1. Откуда такое странное название Petya? Это российский след?
2. Почему Petya НЕ Pety?
3. Как произошло первичное заражение?
4. Но были поражены и зарубежные, неукраинские компании?
5. Почему вирус такой эффективный? Его писали какие-то суперхакера?
6. Так кто все же виноват?
7. Что делать дальше?
8. TEXTY.ORG.UA - независимое издание без навязчивой рекламы и заказных материалов. Чтобы работать дальше,...

На прошлой неделе, как раз перед Днем Конституции пользователи тысяч компьютеров украинских компаний увидели на экранах сообщение о том, что их компьютер зашифровано. Атака парализовала работу банков (в том числе Сбербанка), Укрзализныци, Укрпочты, Киевэнерго и сотен коммерческих предприятий.

Автор: Вадим Гудыма, Цифролаб

По сообщению киберполиции вирус поразил более 12 500 компьютеров по всей Украине, а также многие международные компании, среди которых датский транспортный гигант Maersk, британская рекламное агентство WPP, российская "Роснефть" и другие.

На первый взгляд вирус принадлежал к популярной среди киберпреступников группы вредоносного программного обеспечения - криптолокерив, или вирусов-шифровальщиков.

Откуда такое странное название Petya? Это российский след?

Вирус NotPetya более известный в украинских СМИ и сообщениях государственных органах по несколько ошибочной названием PetyaA.

Принятая сейчас среди исследователей и международных СМИ название NotPetya отсылает к его "предшественника", достаточно опасного вируса-шифровальщика Petya (точнее, его обновленной версии GoldenEye или PetyaMisha), обнаруженного и подробно описанного еще в марте 2016 года.

Основным назначением прошлогоднего вируса было банальное получение преступного дохода - зашифровать файлы жертвы специальным шифром Salsa20, а потом требовать выкуп за ключ, которым их можно расшифровать.

Стартовой площадкой для атак стала Германия. Киберпреступники использовали популярную тактику фишинга - писем с зараженными вирусами вложениями или ссылками на вебсайты, загружаемых на незащищенные устройства вредоносное программное обеспечение. Лингвистический анализ этих сообщений, несмотря на кажущееся российский след, позволил предполагать немецкое происхождение автора или авторов первичного вируса - Janus Cybercrime Solutions.

Эта криминальная группа была достаточно активной.

После обнаружения уязвимостей антивирусными программами декрипторив вирус быстро " обновлялся ". Вопрос же получения выкупа было реализовано в достаточно профессиональный способ - со скрытым в сети Tor сайтом и даже с веб-формой" техподдержки "для" жертв ", которые могли обратиться к авторам вируса в случае возникновения проблем с расшифровкой после уплаты выкупа .

Также этот вид вируса продавался другим злоумышленникам по модели RaaS - Ransomware as a Service. Фактически это означает, что разработчики шифровальщика продавали другим киберпреступникам уже подготовлен для использования вирус с возможностью выставлять собственные суммы выкупа и указывать соответствующие контакты для передачи ключей шифрования.

Почему Petya НЕ Pety?

Откуда такой конфуз с названиями?

Способ атаки на уже зараженную машину сначала заставил предположить, что NotPetya - это просто очередная разновидность этого известного шифровальщика Petya.

Злонамеренный код состоит из двух частей.

Первая часть шифрует часть файлов протоколом AES одновременно с помощью разновидности инструмента mimikatz пытается извлечь из памяти компьютера пароли доступа, и сканирует машины в сети. Затем он пытается перезагрузить машину и переписывает загрузочный раздел диска. Если он получает администраторские (всесильны - на языке компьютерщиков) права, то его целью становится MFT (Master File Table) - специальная часть жесткого диска в файловой системе Windows. Без MFT файлы на диске становятся недоступными.

Дальнейший анализ кода NotPetya показал, несмотря на использование значительной части кода из оригинального вируса, новая версия имеет принципиальные отличия.

Во-первых, на месте реального ключа, необходимого для расшифровки файлов, новая версия вируса генерирует только случайный набор знаков. Иными словами: если жертва заплатит выкуп за ключ, то восстановить файлы ей все равно не удастся. Впрочем, это не значит, что целью вируса было уничтожение файлов. Криптография - это сложно, и ошибки в реализации случаются на каждом шагу, в том числе среди киберпреступников.

