, в том числе "Ощадбанка", "Укргазбанка", банка "Пивденный", банка "ОТР", ТАСКомбанка. Атаке подверглись также основные украинские сотовые операторы, Украинские железные дороги, госпредприятие "Антонов", "Укрпочта" и "Киевводоканал", аэропорт "Борисполь", киевский метрополитен, компьютерные системы кабинета министров и сайта правительства Украины.

Вирус-шифровальщик Petya заразил компьютеры Чернобыльской атомной электростанции. В результате хакерской атаки сайт ЧАСЭ оказался недоступен, перестал работать электронный документооборот, а радиационный мониторинг перевели в ручной режим. При этом начальник смены ЧАЭС Владимир Ильчук сообщил, что никакой радиационной угрозы из-за кибератаки нет.

Украинская киберполиция выявила распространителя NotPetya

Сотрудники отдела противодействия киберпреступности в Черниговской области Киевского Управления киберполиции Департамента киберполиции НП Украины заявили о выявлении злоумышленника, распространявшего вымогательское ПО NotPetya (также известно как Petya.A). Им оказался 51-летний житель города Никополь Днепропетровской области[5][6].

Согласно сообщению Министерства внутренних дел Украины, мужчина на файлообменных площадках и в социальных сетях опубликовал видео с подробным описанием процесса запуска вымогательского ПО на компьютерах. В комментариях к ролику мужчина разместил ссылку на свою страницу в социальной сети, на которую загрузил вредоносную программу. В ходе обысков в квартире «хакера» правоохранители изъяли компьютерную технику, использовавшуюся для распространения NotPetya. Также полицейские обнаружили файлы с вредоносным ПО, после анализа которых было подтверждено его сходство с вымогателем NotPetya. Как установили сотрудники киберполиции, вымогательская программа, ссылку на которую опубликовал никопольчанин, была загружена пользователями соцсети 400 раз.

В числе загрузивших NotPetya правоохранители выявили компании, намеренно заражавшие свои системы вымогательским ПО для сокрытия преступной деятельности и уклонения от уплаты штрафных санкций государству. Стоит отметить, что полиция не связывает деятельность мужчины с хакерскими атаками 27 июня нынешнего года, то есть, о какой-либо его причастности к авторам NotPetya речь не идет. Вменяемые ему деяния касаются только действий, совершенных в июле текущего года - после волны масштабных кибератак.

В отношении мужчины возбуждено уголовное дело по ч.1 ст. 361 (несанкционированное вмешательство в работу ЭВМ) УК Украины. Никопольчанину грозит до 3 лет лишения свободы.

Распространение в мире

Распространение вируса-вымогателя Petya зафиксировано в Испании, Германии, Литве, Китае и Индии. К примеру, из-за вредоносной программы в Индии технологии управления грузопотоком контейнерного порта имени Джавахарлала Неру, оператором которого является A.P. Moller-Maersk, перестали распознавать принадлежность грузов.

О кибератаке сообщили британская рекламная группа WPP, испанское представительство одной из крупнейших в мире юридических компаний DLA Piper и пищевой гигант Mondelez. В числе пострадавших также французский производитель строительных материалов Cie. de Saint-Gobain и фармкомпания Merck & Co.

По данным Eset, наибольшее распространение вирус Petya получил на Украине. В десятку стран, которые чувствительнее всего затронул вирус, вошли также Италия, Израиль, Сербия, Венгрия, Румыния, Польша, Аргентина, Чехия и Германия. Россия оказалась на 14-м месте.

Вирус-вымогатель Petya уменьшил выручку Saint-Gobain на 1%

Концерн «Сен-Гобен» (Saint-Gobain) ожидает падения выручки за январь — июнь 2017 года на 1% из-за атаки компьютерного вируса-вымогателя Petya. Об этом говорится в официальном сообщении французского производителя и дистрибьютора стройматериалов. Ущерб в абсолютных цифрах пока не сообщается, названная оценка также не окончательная.

Группа признала, что стала жертвой атаки 27 июня. В результате инцидента не раскрыты никакие персональные данные, и компания не ожидает какого-либо его влияния на коммерческую деятельность в будущем, отметили в Saint-Gobain. После атаки Petya были закрыты все 11 принадлежащих концерну строительных магазинов сети Ehituse ABC в Эстонии, писали РИА Новости. Скорее всего, этим ущерб не ограничился.

