Масована атака вірусу-здирника вражає Україну і сусідні країни

Через місяць після атаки віруса-здирника Ransomware (RAAS) WannaCry знову паралізовані мережеві системи по всьому світу, нова загроза, швидше за все, продовжує поширюватися.

Згідно повідомленням, сьогоднішня атака змальовує карту бізнесу та урядів у всьому світі, які стали заручниками в результаті другої великої хвилі кібер-здирництва – свого роду програмного забезпечення, яке блокує комп’ютеризовані системи та вимагає оплати, часто в біткойні, для їх розблокування.

Спочатку з’ясувалося, що вилучення засобів зосередилось на Україні, хоча з того часу повідомлення підтвердили, що також є вплив на системи в Іспанії, Франції, Росії та Індії. Як не дивно, багато інших країн також можуть постраждати, оскільки уряди і підприємства в усьому світі виявляються заблокованими зі своїх власних машин.

Швейцарський центр звітності та аналізу інформаційної безпеки (MELANI) визначив цей вірус як “Петя” – це кібернетична зброя, яка раніше була помічена у вебі, зазначає gizmodo.

Ранні звіти показують, що, як і WannaCry, Петя використовує пропущений експлойт NSA, відомий як EternalBlue. Вірус-здирник, відомий як Петя (також називається Petrwrap), також добре відомий дослідникам у галузі безпеки і, можливо, був комерційно доступний на темних веб-програмних біржах певний час.

Petya was known to be RaaS (Ransomware-as-a-Service), selling on Tor hidden services. Looks like WannaCry copycat. Attribution will be hard. pic.twitter.com/W5voMeNx9I

— x0rz (@x0rz) June 27, 2017

Поки що відомо, що #Petya шифрує MBR завантажувальний сектор диска і замінює його своїм власним, що є новинкою в світі Ransomware (RAAS), його друг #Misha, який прибуває трохи пізніше, вже шифрує всі файли на диску. Петя і Міша не нові, але такого глобального поширення не було раніше. Постраждали і досить добре захищені компанії, веде хроніку події habrahabr і пропонує набір кроків та інструментів для запобігання атаці та її наслідкам.

За словами дослідника з Лабораторії Касперського, вірус застосовує підроблений цифровий підпис Microsoft, що використовує вразливість Microsoft Office, який було відкрито у квітні FireEye. Поки що цей RAAS був спрямований на цілий ряд глобальних банків, включаючи російську “Роснефть” та український державний Ощадбанк, повідомляє techcrunch.

Для припинення поширення вірусу фахівці рекомендують організаціям закрити на серверах TCP-порти 1024-1035, 135 і 445, щоб зупинити передачу даних, цитує російська lenta.

Багато хто, включаючи президента України Петра Поршенка, вважають, що хакери, які фінансуються Російською державою, ще в минулому націлювались на Україну у спробі підірвати політичні процеси, економічні досягнення та фізичну інфраструктуру в країні. Спалах атак сягає 2014 р., коли Українська революція призвела до втечі прокремлівського президента Віктора Януковича. Невдовзі після цього проросійська хакерська група “Кіберберкут” намагалася зфальшувати українські вибори. Ця ж група має лінки на хакерів, які проникли в Демократичний національний комітет (DNC) перед президентськими виборами в 2016 році в США, зазначає gizmodo.

Однак, як пояснює такі події Енді Грінберг з журналу Wired в цьому місяці:

Але багато аналітиків в області кібербезпеки мають набагато ширшу теорію про ендшпілі епідемії злому України: вони вважають, що Росія використовує країну як лабораторію кібервійни – лабораторію для вдосконалення нових форм глобального онлайн-війни. І цифрові вибухові речовини, які Росія неодноразово виставляла на Україні, – це ті, які вона посадила, принаймні, один раз в цивільній інфраструктурі Сполучених Штатів.

У доповіді йдеться про те, щоб пов’язати російську хакерську групу Sandworm з BlackEnergy, руйнівною породою шкідливого ПО, яка була виявлена ​​не тільки на комп’ютерах українських комунальних підприємств, а й «в мережах американських енергетичних і водних підприємств». Дослідження безпеки в Драгос також пов’язані з хакерами Sandworm з CrashOverride, ультра універсальною кібер-зброєю, яка використовувалася для виключення в 2016 році в Києві.