Po WannaCry prichádza ďalší ransomvér Petya! Alebo ExPetr?

Od včera sa internetom šíri ďalší nebezpečný ransomvér. Po WannaCry prichádza nová verzia staršieho kódu Petya, hoci Kaspersky Lab hovorí o novom ransomvéri ExPetr. Šírenie má na svedomí aktualizácia softvéru M. E. Doc, ktorý je využívaný na Ukrajine. Príčinu počiatku ďalšieho kybernetického útoku identifikovali v ESETe.

„Viacero z firiem spustilo škodlivú aktualizáciu tohto softvéru, ktorá útočníkom umožnila začať masívnu ransomware kampaň, ktorá sa v utorok popoludní rozšírila po celej Ukrajine a do ďalších krajín,“ vysvetľuje výskumník škodlivého kódu zo spoločnosti ESET Róbert Lipovský.

M. E. Doc pritom svojich používateľov ešte včera varoval na svojej stránke pred touto aktualizáciou, ku ktorej útočníci pridali škodlivý komponent.

V tomto prípade ide podľa ESETu zjavne o verziu staršieho škodlivého kódu Petya ešte z minulého roku. Po infekcii zašifruje alebo zablokuje obsah infikovaného zariadenia a za odšifrovanie alebo odblokovanie požaduje od jeho majiteľa finančné výkupné.

Kaspersky Lab zachytil vlnu ďalších rozsiahlych ransomvérových útokov, ktoré zasiahli organizácie najmä na Ukrajine, v Rusku a západnej Európe. Podľa spoločnosti je ale ransomvér je vyšetrovaný pod názvom ExPetr (nejde o variant ransomvéru Petya ako naznačovali prvé správy).

„Ak úspešne infikuje Master boot record zariadenia, zašifruje kompletne celý disk. Ak nie, šifruje postupne všetky súbory na zariadení, podobne ako známy ransomware Mischa,“ opisuje Lipovský.

Podobne ako ransomvér WannaCry, aj tento škodlivý kód zjavne zneužíva na úspešné preniknutie do siete zraniteľnosť EternalBlue, na ktorú vydala spoločnosť Microsoft záplatu ešte v marci 2017. Následne sa v sieti šíri cez legitímny nástroj PsExec.

Kaspersky Lab dodáva, že ransomvér využíva na svoje rozšírenie vlastné nástroje á la Mimikatz. Tie dokážu vytiahnuť potrebné  prístupové dáta z procesu lsass.exe. Hneď po tom sú tieto dáta presunuté ďalej cez PsExec nástroje alebo WMIC na distribúciu vo vnútri siete (cez PsExec nástroje alebo WMIC).

Útočníci požadujú vo väčšine  prípadov výkupné vo výške 300 dolárov v bitcoinoch za sprístupnenie dešifrovacieho kľúča na odblokovanie zašifrovaných súborov. Na rozdiel od prípadu WannaCry je táto technika účinná, pretože útočníci požadovali od obeti zaslanie čísla peňaženiek prostredníctvom emailu na wowsmith123456@posteo.net, čím potvrdia transakciu.

Podľa Kaspersky Lab je momentálne už tento e-mailový účet zrušený, čo znemožňuje súčasným obetiam dostať sa k dešifrovacím kľúčom. Včera večer ale obsahovala bitcoinová peňaženka 24 transakcií v hodnote 2,54 BTC, čo je približne 6-tisíc amerických dolárov.

„Táto nebezpečná kombinácia môže byť dôvodom, prečo sa tento ransomware začal šíriť tak rýchlo aj napriek tomu, že po poslednom útoku škodlivým kódom WannaCry prispeli médiá k tomu, aby si používatelia a firmy zaktualizovali svoje zariadenia. Na to, aby sa nová verzia Petye dostala do firemnej siete jej stačí len jeden jediný neaktualizovaný počítač, škodlivý kód vie následne získať administratívne práva a rozšíriť sa do ďalších zariadení,“ varuje Lipovský.

ESET v priebehu utorka na Slovensku nezaznamenal žiadne infikované zariadenia a ani pokus o ich infekciu. Medzi najviac zasiahnuté krajiny patrí Ukrajina. Tam mal podľa ESETu škodlivý kód napadnúť napríklad finančný a energetický sektor. Tento škodlivý kód sa však šíri napríklad aj v Taliansku a v Izraeli. Kaspersky Lab predbežne zachytili okolo 2-tisic útokov.

ESET sa pochválil, že podobne ako pri ransomvér WannaCry, chránil pred týmto škodlivým kódom ešte pred jeho vzniknutím na sieťovej úrovni tak, že blokoval hrozby zneužívajúce zraniteľnosť EternalBlue. Túto konkrétnu hrozbu deteguje pod názvom Win32/Diskcoder.C.

Ako sa chrániť pred ransomvérom?

• Neotvárajte prílohy správ od neznámych adresátov prípadne také, ktoré ste vôbec nečakali.
• Varujte kolegov na oddeleniach, ktoré najčastejšie dostávajú e-mailové správy z externého prostredia – napríklad personálne a finančné.
• Pravidelne zálohujte obsah svojho zariadenia. Aj v prípade úspešnej infekcie sa týmto spôsobom budete môcť dostať k vašim dátam. Externý disk alebo iné úložisko však nemôžu byť neustále pripojené k zariadeniu, inak bude jeho obsah tiež zašifrovaný.
• Pravidelne aktualizujte operačný systém a ostatné programy, ktoré na zariadení používate. Ak stále používate už nepodporovaný operačný systém Windows XP, zvážte prechod na novšiu verziu Windowsu.
• Bezpečnostný softvér používajte nie len s najnovšími aktualizáciami ale ideálne aj jeho najnovšiu verziu. Výrobcovia do novších verzií totiž pridávajú mnoho dodatočných bezpečnostných funkcií.

Pozn. redakcie: Portál TECHBOX.sk je partnerom Denníka N, ktorého investormi sú aj šiesti spoluzakladatelia ESETu.