По итогам первого квартала этого года выручка «Сен-Гобен» составила 9,937 млрд евро. В сравнении с аналогичным периодом прошлого года показатель вырос на 8,8%, ранее сообщала компания. Размер выручки за первое полугодие 2017-го будет озвучен 27 июля.

Ликвидация последствий

Merck

Американский фармацевтический гигант Merck, сильно пострадавший в результате июньской атаки вируса-шифровальщика NotPetya, до сих пор не может восстановить все системы и вернуться в нормальный режим работы. Об этом сообщается в отчете компании по форме 8-K, представленном в Комиссию по ценным бумагам и биржам США (SEC) в конце июля 2017 года. Подробнее здесь.

Moller-Maersk и «Роснефть»

3 июля 2017 года стало известно о том, что датский судоходный  гигант Moller-Maersk и «Роснефть» восстановили зараженные вирусом-вымогателем Petya ИТ-системы лишь спустя почти неделю после атаки, которая произошла 27 июня.

« Сегодня наконец мы можем возобновить работу наших ключевых приложений. Мы можем с большой уверенностью сказать, что никогда не сталкивались ни с чем подобным, поэтому очень рады, что дошли до того, чтобы полностью вернуться в онлайн. Мы благодарим тех многих людей, которые предложили свою помощь. Продемонстрированная ими гибкость была потрясающей, — говорится в заявлении Maersk от 3 июля 2017 года (цитата по Reuters). »

Датский судоходный гигант Moller-Maersk восстановил зараженные Petya ИТ-системы лишь за неделю

В судоходной компании Maersk, на долю которой приходится каждый седьмой отправляемый в мире грузовой контейнер, также добавили, что все 1500 приложений, пострадавших в результате кибератаки, вернутся к штатной работе максимум к 9 июля 2017 года.

Пострадали преимущественно ИТ-системы принадлежащей Maersk компании APM Terminals, которая управляет работой десятков грузовых портов и контейнерных терминалов в более чем 40 странах. В сутки свыше 100 тыс. грузовых контейнеров, проходят через порты APM Terminals, их работа которых была полностью парализована из-за распространения вируса. Терминал Maasvlakte II в Роттердаме восстановил поставки 3 июля.[7]

16 августа 2017 года A.P. Moller-Maersk назвала примерную сумму ущерба от кибернападения при помощи вируса Petya, заражение которым, как отметили в европейской компании, проходило через украинскую программу. Согласно предварительным расчетам Maersk, финансовые потери от действия шифровальщика Petya во второй четверти 2017 года составили от 200 до 300 млн долларов.

Между тем, почти неделя на восстановление компьютерных систем от хакерской атаки потребовалось также «Роснефти», о чем 3 июля сообщили в пресс-службе компании сообщили «Интерфаксу»:

« Розничная сеть компании работает в штатном режиме. Работа кассового оборудования по реализации нефтепродуктов на всех АЗС компании полностью восстановлена. »

Несколькими днями ранее «Роснефть» подчеркивала, что пока не берется оценивать последствия кибератаки, но производство не пострадало.

« Существуют отдельные проблемы, которые оперативно решаются. Компания работает в штатном режиме. Ситуация находится под контролем. Оценивать последствия кибератаки пока преждевременно, — заявляла компания.[8] »

Принцип действия Petya

Новое поколение вирусов опасно тем, что рядовой антивирус не всегда сможет уберечь от него компьютер. Дело в том, что злоумышленники распространяют зловреды в обход антивируса, используя критическую уязвимость в протоколе SMBv1 системы безопасности MS17-010. Также антивирус может проигнорировать вредоносную программу, если пользователь самостоятельно активирует файл с расширением .exe, который 27 июня под видом рабочего письма приходил с адреса: wowsmith123456@posteo.net

Анализ образца вымогателя, проведенный экспертами Positive Technologies, показал, что принцип действия Petya основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска и замене его своим собственным. Эта запись — первый сектор на жёстком диске, в нем расположена таблица разделов и программа-загрузчик, считывающая из этой таблицы информацию о том, с какого раздела жёсткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0×22-ом секторе диска и зашифрован с помощью побайтовой операции XOR с 0×07.

