Czym są ransomware Petya i NotPetya?
Petya i NotPetya uderzyły w komputery odpowiednio w 2016 i 2017 roku, przy czym ten drugi spowodował straty sięgające miliardów dolarów. Pierwsza wersja Petya szyfrowała rekordy master boot, aby uniemożliwić dostęp do całych dysków twardych zamiast szyfrować poszczególne pliki jak typowe ransomware. Kolejny wariant Petya był jednak bardziej niebezpieczny, infekując rekordy startowe i szyfrując dokumenty.
Znacznie zmodyfikowana wersja Petya, nazwana przez badaczy NotPetya, była bardziej niszczycielska i powszechna niż stare wersje Petya. W przeciwieństwie do Petya, NotPetya mogła być cyberbronią. Głównie atakowała organizacje na Ukrainie.
Czym jest Petya?
Petya to złośliwe oprogramowanie szyfrujące, które badacze odkryli w 2016 roku. Jego nazwa jest inspirowana fikcyjnym radzieckim satelitą z filmu o Jamesie Bondzie GoldenEye (1995). Podczas gdy wskaźnik penetracji Petya był średni, jego technika szyfrowania była innowacyjna i nietypowa.
Co zrobił Petya?
Oprogramowanie ransomware rozprzestrzeniało się za pośrednictwem wiadomości phishingowych zawierających plik PDF działający jako koń trojański. Gdy tylko ktoś aktywował Petya i dał mu dostęp administratora, oprogramowanie ransomware zaczynało działać. Po ponownym uruchomieniu komputera docelowego, podobnie jak wirus sektora rozruchowego, nadpisywał główny rekord rozruchowy (MBR) w celu zaszyfrowania dysku twardego. Chociaż pliki na komputerze zainfekowanym przez Petya nie zostały zaszyfrowane, uszkodzone ani utracone, były niedostępne. Petya żądała od ofiar Bitcoinów w celu przywrócenia dostępu.
Jaka jest różnica między Petya a NotPetya?
NotPetya była podrasowaną wersją Petya. Eksperci ds. cyberbezpieczeństwa nazwali ją „NotPetya” i nazwa się przyjęła. Chociaż zarówno Petya, jak i NotPetya mogą pomóc cyberprzestępcy w przeprowadzeniu ataku ransomware, istnieją pewne istotne różnice.
1. Propagacja
Petya nie rozprzestrzeniała się tak szybko jak NotPetya z kilku powodów. Po pierwsze, próbowała oszukać użytkowników, aby ją otworzyli, a wielu nowoczesnych użytkowników komputerów potrafiło rozpoznać techniki inżynierii społecznej, takie jak ataki phishingowe. Oryginalny wariant Petya także wymagał uprawnień administracyjnych, których wielu doświadczonych użytkowników nie udzielało. Z drugiej strony NotPetya rozprzestrzeniała się szybciej przez tylne furtki, exploity takie jak Eternal Blue i luki zdalnego dostępu. Możesz przeczytać o EternalPetya, aby dowiedzieć się więcej o rodzinie ransomware Petya.
2. Szyfrowanie
Jak wspomniano powyżej, oryginalna wersja Petya nie szyfruje plików, jedynie rekordu startowego, aby uniemożliwić ofiarom załadowanie systemu Windows. W przeciwieństwie do niej, NotPetya szyfrowała pliki, a nawet uszkadzała niektóre dyski. Oba różniły się także w wyświetlanych komunikatach dla swoich celów. Co ciekawe, druga wersja Petya uzbrojona w ładunek ransomware Mischa również szyfruje dokumenty i nie wymaga uprawnień administracyjnych od ofiary.
3. Deszyfrowanie
Wielu ekspertów twierdziło, że napastnicy NotPetya nie mogli odszyfrować plików. Na przykład brytyjskie Krajowe Centrum Cyberbezpieczeństwa stwierdziło: "Malware nie został zaprojektowany do odszyfrowania. To oznaczało, że nie było możliwości odzyskania danych przez ofiary po ich zaszyfrowaniu." Jednak badacze z Vice dowiedzieli się, że hakerzy NotPetya mogli jednak odblokować wszystkie pliki zaszyfrowane przez ransomware.
Jakiego rodzaju atakiem była NotPetya?
NotPetya była najprawdopodobniej cyberatakiem. Jego autorzy wydawali się bardziej zainteresowani zakłócaniem systemów niż generowaniem przychodów i jest mało prawdopodobne, aby drobni hakerzy mieli zasoby lub umiejętności, aby tak szybko przekształcić Petya w NotPetya.
Kto był celem ataku NotPetya?
Podczas gdy NotPetya naturalnie rozprzestrzeniała się po Europie, Azji i Ameryce Północnej, jej rzeczywistym celem była najprawdopodobniej Ukraina. NotPetya uderzyła w rząd, sektor transportowy, energetyczny i finansowy, powodując poważne straty finansowe i utraty produktywności w tym kraju europejskim. Atak NotPetya rozpoczął się również na dzień przed ukraińskim Świętem Konstytucji.
Kto rozpoczął NotPetya?
NotPetya ma znamiona cyberwojny sponsorowanej przez państwo. Ukraińscy politycy obwinili rosyjskie służby bezpieczeństwa za NotPetya, a rząd amerykański zgodził się z tym. Kreml odpowiedział zaprzeczając tym twierdzeniom i wskazując, że oprogramowanie ransomware rozprzestrzeniło się również w Rosji. Krajowy rzecznik powiedział jednak, że atak nie spowodował poważnych szkód w Rosji.
Czy NotPetya jest oprogramowaniem ransomware?
Niektórzy eksperci twierdzą, że NotPetya nie jest oprogramowaniem ransomware, ponieważ jego autorzy mogą nie mieć możliwości odszyfrowania komputerów. Odpowiedź na pytanie "Czy NotPetya jest ransomware" zależy jednak od definicji ransomware. Można powiedzieć, że NotPetya jest oprogramowaniem ransomware niezależnie od zdolności autora do odszyfrowania komputerów, ponieważ uniemożliwia użytkownikom dostęp do ich plików lub systemu i żąda zapłaty okupu. Podobnie, WannaCry jest również odmianą ransomware, mimo że jego autorzy mogą mieć możliwość odszyfrowania komputerów.
Jak powstrzymać Petya
Być może czytałeś o tym , jak aktorzy zagrożeń wykorzystują luki w zabezpieczeniach SMB do przeprowadzania ataków ransomware, takich jak NotPetya i WannaCry. Pobranie najnowszych poprawek Windows Server Message Block (SMB) może załatać te luki w zabezpieczeniach. Ważne jest również korzystanie z oprogramowania zabezpieczającego, które może chronić przed oprogramowaniem ransomware. Regularne tworzenie kopii zapasowych danych może również pomóc w przygotowaniu się na wypadek ataku ransomware.