Σε εξέλιξη βρίσκεται το νέο μαζικό κύμα επιθέσεων ransomware
που έχει προκαλέσει χάος σε αεροδρόμια, τράπεζες, επιχειρήσεις και
πολλούς ακόμη κυβερνητικούς και μη οργανισμούς σε ολόκληρη την Ευρώπη. Ο
λόγος για το Petya (ή NotPetya), μια νέα μορφή ransomware που χρησιμοποιεί το EternalBlue για να διεισδύσει σε υπολογιστές Windows, ομοίως με το WannaCry.Η βασική διαφορά του;
Το WannaCry, ήταν ναι μεν καταστροφικό, αλλά ήταν....
ένα εργαλείο γεμάτο σφάλματα που δημιουργήθηκε από ερασιτέχνες. Το Petya, σύμφωνα με τους ειδικούς, δεν είναι κάποιο ερασιτεχνικό εργαλείο αλλά ένα πανίσχυρο ransomware που μπορεί να μολύνει οποιαδήποτε έκδοση των Windows, συμπεριλαμβανομένων και των Windows 10.
Ας δούμε όπως πως διαδίδεται και πως λειτουργεί το καταστρεπτικό Ransomware.
Σύμφωνα με την ομάδα ασφαλείας της Kaspersky, το ransomware βασίζεται σε ένα προσαρμοσμένο εργαλείο με την ονομασία “a la Minikatz” για τη διάδοσή του. Αυτό εξάγει τα credentials που χρειάζεται για το spread, από τo process lsass.exe. To Lsass ή Local Security Authority Subsystem Service πρόκειται για ένα από τα πιο κρίσιμα αρχεία στο σύστημα των Windows.“Το κακόβουλο λογισμικό χρησιμοποιεί μια πληθώρα εργαλείων για να διαδοθεί σε ένα δίκτυο, μολύνοντας τους υπολογιστές στην πορεία του. Χρησιμοποιεί ένα tweaked build του εργαλείου ανοιχτού κώδικα Minikatz για να εξαγάγει τα διαπιστευτήρια του διαχειριστή δικτύου από τη μνήμη του μηχανήματος. Στη συνέχεια χρησιμοποιεί αυτά τα στοιχεία πρόσβασης για να συνδεθεί και να εκτελέσει εντολές σε άλλα μηχανήματα, χρησιμοποιώντας τα PsExec και WMIC για να τα μολύνει.”
Η επίθεση πιστεύεται ότι ξεκίνησε μέσω μιας ευπαθούς ενημέρωσης του ουκρανικού λογισμικού MeDoc, το οποίο χρησιμοποιείται από πολλούς κυβερνητικούς οργανισμούς στη χώρα. Σύμφωνα με αναφορές, αυτός είναι και ο λόγος για τον οποίο η Ουκρανία χτυπήθηκε περισσότερο από όλες τις υπόλοιπες χώρες.
Η Kaspersky αναφέρει ότι πάνω από το 60 τοις εκατό των επιθέσεων πραγματοποιήθηκαν στην Ουκρανία και η Ρωσία είναι η δεύτερη στην λίστα με 30 τοις εκατό. Και αυτά είναι μόνο τα αρχικά ευρήματα της εξελισσόμενης έρευνας της εταιρείας.
Πως δρά το Petya;
Μόλις
το κακόβουλο λογισμικό μολύνει έναν υπολογιστή, παραμένει αδρανές για
περίπου μια ώρα και στη συνέχεια επανεκκινεί το σύστημα. Μετά την
επανεκκίνηση, τα αρχεία κρυπτογραφούνται και τα θύματα λαμβάνουν ένα
σημείωμα λύτρων στον υπολογιστή τους. Κατά τη διαδικασία της
επανεκκίνησης, τα θύματα προειδοποιούνται να μην προβούν σε τερματισμό
του συστήματος επειδή μπορεί να χάσουν τα αρχεία τους.Πόσα λύτρα έχουν πληρωθεί μέχρι στιγμής;
Όπως ήδη έχουμε αναφέρει οι πληρωμές των λύτρων γίνονται σε Bitcoins, ενώ όλες οι συναλλαγές που γίνονται στο wallet ID του εισβολέα, εμφανίζονται στο παρακάτω link:https://bitref.com/1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
Μέχρι στιγμής έχουν πραγματοποιηθεί 42 πληρωμές, ύψους περίπου 4 BTC (~$10.000).
Petya ή NotPetya;
H Symantec, καθώς και αρκετές ακόμη εταιρείες και....Διαβάστε περισσότερα στο: www.secnews.gr