После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа, в это время можно успеть запустить команду bootrec /fixMbr для восстановления MBR и восстановить работоспособность ОС. Таким образом, запустить систему даже после ее компрометации возможно, однако расшифровать файлы не удастся. Для каждого диска генерируется свой ключ AES, который существует в памяти до завершения шифрования. Он шифруется на открытом ключе RSA и удаляется. Восстановление содержимого после завершения требует знания закрытого ключа, таким образом, без знания ключа данные восстановить невозможно. Предположительно, зловред шифрует файлы максимум на глубину 15 директорий. То есть файлы, вложенные на большую глубину, находятся в безопасности (по крайней мере для данной модификации шифровальщика).

В случае, если диски оказались успешно зашифрованы после перезагрузки, на экран выводится окно с сообщением о требовании заплатить выкуп $300 (на 27 июня 2017 — примерно 0,123 биткойна) для получения ключа разблокировки файлов. Для перевода денег указан биткоин-кошелек 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX. Через несколько часов после начала атаки на кошелек уже поступают транзакции, кратные запрошенной сумме — некоторые жертвы предпочли заплатить выкуп, не дожидаясь, пока исследователи изучат зловред и попытаются найти средство восстановления файлов.

Petya использует 135, 139, 445 TCP-порты для распространения (с использованием служб SMB и WMI). Распространение внутри сети на другие узлы происходит несколькими методами: с помощью Windows Management Instrumentation (WMI) и PsExec, а также с помощью эксплойта, использующего уязвимость MS17-010 (EternalBlue). WMI — это технология для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows. PsExec широко используется для администрирования Windows и позволяет выполнять процессы в удаленных системах. Однако для использования данных утилит необходимо обладать привилегиями локального администратора на компьютере жертвы, а значит, шифровальщик может продолжить свое распространение только с тех устройств, пользователь которых обладает максимальными привилегиями ОС. Эксплойт EternalBlue позволяет получить максимальные привилегии на уязвимой системе. Также шифровальщик использует общедоступную утилиту Mimikatz для получения в открытом виде учетных данных всех пользователей ОС Windows, в том числе локальных администраторов и доменных пользователей. Такой набор инструментария позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен.

Таким образом, Petya обладает функциональностью, позволяющей ему распространяться на другие компьютеры, причем этот процесс лавинообразный. Это позволяет шифровальщику скомпрометировать в том числе контроллер домена и развить атаку до получения контроля над всеми узлами домена, что эквивалентно полной компрометации инфраструктуры.

Кто в зоне риска

По оценкам DriverPack, более 35% пользователей в России все еще беззащитны перед вирусом. Наибольшей угрозе подвержены пользователи операционных систем младше Windows 10, не установившие последнее обновление от Microsoft и оставляющие открытыми порты SMB. По аналитическим данным компании, более чем 18% пользователей работают на нелицензионной ОС Windows, что автоматически ставит их под угрозу, у 23% отключен сервис Windows Update, а еще на 6% компьютеров установлены устаревшие операционные системы, для которых обновления не выпускаются в принципе.

Распространенный миф гласит, что целью вируса является только корпоративный сектор. И действительно, волна атак 27 июня затронула только крупные банки, нефтяные компании и международные корпорации. Однако все это не означает, что обычные пользователи в безопасности. Как раз наоборот, ведь в корпорациях уже есть налаженные системы безопасности, фаерволы и собственные IT-специалисты, в то время как большинство рядовых пользователей не уделяют должного внимания своей сетевой безопасности и могут стать легкой добычей для преступников.

Дешифровать не удастся

У жертв нового вируса Petya изначально не было шансов восстановить файлы. Об этом говорят эксперты из "Лаборатории Касперского".

Действительно, жертвы вируса не могут разблокировать свои файлы после заражения. Дело в том, что его создатели не предусмотрели такой возможности вообще. То есть зашифрованный диск априори не поддается дешифровке. В идентификаторе вредоносной программы отсутствует информация, необходимая для расшифровки.

Изначально эксперты причислили вирус, поразивший около двух тысяч компьютеров в России, Украине, Польше, Италии, Великобритании, Германии, Франции, США и других странах, к уже известному семейству вымогателей Petya. Однако оказалось, что речь идет о новом семействе вредоносного ПО. "Лаборатория Касперского" окрестила новый шифровальщик ExPetr.

Как бороться

Борьба с киберугрозами требует объединения усилий банков, ИТ-бизнеса и государства

ЦБ РФ заявил о высокой степени защиты от киберугроз банковской системы страны в целом. Как отметили в Центре мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России, в результате атак вирусов-шифровальщиков WannaCry и Petya были зафиксированы единичные случаи «компрометации информационных ресурсов кредитных организаций», последствия которых были оперативно устранены.

