Nova izsiljevalska programska oprema, imenovana "Petya" Napadla je več spletnih strani velikih podjetij. V preteklih mesecih je wannaCry napad Povzročil je kaos na več kot 300,000 računalnikih po vsem svetu; Petja naj bi bil povezan z istim vrste hekerskih orodij, ki jih WannaCry uporablja in ima podobne vektorje širjenja.
Petja je že vzel za talce na tisoče računalnikov, kar je vplivalo na podjetja in njihovo infrastrukturo, od Ukrajina v Združene države Amerike in IndijoTo je vplivalo na Ukrajinsko mednarodno letališčemultinacionalnim ladijskim prevoznikom, pravnim in oglaševalskim podjetjem ter privedlo do prenehanja delovanja sistemov za nadzor sevanja v jedrskih objektih leta Černobil, ki prikazuje velik globalni vpliv te izsiljevalske programske opreme na kritično infrastrukturo in bistvene storitve.
Globalni doseg in vpliv Petye
Zaradi tega so bila prizadeta številna podjetja po vsem svetu napad na ransomware ki prizadene računalnike s sistemi Windows in ki običajno zahteva reševanje v Bitcoins da bi poskušali ponovno pridobiti dostop. Med najbolj prizadetimi državami so bile Ukrajina, Rusija, Združeno kraljestvo in Indijačeprav so bili incidenti zabeleženi tudi v Španiji in različnih regijah Severne Amerike, Južne Amerike in Azije.
Varnostni strokovnjaki so odkrili različice, povezane z Petya (imenovan tudi Petrwrap), medtem ko so podjetja, kot je Kaspersky, in drugi prodajalci identificirali različico, imenovano NePetja, ki jo mnogi strokovnjaki smatrajo za psevdoizsiljevalsko programsko opremo, katere Glavni cilj je povzročiti škodo. in ne nujno za zbiranje sredstev.
V korporativni sferi je Petja vplival velike oglaševalske skupine, podjetja infrastrukture, moč, farmacevtskepa tudi vladne urade in javne uprave. Pravi stroški niso omejeni le na reševanje: vključujejo izguba ali krajo informacijdolgotrajne motnje v delovanju, škoda za ugled ter tehnični in pravni stroški. V številnih incidentih je bil sistem za plačilo odkupnine neuporaben ali pa ni bil posredovan ključ za dešifriranje, kar je okrepilo hipotezo, da je bil v mnogih primerih namen uniči podatke in povzroči nestabilnost.
Odziv mednarodnih organizacij in organov pregona
Europol V zgodnjih fazah napada ni mogel posredovati operativnih podatkov, povezanih z njim; njegov tiskovni predstavnik Tine hollevoet Navedel je, da poskušajo »dobiti celovito sliko napada« s sodelovanjem z industrijo in partnerji v organih pregona. Petya »je dokaz, kako se lahko kibernetska kriminaliteta razvija in raste, in še enkrat opomin na pomen poslovanja in varnosti.« kibernetska varnost,« je izjavil izvršni direktor Europol, Rob Wainwright.
Poleg Europola so sodelovale tudi ekipe iz Odziv na incidente Več prodajalcev (kot so Check Point, Cisco in drugi) je zaznalo različice Petye, ki so se širile lateralno znotraj korporativna omrežjaŠtevilna poročila se strinjajo, da se je napad začel s posebno silo v Ukrajini in povzročil ogromne motnje v kritični infrastrukturi, preden se je razširil na preostalo Evropo in druge celine.
Kako Petja deluje in zakaj je tako uničujoča
Petya je še posebej škodljiva, ker za razliko od izsiljevalske programske opreme, ki šifrira datoteke eno za drugo, lahko zakleni celoten diskovni pogonŠtevilne različice kodirajo Glavni zagonski zapis (MBR) in kritične sektorje diska ter prikaže sporočilo, ki simulira "Popravilo datotečnega sistema" medtem ko dejansko šifrirajo opremo.
Za razliko od WannaCryja Petjin napad ne vključuje "kill switch"Glede na analize Europola in industrije je zaradi tega težko onemogočiti programsko opremo, ko se enkrat razširi. V nekaterih primerih zlonamerna programska oprema po okužbi počaka približno eno uro, preden znova zažene sistem in prikaže opozorilo o šifriranju, v tem času pa se lahko še naprej širi po omrežju.
El Ameriška ekipa za odzivanje na računalniške izredne razmere (US-CERT) in drugi odzivni centri so začeli prejemati številna poročila o okužbah in opazili, da ta varianta povzroča Dnevniki sistema Windows in izkorišča ranljivosti v storitvi za sporočanje SMB. Te pomanjkljivosti omogočajo, da so nepopravljeni sistemi ogroženi, tudi če imajo osnovno zaščito.
Datoteka, identificirana kot RAMSON_PETYA.SMA Vključuje različne variante in vektorje okužbe, od katerih so bili nekateri uporabljeni tudi v wannaCry napadTehnike razširjanja združujejo izkoriščanje SMBv1 »Večno modra«orodja za oddaljeno upravljanje, kot so Psexec za lateralno gibanje in kampanje Ribarjenje z zlonamernimi prilogami ali povezavami.
Preprečevalne strategije: kaj storiti pred, med in po napadu
Najboljša zaščita pred Petjo je celovita preventivna strategijaStrokovnjaki priporočajo ukrepe v treh fazah: pred napadom, med okužbo in po incidentu, pri čemer se tehnični nadzor kombinira z obvladovanjem človeških dejavnikov.
Pred napadom: vzdržujte redne varnostne kopije in preverjeno s simulacijami obnove; uporabite popravki in posodobitve operacijskih sistemov in aplikacij; onemogočite nezaščitene protokole, kot je SMBv1, kjer je to mogoče; uvedite rešitve za preprečevanje groženj in izvajajte usposabljanje za kibernetsko varnost za uporabnike.
Med napadom: odklopite prizadeto opremo iz omrežja, da omejite širjenje, obvestite oblasti in odzivne ekipe, ocenite obseg z uporabo obveščevalnih podatkov o grožnjah in uskladite odziv s specializirano pravno in tehnično podporo.
Po zadrževanju: izvedite poglobljena varnostna ocena, odstraniti zadnja vrata in trajne artefakte, izvesti forenzično analizo verige dogodkov in okrepiti ozaveščenost uporabnikovIzvajanje varnostnih arhitektur, ki dajejo prednost preprečevanju in segmentaciji omrežja, lahko znatno zmanjša vpliv prihodnjih incidentov.
Primer Petye in njenih različic kaže, da je izsiljevalska programska oprema iz obrobnega problema postala strateška grožnja Za podjetja, vlade in državljane. Učenje iz teh napadov in izvajanje proaktivnih ukrepov je edini način za ublažitev vpliva prihodnjih izbruhov.