Një ransomware i ri i quajtur "Petya" Ai sulmoi disa faqe interneti të kompanive të mëdha. Në muajt paraprakë, duan të sulmojnë Shkaktoi kaos në më shumë se 300,000 kompjuterë në të gjithë botën; besohet se Petya është e lidhur me të njëjtin llojet e mjeteve të hakerimit që WannaCry dhe ndan vektorë përhapjeje të ngjashëm.
Petya ka marrë peng mijëra kompjuterë, duke ndikuar te kompanitë dhe infrastrukturat e tyre duke filluar nga Ukraina në Shtetet e Bashkuara dhe IndiKjo ndikoi në Aeroporti ndërkombëtar i Ukrainëspër transportin detar shumëkombësh, për firmat ligjore dhe reklamuese, dhe çoi në ndërprerjen e sistemeve të monitorimit të rrezatimit në impiantet bërthamore në Çernobilit, duke demonstruar ndikim të madh global të këtij ransomware-i në infrastrukturën kritike dhe shërbimet thelbësore.
Shtrirja globale dhe ndikimi i Petya-s
Shumë kompani në mbarë botën janë prekur nga kjo sulm ransomware që prek kompjuterët me sisteme Windows dhe që zakonisht kërkon një shpëtim në bitcoins për të provuar të rifitojnë aksesin. Vendet më të prekura përfshinin Ukraina, Rusia, Mbretëria e Bashkuar dhe Indiamegjithëse incidente u raportuan edhe në Spanjë dhe rajone të ndryshme të Amerikës së Veriut, Amerikës së Jugut dhe Azisë.
Ekspertët e sigurisë identifikuan variante që lidhen me Petja (i referuar edhe si Petrwrap), ndërsa kompani si Kaspersky dhe shitës të tjerë identifikuan një variant të quajtur JoPetya, i konsideruar nga shumë specialistë si një pseudo-ransomware i të cilit Qëllimi kryesor është të shkaktojë dëm. dhe jo domosdoshmërisht për të mbledhur fonde.
Në sferën e korporatave, Petya ndikoi grupe të mëdha reklamuese, kompanitë infrastrukturë, pushtet, farmaceutikesi dhe zyrat qeveritare dhe administratat publike. Kostoja e vërtetë nuk kufizohet vetëm në paketën e shpëtimit: ajo përfshin humbje ose vjedhje e informacionitndërprerje e zgjatur e operacioneve, dëmtim i reputacionit dhe kosto teknike dhe ligjore. Në incidente të shumta, sistemi i pagesës së shpërblimit u bë i papërdorshëm ose nuk u dha asnjë çelës deshifrimi, duke përforcuar hipotezën se në shumë raste qëllimi ishte shkatërrojnë të dhënat dhe gjenerojnë paqëndrueshmëri.
Reagimi nga organizatat ndërkombëtare dhe zbatuesit e ligjit
Europol Ai nuk ishte në gjendje të ofronte të dhëna operative në lidhje me sulmin në fazat e hershme; zëdhënësi i tij Tine hollevoet Ai tregoi se ata po përpiqeshin të “krijonin një pamje të plotë të sulmit” duke bashkëpunuar me industrinë dhe partnerët e tyre të zbatimit të ligjit. Petya “është një demonstrim se si krimi kibernetik mund të evoluojë dhe të rritet, dhe edhe një herë, është një kujtesë për rëndësinë e biznesit dhe sigurisë”. siguria kibernetike", deklaroi CEO-ja Europol, Rob Wainwright.
Përveç Europolit, ekipe nga Reagimi ndaj incidentit Shumë shitës (si Check Point, Cisco dhe të tjerë) zbuluan variante të Petya-s që po përhapeshin anash brenda rrjetet e korporataveShumë raporte bien dakord se sulmi filloi me forcë të veçantë në Ukrainë, duke shkaktuar ndërprerje masive në infrastrukturën kritike përpara se të përhapej në pjesën tjetër të Evropës dhe kontinente të tjera.
