Jauna ransomware ar nosaukumu "Petya" Tā uzbruka vairākām lielu uzņēmumu tīmekļa vietnēm. Iepriekšējo mēnešu laikā gribi raudāt Tas izraisīja haosu vairāk nekā 300 000 datoru visā pasaulē; tiek uzskatīts, ka Petja ir pieslēgta tam pašam tīklam. WannaCry uzlaušanas rīku veidi un tam ir līdzīgi izplatīšanās vektori.
Petya jau ir sagrābusi ķīlniekus tūkstošiem datoru, ietekmējot uzņēmumus un to infrastruktūru, sākot no Ukraina uz Amerikas Savienotajām Valstīm un IndijuTas ietekmēja Ukrainas starptautiskā lidostastarptautiskiem kuģniecības uzņēmumiem, juridiskajiem un reklāmas uzņēmumiem, un noveda pie radiācijas uzraudzības sistēmu pārtraukšanas kodoliekārtās Černobiļa, demonstrējot liela globāla ietekme šīs izspiedējvīrusa darbības kritiskajai infrastruktūrai un svarīgiem pakalpojumiem.
Petjas globālā ietekme un tvērums
Tas ir ietekmējis daudzus uzņēmumus visā pasaulē izpirkuma programmatūras uzbrukums kas ietekmē datorus ar Windows sistēmām un kam parasti nepieciešama atkopšana Bitcoins lai mēģinātu atgūt piekļuvi. Visvairāk skartās valstis bija Ukraina, Krievija, Apvienotā Karaliste un Indijalai gan incidenti tika ziņoti arī Spānijā un dažādos Ziemeļamerikas, Dienvidamerikas un Āzijas reģionos.
Drošības eksperti identificēja variantus, kas saistīti ar Petja (saukts arī par Petrwrap), savukārt tādi uzņēmumi kā Kaspersky un citi pārdevēji identificēja variantu ar nosaukumu NotPetya, ko daudzi speciālisti uzskata par pseidoizspiedējvīrusu, kura Galvenais mērķis ir nodarīt kaitējumu. un ne obligāti, lai piesaistītu līdzekļus.
Korporatīvajā sfērā Petja ietekmēja lielas reklāmas grupas, uzņēmumi infrastruktūra, jauda, farmaceitiskie preparātikā arī valdības iestādes un valsts pārvaldes iestādes. Patiesās izmaksas neaprobežojas tikai ar glābšanas pasākumiem: tās ietver informācijas zudums vai zādzībailgstoši darbības traucējumi, reputācijas bojājumi, kā arī tehniskas un juridiskas izmaksas. Daudzos gadījumos izpirkuma maksas sistēma kļuva nelietojama vai netika sniegta atšifrēšanas atslēga, kas pastiprina hipotēzi, ka daudzos gadījumos mērķis bija iznīcināt datus un radīt nestabilitāti.
Starptautisko organizāciju un tiesībaizsardzības iestāžu atbilde
Eiropols Viņš nespēja sniegt operatīvos datus, kas saistīti ar uzbrukumu tā agrīnajā stadijā; viņa pārstāvis Zaru hollevoet Viņš norādīja, ka viņi cenšas “iegūt pilnīgu priekšstatu par uzbrukumu”, sadarbojoties ar nozares pārstāvjiem un tiesībaizsardzības partneriem. Petya “ir kibernoziedzības attīstības un izaugsmes demonstrācija, un tas vēlreiz atgādina par uzņēmējdarbības un drošības nozīmi.” kiberdrošība,” paziņoja izpilddirektors Eiropols, Robs Veinraits.
Papildus Eiropolam komandas no Incidentu reaģēšana Vairāki pārdevēji (piemēram, Check Point, Cisco un citi) atklāja Petya variantus, kas izplatījās sāniski iekšienē. korporatīvie tīkliDaudzos ziņojumos ir vienisprātis, ka uzbrukums sākās ar īpašu spēku Ukrainā, izraisot milzīgus kritiskās infrastruktūras traucējumus, pirms izplatījās uz pārējo Eiropu un citiem kontinentiem.