Следующим отличием NotPetya от оригинала, а также от его RaaS версии, достаточно сомнительный для криминального бизнеса способ подтверждения транзакции. Речь идет о email ящик у немецкого провайдера posteo.net, которую быстро заблокировали. Это, а также сравнительно малая сумма выкупа ($ 300), заставляют предположить, что, или злоумышленники были невероятно беспомощны в деле собственного обогащения, или их целью было что-то другое.

Также своеобразным способ распространения и территориальное размещение целей вируса - абсолютное большинство жертв являются украинскими налогоплательщиками или их бизнес-партнерами.

Наконец, исследователи из чешской антивирусной компании ESET прямо связывают этот вирус с предыдущими атаками на украинскую инфраструктуру. Но обо всем по порядку.

Как произошло первичное заражение?

Исходя из того, что сейчас известно - первичное заражение произошло через систему обновлений бухгалтерского софта MEDoc, авторизованного украинской налоговой программного обеспечения для представления отчетности. Эта программа установлена ​​практически в каждой украинской компании-налогоплательщика.

Пока не совсем понятно, как именно произошло вмешательство в систему обновлений. Наиболее вероятным выглядит слом серверов самой компании.

Впрочем, тот факт, что регулярные обновления от MEDoc направлялись на компьютеры клиентов пользователей без шифрования и цифровой подписи (сама по себе очень плохая практика), позволяет нам предположить возможность MiTM (Man-in-The-Middle) атаки. Другими словами: злонамеренный код мог добавляться к легитимного обновления на самом канале передачи обновления от сервера компании к клиентам.

Об уязвимости системы обновлений MEDoc писали еще в мае в связи с другой кибер-инфекцией - шифровальщиком X.Datа, от которого в большинстве пострадали украинские компании. К счастью, X.Data имела худшую систему распространения и жертвами вируса стали сотни, а не тысячи машин.

Но были поражены и зарубежные, неукраинские компании?

Исследователи компании ESET подтверждают, что пораженные зарубежные компании имели открытый VPN (Virtual Private Network - специальный шифрованный канал связи) тоннель связи с их украинскими дочками или контрагентами с установленным программным обеспечением MEDoc.

Почему вирус такой эффективный? Его писали какие-то суперхакера?

Для проникновения внутрь корпоративной сети злоумышленники использовали так называемый supply-chain-attack - атака, направленная на доверено программное обеспечение. В нашем случае - на уже упомянутую бухгалтерскую MEDoc.

Так, попав в корпоративную или правительственную сеть, NotPetya имеет чрезвычайную скорость распространения. В одном случае сообщалось о заражении более 5 тысяч машин всего за 15 минут .

Самое печальное в этой истории, что вирус не является каким-то гениальным творением, или даже гениальной компиляцией группы лиц вредоносного кода. Зато авторы вируса просто умело использовали известные проблемы архитектуры цифровой безопасности в организациях.

Большинство СМИ сосредоточилась на использовании в NotPetya уязвимостей EternalBlue, - атакующий пользовательские Windows7 и cерверни Windows 2008 и его более раннего варианта EternalRomance, что эффективный против WindowsXP и Windows Server 2003. Их эффективность напрямую зависит от того, обновленное программы для печенья цели.

Напомню, что оба входят в пакет шпионских инструментов, похищенных в NSA и изложенных группой Shadows Brokers в открытый доступ в апреле этого года. Сколько они находились в обращении на черном рынке пока неизвестно.

Защита от этих дыр в программном обеспечении было выпущено еще в мае. Очевидно, новость об этом не дошло до значительной части украинских системных администраторов. Или уровень оплаты их труда не предусматривает выполнения даже таких базовых функций компьютерной и сетевой гигиены, как установка обновлений безопасности.

Серьезные исследователи обращают внимание, что более проблемным с точки зрения защиты является использование этим вирусом легитимных механизмов удаленного администрирования Windows машин - WMIС и PsEXEC.

Вирус крадет администраторские пароли из памяти пораженных машин и использует их для движения внутренней компьютерной сети. Именно из-за них были поражены значительную часть компьютеров с установленными обновлениями.