Si funksionon Petya dhe pse është kaq shkatërruese
Petya është veçanërisht e dëmshme sepse, ndryshe nga ransomware që i enkripton skedarët një nga një, ajo mund të blloko të gjithë diskunShumë variante kodojnë Regjistrimi kryesor i nisjes (MBR) dhe sektorët kritikë të diskut, dhe shfaq një mesazh që simulon një "Riparimi i sistemit të skedarëve" ndërkohë që ata në fakt po enkriptojnë pajisjet.
Ndryshe nga WannaCry, sulmi i Petya-s nuk përfshin një "Vrasja e ndërprerësit"Sipas Europolit dhe analizave të industrisë, kjo e bën të vështirë çaktivizimin e tij pasi të jetë përhapur. Në disa raste, programi keqdashës pret rreth një orë pas infektimit përpara se të rifillojë sistemin dhe të shfaqë paralajmërimin e enkriptimit, gjatë së cilës kohë mund të vazhdojë të përhapet në të gjithë rrjetin.
El Ekipi i Reagimit ndaj Emergjencave Kompjuterike i Shteteve të Bashkuara (US-CERT) dhe qendra të tjera reagimi filluan të merrnin raporte të shumta për infeksione dhe vunë re se ky variant po shkakton Shkrimet e Windows dhe shfrytëzon dobësitë në shërbimin e mesazheve SMB. Këto të meta lejojnë që sistemet e paarnuara të kompromentohen edhe nëse ato kanë mbrojtje bazë.
Dosja e identifikuar si RAMSON_PETYA.SMA Ai përfshin variante dhe vektorë të ndryshëm të infeksionit, disa prej të cilëve janë përdorur edhe në duan të sulmojnëTeknikat e përhapjes kombinojnë shfrytëzimin SMBv1 “Blu e Përjetshme”mjete për administrim në distancë, të tilla si psexec për lëvizje anësore dhe fushata të Phishing me bashkëngjitje ose lidhje dashakeqe.
Strategjitë parandaluese: çfarë duhet të bëni para, gjatë dhe pas një sulmi
Mbrojtja më e mirë kundër Petya është një strategji gjithëpërfshirëse parandalueseEkspertët rekomandojnë masa në tre faza: para sulmit, gjatë infeksionit dhe pas incidentit, duke kombinuar kontrollet teknike me menaxhimin e faktorit njerëzor.
Para sulmit: mirëmbani rezervime të rregullta dhe verifikuar përmes simulimeve të restaurimit; zbatohet arna dhe përditësime të sistemeve operative dhe aplikacioneve; çaktivizoni protokollet e pasigurta si SMBv1 aty ku është e mundur; vendosni zgjidhje për parandalimin e kërcënimeve dhe kryeni trajnim për sigurinë kibernetike për përdoruesit.
Gjatë sulmit: shkëputni pajisjet e prekura nga rrjeti për të frenuar përhapjen, njoftoni autoritetet dhe ekipet e reagimit, vlerësoni fushëveprimin duke përdorur inteligjencën e kërcënimeve dhe koordinoni reagimin me mbështetje të specializuar ligjore dhe teknike.
Pas përmbajtjes: kryeni një vlerësim i thelluar i sigurisë, pastroni dyert e pasme dhe objektet e vazhdueshme, kryeni një analizë mjeko-ligjore të zinxhirit të ngjarjeve dhe përforconi ndërgjegjësimi i përdoruesitZbatimi i arkitekturave të sigurisë që i japin përparësi parandalimit dhe segmentimit të rrjetit mund të zvogëlojë ndjeshëm ndikimin e incidenteve të ardhshme.
Rasti i Petya-s dhe varianteve të tij tregon se ransomware-i është shndërruar nga një problem margjinal në një... kërcënim strategjik Për bizneset, qeveritë dhe qytetarët. Të mësosh nga këto sulme dhe të zbatosh masa proaktive është e vetmja mënyrë për të zbutur ndikimin e shpërthimeve të ardhshme.