Európu zasiahol ransomvér Petya

V mene spoločnosť Trend Micro, celosvetového lídra v oblasti bezpečnostných riešení, mi dovoľte informovať Vás o hrozbe ransomvéru Petya, ktorý sa v posledných dňoch šíri najmä v Európe.

Ako prvé boli napadnuté významné organizácie na Ukrajine, neskôr sa útoky rozšírili najmä v Európe. Spoločnosť Trend Micro situáciu aktívne sleduje a nákazu analyzuje. Hoci sa situácia rýchlo vyvíja, správy naznačujú, že ide o vypuknutie nového variantu ransomvéru Petya, o ktorom odborníci z Trend Micro prvýkrát podrobne informovali v marci 2016.

Nie je nezvyčajné, že kyberzločinci svoj škodlivý softvér časom zlepšujú. Tento variant, ktorý spoločnosť Trend Micro už identifikovala ako RANSOM_PETYA.SMA, používa exploit EternalBlue a nástroj PsExec ako infekčné vektory. Je známe, že Petya prepisuje systém Master Boot Record (MBR), čím zablokuje prístup používateľov k ich zariadeniam a zobrazuje tzv. modrú obrazovkou smrti (BSoD). V prípade Petya sa obrazovka BSoD používa na zobrazenie žiadosti o výkupné. Ransomvér sa rýchlo šíri a napáda organizácie, podniky a koncových používateľov. Jeho prepuknutie pripomína útok ransomvéru WannaCry.

Priebeh infekcie
Prvotný vstup ransomware do systému zahŕňa použitie nástroja PsExec, ktorý je oficiálnym nástrojom spoločnosti Microsoft, používaným na spustenie procesov na vzdialených systémoch. Využíva tiež exploit EternalBlue, predtým použitý pri útoku ransomvéru WannaCry, ktorý je zameraný na zraniteľnosť na Server Message Block (SMB) v1. V napadnutom systéme sa nový variant programu Petya spúšťa procesom rundll32.exe. Samotné šifrovanie sa potom vykoná súborom s názvom perfc.dat, ktorý sa nachádza v priečinku Windows.

Tento ransomware potom pridá plánovanú úlohu, ktorá po hodine reštartuje systém. Medzitým je zároveň upravený Master Boot Record (MBR) tak, aby prebehlo šifrovanie, a zobrazí sa príslušná vydieračská správa. Na začiatku sa zobrazí falošné oznámenie CHKDSK, vtedy prebieha šifrovanie. Neobvyklé pre ransomvér je, že nemení prípony zašifrovaných súborov. Je potrebné poznamenať, že šifrovanie sa zameriava najmä na typy súborov, používané v podnikovom prostredí, a nie na obrázky a video súbory, na ktoré sa zameriavajú iné útoky ransomvéru).

Okrem využívania technológie EternalBlue vykazuje Petya aj ďalšie podobnosti s ransomvérom WannaCry. Rovnako ako pri útokoch WannaCry, aj výkupný proces variantu Petya je pomerne jednoduchý: používa predvolenú adresu Bitcoin, čím sa proces dešifrovania stáva pre útočníkov oveľa pracnejším, na rozdiel od predchádzajúcich útokov Petya, ktoré mali pre tento proces rozvinutejšie rozhranie. Od každého používateľa ransomvér žiada zaplatenie 300 dolárov. Rovnako, ako pri všetkých útokoch ransomvéru, Trend Micro neodporúča výkupné platiť - v tomto prípade to platí dvojnásobne, pretože e-mailoví adresa uvedená vo vydieračskom odkaze už nie je aktívna.

Aby sa predišlo a zabránilo infekcii, Trend Micro odporúča používateľom a organizáciám okamžite vykonať nasledujúce kroky:

• Aktualizovať systémy pomocou najnovších záplat alebo zvážiť použitie virtuálnej opravy
• Aplikovať princíp obmedzenia privilégií pre všetky pracovné stanice
• Obmedziť a zabezpečiť používanie nástrojov na správu systému, ako sú PowerShell a PsExec
• Zakázať nástroje a protokoly na systémoch, ktoré to nevyžadujú (t. J. Port TCP 445)
• Pravidelne zálohovať dôležité údaje
• Proaktívne monitorovať siete v súvislosti s výskytom akýchkoľvek podozrivých aktivít alebo anomálií
• Využívať mechanizmy monitorovania správania, ktoré môžu zabrániť neobvyklým zmenám (napr. šifrovaniu) systémov
• Nasadiť segmentáciu siete a kategorizáciu dát  na zmiernenie ďalších škôd, ktoré môžu vzniknúť pri útoku
• Zabezpečiť e-mailovú bránu a použiť kategorizáciu adresy URL (na zablokovanie škodlivých webových stránok), aby sa znížil priestor pre útok.

Viac informácií o ransomvéri Petya nájdete na tomto odkaze.