Согласно статистическим данным, обнародованным Центробанком РФ, по итогам первого полугодия 2017 года со счетов физических лиц было похищено примерно в 4 раза меньше денежных средств, чем за аналогичный период прошлого года; при этом хищения со счетов юридических лиц снизились более чем втрое.

ЦБ РФ рассчитывает в течение трех лет свести к минимуму потери от хищения средств кибермошенниками. Однако, чтобы исполнить обещанное, регулятору придется приложить усилия, поскольку, по оценкам экспертов в сфере кибербезопасности, число атак на банки в ближайшее время будет расти приблизительно на 30% ежегодно, указали в «Церих Кэпитал Менеджмент».

«Цифровой характер экономики создает дополнительные риски ведения бизнеса, поскольку возможности киберпреступников постоянно расширяются, а методы их работы год от года совершенствуются. Таким образом, противодействие киберугрозам становится тем направлением обеспечения безопасности, которое необходимо развивать в первую очередь», — считает Олег Якушев, эксперт «Церих Кэпитал Менеджмент».

В вопросах информационной безопасности повышенное внимание банкам следует уделять работе с персоналом, поскольку на сегодняшний день именно человек остается самым уязвимым звеном в ИТ-инфраструктуре, в первую очередь — из-за недостаточно высокого уровня осведомленности о существующих угрозах. По данным экспертов, не менее четверти сотрудников финансовых организаций склонны открывать полученные по электронной почте потенциально опасные вложения, а также выполнять действия, которые угрожают информационной безопасности компании.

По мнению представителей «Церих Кэпитал Менеджмент», для успешного решения задач обеспечения кибербезопасности необходимо объединение усилий банковского сектора, ИТ-разработчиков и государства в лице ЦБ РФ как координатора всей работы.

Следует отметить, что первые шаги в этом направлении уже сделаны: Центробанк совместно с рядом профильных ведомств работает над созданием онлайн-платформы, обеспечивающей информационную и техническую поддержку для банковских систем киберзащиты. Платформу планируется запустить в конце 2017 года (подробнее читайте в статье Национальная биометрическая платформа).

Метод восстановления данных от Positive Technologies

7 июля 2017 года эксперт Positive Technologies Дмитрий Скляров представил метод восстановления данных, зашифрованных вирусом NotPetya. По словам эксперта, метод применим, если вирус NotPetya имел административные привилегии и зашифровал диск целиком.[9]

Возможность восстановления данных связана с ошибками в реализации алгоритма шифрования Salsa20, допущенными самими злоумышленниками. Работоспособность метода проверена как на тестовом носителе, так и на одном из зашифрованных жестких дисков крупной компании, оказавшейся в числе жертв эпидемии.

Компании и независимые разработчики, специализирующиеся на восстановлении данных, могут свободно использовать и автоматизировать представленный сценарий расшифровки.

«Восстановление данных с жесткого диска по этой методике требует применения эвристик и может занимать несколько часов, — рассказал Дмитрий Скляров, руководитель отдела анализа приложений Positive Technologies. — Степень восстановления зависит от многих факторов (от размера диска, степени его заполнения и фрагментации) и может достигать 100% для дисков большого объема, содержащих много "публичных" файлов (компонентов операционной системы и программных продуктов, одинаковых на многих машинах)».

Рекомендации игроков рынка безопасности

28 июня 2017 года американский производитель антивирусов Symantec выпустил рекомендации по борьбе с вирусом-вымогателем Petya. По сообщению компании, пользователям необходимо имитировать заражение компьютера, создав в «блокноте» файл perfc и разместив его в папке Windows на диске C. Когда вирус попадает в систему, он ищет этот файл и, найдя его, прекращает работу. Никакого расширения у имени файла в директории C:\Windows\perfc быть не должно.

Такую же рекомендацию дают эксперты компании Positive Texhnologies. Кроме того, они отмечают, что вирус шифрует главную загрузочную запись (MBR) и дает команду перезагрузить компьютер через 1-2 часа, а если успеть до перезагрузки запустить команду bootrec/fixMbr (позволяет восстановить MBR), то можно восстановить работоспособность операционной системы и запустить ее.

Сообщение, возникающее в результате заражения компьютера вирусом Petya

По словам специалистов «Лаборатории Касперского», чтобы не стать жертвой подобной атаки, эксперты рекомендуют обновить операционную систему Windows, а также сократить до минимума привилегии пользователей на рабочих станциях. Если заражение произошло, то платить злоумышленникам не стоит, так как нет гарантии восстановления работы компьютера после перечисления выкупа.