Kā darbojas Petja un kāpēc tā ir tik destruktīva
Petya ir īpaši kaitīga, jo atšķirībā no izspiedējvīrusa, kas šifrē failus pa vienam, tā var bloķēt visu diskuDaudzi varianti kodē Galvenais sāknēšanas ieraksts (MBR) un kritiskos diska sektorus un parādīt ziņojumu, kas imitē "Failu sistēmas remonts" kamēr viņi faktiski šifrē aprīkojumu.
Atšķirībā no WannaCry, Petya uzbrukumā nav iekļauts "nogalināšanas slēdzis"Saskaņā ar Eiropola un nozares analīzi, tas apgrūtina tās atspējošanu pēc tās izplatīšanās. Dažos gadījumos ļaunprogrammatūra pēc inficēšanās gaida aptuveni stundu, pirms restartē sistēmu un parāda šifrēšanas brīdinājumu, un šajā laikā tā var turpināt izplatīties tīklā.
El Amerikas Savienoto Valstu datorapdraudējumu reaģēšanas komanda (US-CERT) un citi reaģēšanas centri sāka saņemt daudzus ziņojumus par infekcijām un novēroja, ka šis variants izraisa Windows žurnāli un izmanto MVU ziņojumapmaiņas pakalpojuma ievainojamības. Šīs nepilnības ļauj apdraudēt neielāpotas sistēmas pat tad, ja tām ir pamata aizsardzība.
Fails, kas identificēts kā RAMSON_PETYA.SMA Tas ietver dažādus infekcijas variantus un vektorus, no kuriem daži tika izmantoti arī gribi raudātPavairošanas metodes apvieno izmantošanu SMBv1 “EternalBlue”attālās administrēšanas rīki, piemēram, PsExec sānu kustībai un kampaņām Phishing ar ļaunprātīgiem pielikumiem vai saitēm.
Profilakses stratēģijas: ko darīt pirms uzbrukuma, tā laikā un pēc tā
Vislabākā aizsardzība pret Petju ir visaptveroša preventīvā stratēģijaEksperti iesaka pasākumus trīs fāzēs: pirms uzbrukuma, inficēšanās laikā un pēc incidenta, apvienojot tehnisko kontroli ar cilvēciskā faktora pārvaldību.
Pirms uzbrukuma: uzturēt regulāri dublējumi un pārbaudīts ar atjaunošanas simulācijām; piemērot ielāpus un atjauninājumus operētājsistēmu un lietojumprogrammu darbību; ja iespējams, atspējojiet nedrošus protokolus, piemēram, SMBv1; izvietojiet apdraudējumu novēršanas risinājumus un veiciet kiberdrošības apmācība lietotājiem.
Uzbrukuma laikā: atvienojiet skarto aprīkojumu no tīkla, lai ierobežotu izplatību, informējiet iestādes un reaģēšanas komandas, novērtējiet apmēru, izmantojot apdraudējumu izlūkošanas datus, un koordinējiet reaģēšanu ar specializētu juridisko un tehnisko atbalstu.
Pēc ierobežošanas: veiciet padziļināta drošības novērtēšana, attīrīt aizmugurējās durvis un noturīgus artefaktus, veikt notikumu ķēdes kriminālistisko analīzi un pastiprināt lietotāju informētībaIeviešot drošības arhitektūras, kas piešķir prioritāti profilaksei un tīkla segmentācijai, var ievērojami samazināt turpmāko incidentu ietekmi.
Petya un tā variantu gadījums parāda, ka izspiedējvīrusi no marginālas problēmas ir kļuvuši par stratēģisks drauds Uzņēmumiem, valdībām un iedzīvotājiem. Mācīšanās no šiem uzbrukumiem un proaktīvu pasākumu ieviešana ir vienīgais veids, kā mazināt turpmāko uzliesmojumu ietekmi.