А использование "родных" Windows инструментов и украденных админпаролив из памяти пораженной машины позволило обойти защиту большинства антивирусных программ.

Хронические проблемы с безопасностью внутренних корпоративных сетей только добавляют эффективности этим методам распространения.

Так, отсутствие сегментации (физического разделения различных частей сети), наличие у обычных пользователей администраторских прав, недостаточно жесткая политика доступов, слабое распространение защиты от угона паролей из памяти машины - все это придает масштабности атакам подобного типа.

Так кто все же виноват?

Когда речь доходит до поиска виновных в киберпреступлениях, медиа и политики склонны впадать в две крайности. Или порога отвергать любую возможность найти виновных (как действующий президент США Трамп по взлому сети DNC - Democratic National Counsil), или, как это любят наши службы, сразу кивать в сторону потенциального противника.

Зато, атрибуция - определение, кто стоит за той или иной атакой - вполне реальная, хотя и очень непростое дело. Но, как и любое серьезное занятие, оно требует времени, знаний и данных, а не эмоций и политических заявлений.

На сегодня наиболее стражей доверия кажется гипотеза, связывающая атаку с группой BlackEnergy / TeleBots.

Именно их считают ответственными за несколько громких атак на системы управления украинскими электросетями в 2015-2016 годах. Про это свидетельствуют сходные элементы кода , Способы донесения вируса и его распространения, а также выбор целей - преимущественно в Украине.

В 2017 году группа начала применять новую тактику - атаку типа supply-chain через доверенных поставщиков программного обеспечения, - и именно она, как мы писали выше, оказалась крайне успешной. Сначала - против одной IT-компании, через VPN каналы которой атаковали несколько украинских финансовых учреждений. Следующую атаку осуществили уже через систему обновлений другой компании - уже печально MEDoc. Речь идет об уже упоминавшаяся выше X.Data. Шифровальщик атаковал украинских пользователей, используя для движения внутри инфицированной сети уже знакомые нам инструменты mimikatz и PsEXEC. Атаку довольно быстро удалось остановить.

Сейчас все указывает на то, что целью этого вируса были именно украинские компании. Или такая масштабная атака была запланированной, или это было тестирование, которое вышло из-под контроля - на что указывают довольно странные ошибки в коде - пока непонятно.

Что делать дальше?

Отдельные исследователи указывают на то, что этим вектором атаки (обновление MEDoc) могли воспользоваться для распространения других, менее "громких" за вирусы-шифровальщики видов вредоносного программного обеспечения. (Есть обоснованные подозрения, что злоумышленники имели доступ к коду ME Doc и могли оставить еще много неприятных сюрпризов. Подробно - читайте в статье , Там есть рекомендации, как проверить скрытые признаки поражения вашей сети - ред.) Поэтому говорить, что все уже закончилось - было бы несколько преждевременно.

В то же время, разумное администрирование сетей (сегментация, контроль прав и доступов, своевременные обновления), инвестиции в тренинг персонала и зарплаты технических сотрудников и - что немаловажно - выбор доверенного программного обеспечения не только с точки зрения его привилегированного положения в налоговой, но и в качестве защиты кода - может существенно затруднить доступ злоумышленников в сети украинских компаний.

Худшее, что может произойти в этой ситуации - если вместо инвестиций в срочную смену архитектуры и правил безопасности сетей компании и правительственные службы будут "кивать" на "всесильных российских хакеров" и продолжат делать те же ошибки в настройках сетей и работе с персоналом.

В этот "антихакерський" поезд пытаются попасть и некоторые наши политики и спецслужбы. Вместо реформировать систему защиты информации, инвестировать в обучение и приличные зарплаты системных администраторов и программистов, работающих на государственной службе и усиливать устойчивость к кибератакам существующей инфраструктуры - уже раздаются призывы ужесточить регулирование Интернета.

Какая логика победит - умного защиты или прогрессирующей паранойи - пока непонятно.

По крайней мере в Украине начали делать бэкапы.

TEXTY.ORG.UA - независимое издание без навязчивой рекламы и заказных материалов. Чтобы работать дальше, нам нужна ваша поддержка.

Пожалуйста, сообщите нам о вашем взнос на почту texty.org.ua () gmail.com