По следам недавней атаки

5 июль, 2017 - 14:16Мирослав Мищенко

В настоящее время мы отслеживаем новый вариант ransomware по всему миру, который имеет возможность изменять главную загрузочную запись, аналогичную предыдущей атаке, известной как Petya.
 
Исследователи ссылаются на него как на Petya, так и на NotPetya, поскольку не определено, является ли это вредоносное ПО вариантом, принадлежащим семье Petya. Новый зловред оказывает влияние на широкий спектр отраслей и организаций, включая критические инфраструктуры, такие ​​как энергетика, банковское дело и транспортные системы.

Это новое поколение вируса-вымогателя имеет несколько векторов атак и включает те же уязвимости, которые были использованы во время недавней атаки Wannacry в мае нынешнего года. Подобно Wannacry, эта атака сочетает в себе вымогательство с поведением червя и относится к новой группе вредоносных программ, называемых ransomworms. Вместо того, чтобы нацеливаться на одну организацию, ransomworms используют широкомасштабный подход, который увеличивает область действия атаки.

Хотя на данном этапе исследование продолжается, мы можем утверждать, что этот вирус-вымогатель демонстрирует поведение, подобное червям (ransomworm) благодаря его активному зонду для SMB-сервера. Мы можем также предположить, что он распространяется через EternalBlue и WMIC. Исследователи изначально полагали, что Petya / NotPetya был передан его первым жертвам через электронные письма, содержащие зараженные документы Microsoft Office, которые использовали CVE-2017-0199. На данный момент мы продолжаем исследования, чтобы подтвердить это. Пока применение соответствующего патча MS Office для вашей системы защитит вас от этого вектора атаки.

Как только уязвимое устройство подверглось заражению, Petya / NotPetya, по-видимому, нарушает главную загрузочную запись (MBR) во время цикла заражения. Затем он посылает пользователю сообщение о выкупе, в котором говорится: «Ваши файлы больше не доступны, потому что они были зашифрованы», и требует выкуп в 300 долларов в цифровой валюте Биткойн. Затем он указывает, что выключение компьютера приведет к полной потере системы.

Это иная тактика, чем обратный отсчет времени или постепенное стирание файлов данных, как в других версиях ransomware. С большинством атак Ransomware единственной потенциальной потерей являются данные. Поскольку Petya изменяет главную загрузочную запись, основной риск - это потеря всей системы. Кроме того, он инициирует перезагрузку системы в течение одного часа, добавив к атаке дополнительный элемент отказа в обслуживании.

Любопытно, что в дополнение к эксплойтам Microsoft Office Petya / NotPetya использует тот же вектор атаки, что и Wannacry, применяя те же уязвимости Microsoft, которые были обнаружены Shadow Brokers в начале этого года. Однако из-за того, что в этом эксплойте использовались дополнительные векторы атаки, их исправление было бы недостаточным для полного прекращения этого эксплойта, а это значит, что исправление должно сочетаться с хорошими инструментами и практиками безопасности. Клиенты Fortinet, например, были защищены от всех векторов атаки, поскольку они были обнаружены и заблокированы нашими решениями ATP, IPS и NGFW. Кроме того, наша команда AV выпустила новую антивирусную сигнатуру в течение нескольких часов после выявления атаки, чтобы улучшить первую линию защиты.

Необходимо обратить внимание на два аспекта. Во-первых, несмотря на широкую огласку уязвимостей и исправлений Microsoft и всемирный характер атаки Wannacry, по-прежнему остаются тысячи организаций, в том числе, в области критической инфраструктуры, которые подверглись атаке и не смогли защитить свои системы. Во-вторых, возможно, что эта атака является просто тестом для подготовки будущих атак, нацеленных на недавно обнаруженные уязвимости.

С финансовой точки зрения, атака Wannacry была не очень успешной, так как принесла очень мало дохода своим разработчикам. Частично это объяснялось тем, что исследователи смогли найти возможность обезвредить атаку. Атака Petya намного сложнее, хотя еще и предстоит увидеть, будет ли она более успешной финансово, чем ее предшественница.

На сегодняшний день ясно: 1) слишком многие организации практикуют плохую «гигиену» безопасности. Когда эксплойт нацелен на известную уязвимость, для которой патч доступен в течение нескольких месяцев или лет, жертвы, к сожалению, виноваты сами. Ключевыми элементами этой атаки были уязвимости, для которых исправления были доступны в течение некоторого времени. 2) эти же организации также не располагают достаточными инструментами для обнаружения таких видов эксплойтов.