В компании «Инфосистемы Джет» сообщили, что избежать заражения вирусом можно несколькими способами:

1) Запретить доступ по http к серверам: french-cooking.com:80 84.200.16.242:80 111.90.139.247:80 COFFEINOFFICE.XYZ:80

2) Запретить почтовые вложения и скачивание файлов с именами: Петя.apx, myguy.exe, myguy.xls, Order-[любая дата].doc

3) Установить патчи для Microsoft Office и Windows.

4) Настроить IPS на блокировку эксплойтов для MS17-010[10]

Сканер уязвимостей Eternal Blues

Сотрудник компании Imperva Элад Эрез (Elad Erez) 28 июня 2017 г. представил свою разработку, призванную помочь пользователям определить, уязвим ли их компьютер перед SMB-эксплойтом EternalBlue. [11]

Инструмент под названием Eternal Blues позволит просканировать доступные компьютеры и проверить, можно ли эксплуатировать уязвимость при помощи специально созданных пакетов.

При нажатии на кнопку "SCAN" утилита начинает немедленно сканировать сеть на наличие конечных точек, уязвимых к атакам с применением EternalBlue

По утверждению Элада Эреза, в теории Eternal Blues может использоваться не только для LAN, но для любых сетевых диапазонов. По словам эксперта, в отличие от программ NMap (сканер безопасности) и Metasploit (инструмент для тестирования на проникновение), утилита адресована не ИБ-специалистам, а, в первую очередь, рядовым пользователям и занятым системным администраторам, которым нужно простое решение, работающее «в два клика».

Сканер уязвимостей Eternal Blues доступен для свободного скачивания в блоге Элада Эреза omerez.com, где он публикует собранную в ходе сканирований обезличенную статистику и дополнительные подробности о работе инструмента.

Сравнение с WannaCry

Эксперты Eset говорят, что для проникновения шифратора в корпоративную сеть используется эксплойт, подобный EternalBlue, который стал причиной массового характера эпидемии WannaCry. При этом новый вирус особенно опасен, поскольку может заражать компьютеры, на которых установлены свежие ОС — например, Windows 10, тогда как WannaCry внедрялся в более старые версии.

Источник эпидемии трояна-шифратора Win32/Diskcoder.C Trojan (Petya.С)

По данным антивирусной компании ESET, злоумышленники скомпрометировали бухгалтерское программное обеспечение M.E.Doc, широко распространенное в украинских компаниях, включая финансовые организации. В частности, атакующие получили доступ к серверу обновлений M.E.Doc и с его помощью направляли троянизированные обновления с автоматической установкой. Некоторые корпоративные пользователи установили заражённое обновление M.E.Doc, положив начало атаке, охватившей страны Европы, Азии и Америки.

По данным системы телеметрии ESET, большинство срабатываний антивирусных продуктов ESET NOD32 пришлось на Украину, Италию и Израиль.

Вредоносная программа является новой модификацией семейства Petya. Антивирусные продукты ESET детектируют ее как Win32/Diskcoder.C Trojan. Если этот вирус успешно инфицирует главную загрузочную запись (MBR — Master Boot Record), он зашифрует весь жесткий диск. В противном случае, программа шифрует все файлы.

Шифратор распространяется при помощи SMB-эксплойта EternalBlue, который ранее стал причиной массового характера эпидемии WannaCry. Дальнейшее распространение внутри локальной сети осуществляется через PsExec. Это сочетание обуславливает стремительное распространение вредоносной программы.

Для заражения корпоративной сети достаточно одного уязвимого компьютера, на котором не установлены обновления безопасности. С его помощью вредоносная программа попадет в сеть, получит права администратора и распространится на остальные устройства.

Cуд против Intellect Service, через чьи серверы распространялся шифровальщик

Украинская фирма «Юскутум» (Juscutum Attorneys Association) обратилась летом 2017 года к пострадавшим от шифровальщика NotPetya с призывом подавать иски против другой украинской компании — киевской Intellect-Service, разработчика популярного бухгалтерского сервиса M.E.Doc. Именно через серверы этой компании распространялся NotPetya, а позднее и два других вредоноса — XData и некий клон шифровальщика WannaCry, сообщает издание BleepingComputer[12].

Результаты расследования уже подтвердили украинские киберполицейские. Выводы следствия «Юскутум» собирается использовать как ключевое доказательство в будущем процессе против Intellect-Service.

Процесс будет носить гражданский характер. Независимое расследование проводят правоохранительные органы Украины. Их представители ранее уже заявляли о возможности возбуждения дела против сотрудников Intellect-Service.

В самой компании M.E.Doc заявили о том, что происходящее — попытка рейдерского захвата компании. Производитель единственного популярного украинского бухгалтерского ПО считает, что прошедший в компании обыск, проведенный киберполицией Украины, стал частью по реализации этого плана.

Начальный вектор заражения шифратором Petya

Компания Eset 4 июля 2017 года объявила о том, что ей удалось определить начальный вектор заражения шифратором Diskcoder.C (Petya). Эксперты компании обнаружили сложный скрытый бэкдор, внедренный в один из легитимных модулей M.E.Doc. По их мнению, маловероятно, что атакующие выполнили эту операцию без доступа к исходному коду программы.

Изучив все обновления M.E.Doc, выпущенные в 2017 году, исследователи выяснили, что модуль бэкдора содержали как минимум три апдейта:

  • 01.175-10.01.176 от 14 апреля 2017 года
  • 01.180-10.01.181 от 15 мая 2017 года
  • 01.188-10.01.189 от 22 июня 2017 года

Эпидемия Diskcoder.C (Petya) началась через 5 дней после выхода вредоносного обновления 22 июня, указали в компании. Ранее, в мае 2017 года, Eset фиксировала активность другого шифратора — Win32/Filecoder.AESNI.C (XData). По данным телеметрии, он появлялся на компьютере после запуска программного обеспечения M.E.Doc.

17 мая вышло обновление M.E.Doc, не содержащее вредоносный модуль бэкдора. Вероятно, этим можно объяснить сравнительно небольшое число заражений XData, полагают в компании. Атакующие не ожидали выхода апдейта 17 мая и запустили шифратор 18 мая, когда большинство пользователей уже успели установить безопасное обновление.

Бэкдор позволяет загружать и выполнять в зараженной системе другое вредоносное ПО — так осуществлялось начальное заражение шифраторами Petya и XData. Кроме того, программа собирает настройки прокси-серверов и e-mail, включая логины и пароли из приложения M.E.Doc, а также коды компаний по ЕДРПОУ (Единому государственному реестру предприятий и организаций Украины), что позволяет идентифицировать жертв.

«Нам предстоит ответить на ряд вопросов, — рассказал Антон Черепанов, старший вирусный аналитик Eset. — Как долго используется бэкдор? Какие команды и вредоносные программы, помимо Petya и XData, были направлены через этот канал? Какие еще инфраструктуры скомпрометировала, но пока не использовала кибергруппа, стоящая за этой атакой?».

По совокупности признаков, включающих инфраструктуру, вредоносные инструменты, схемы и цели атак, эксперты Eset установили связь между эпидемией Diskcoder.C (Petya) и кибергруппой Telebots. Достоверно определить, кто стоит за деятельностью этой группировки, пока не удалось.

В Eset рекомендуют всем пользователям M.E.Doc сменить пароли прокси-серверов и учетных записей электронной почты.

Смотрите также

Примечания

  1. Вирус Petya атаковал правительство Севастополя
  2. На серверы Компании осуществлена мощная хакерская атака. Мы надеемся, что это никак не связано с текущими судебными процедурами.
  3. «Роснефть» сообщила о мощной хакерской атаке на свои серверы
  4. Reuters сообщил о заражении вирусом Petya компьютеров в «Газпроме»
  5. Киберполиция разоблачила мужчину, который распространял вирус petya.a
  6. Украинская киберполиция выявила распространителя NotPetya
  7. Maersk brings major IT systems back online after cyber attack
  8. "Роснефти" понадобилось 6 дней на восстановление работы АЗС после кибератаки
  9. Метод восстановления данных с диска, зашифрованного NotPetya с помощью алгоритма Salsa20
  10. ВРЕДОНОСЫ «ПЕТЯ» (PETYA) И «МИША» (MISHA): ЧТО ПРОИСХОДИТ И ЧТО ДЕЛАТЬ В ТРЕХ СЛОВАХ
  11. Проверить компьютер на уязвимость перед эксплоитом ETERNALBLUE поможет Eternal Blues
  12. Разработчика единственного бухгалтерского сервиса Украины заставляют оплатить весь ущерб от трояна NotPetya