Нов рансъмуер, наречен "Petya" Той атакува няколко уебсайта на големи компании. През предходните месеци wannaCry атака Това предизвика хаос на повече от 300 000 компютъра по целия свят; смята се, че Петя е свързана със същия... видове хакерски инструменти, които WannaCry и споделя сходни вектори на разпространение.
Петя вече е взела хиляди компютри за заложници, което е повлияло на компании и техните инфраструктури, вариращи от Украйна към Съединените щати и ИндияТова се отрази на Украинско международно летищена мултинационални корабоплавателни компании, на юридически и рекламни фирми и доведе до спиране на системите за радиационен мониторинг в ядрените съоръжения през Чернобил, демонстрирайки голямо глобално въздействие на този рансъмуер върху критична инфраструктура и основни услуги.
Глобален обхват и въздействие на Петя
Многобройни компании по целия свят са засегнати от това атака от ransomware което засяга компютри с Windows системи и обикновено изисква спасяване bitcoins да се опитат да си възвърнат достъпа. Най-засегнатите страни включват Украйна, Русия, Обединеното кралство и Индиявъпреки че инциденти са докладвани и в Испания и различни региони на Северна Америка, Южна Америка и Азия.
Експертите по сигурността идентифицираха варианти, свързани с Петя (наричан още Петрурап), докато компании като Kaspersky и други доставчици идентифицираха вариант, наречен NotPetya, считан от много специалисти за псевдо-рансъмуер, чийто Основната цел е да се причини вреда. и не е задължително да се набират средства.
В корпоративната сфера Петя засегна големи рекламни групи, компании инфраструктура, мощност, фармацевтичнакакто и правителствени учреждения и публични администрации. Истинската цена не се ограничава само до спасителния план: тя включва загуба или кражба на информацияпродължително прекъсване на дейността, щети по репутацията и технически и правни разходи. В многобройни инциденти системата за плащане на откуп е била неизползваема или не е бил предоставен ключ за декриптиране, което подсилва хипотезата, че в много случаи целта е била унищожават данни и генерират нестабилност.
Реакция от международни организации и правоприлагащи органи
Европол Той не е могъл да предостави оперативни данни, свързани с атаката в ранните ѝ етапи; неговият говорител Tine hollevoet Той посочи, че се опитват да „получат пълна картина на атаката“, като работят с индустрията и своите партньори от правоприлагащите органи. „Петя“ „е демонстрация на това как киберпрестъпността може да се развива и разраства и за пореден път е напомняне за важността на бизнеса и сигурността“. киберсигурност„, заяви главният изпълнителен директор Европол, Роб Уейнрайт.
В допълнение към Европол, екипи от Реагиране на инциденти Многобройни доставчици (като Check Point, Cisco и други) са открили варианти на Petya, които са се разпространявали странично в рамките на... корпоративни мрежиМного доклади са съгласни, че атаката е започнала с особена сила в Украйна, причинявайки масивни смущения в критична инфраструктура, преди да се разпространи в останалата част на Европа и други континенти.
Как работи Петя и защо е толкова разрушителна
Petya е особено вредна, защото за разлика от ransomware-а, който криптира файловете един по един, тя може заключване на цялото дисково устройствоМного варианти кодират Основен запис за зареждане (MBR) и критични сектори на диска и показват съобщение, което симулира „Поправка на файловата система“ докато всъщност криптират оборудването.
За разлика от WannaCry, атаката на Petya не включва „превключвател за изключване“Според анализи на Европол и индустрията, това затруднява деактивирането му, след като се е разпространил. В някои случаи зловредният софтуер изчаква около час след заразяването, преди да рестартира системата и да покаже предупреждението за криптиране, през което време може да продължи да се разпространява в мрежата.
El Екип за реагиране при компютърни аварии на Съединените щати (US-CERT) и други центрове за реагиране започнаха да получават множество съобщения за инфекции и наблюдаваха, че този вариант причинява Дневници на Windows и използва уязвимости в услугата за съобщения на SMB. Тези недостатъци позволяват компрометиране на непатчирани системи, дори ако имат основни защити.
Файлът, идентифициран като RAMSON_PETYA.SMA Включва различни варианти и вектори на инфекцията, някои от които са били използвани и в wannaCry атакаТехниките за разпространение комбинират експлойта SMBv1 „Вечно синьо“инструменти за дистанционно администриране, като например PsExec за странично движение и кампании на Фишинг със злонамерени прикачени файлове или връзки.
Стратегии за превенция: какво да правите преди, по време и след атака
Най-добрата защита срещу Петя е цялостна превантивна стратегияЕкспертите препоръчват мерки в три фази: преди атаката, по време на инфекцията и след инцидента, комбинирайки технически контрол с управление на човешкия фактор.
Преди атаката: поддържайте редовни архиви и проверени чрез симулации на възстановяване; прилагайте пачове и актуализации операционни системи и приложения; деактивирайте несигурни протоколи като SMBv1, където е възможно; внедрете решения за предотвратяване на заплахи и изпълнявайте обучение по киберсигурност за потребители.
По време на атаката: изключете засегнатото оборудване от мрежата, за да ограничите разпространението, уведомете властите и екипите за реагиране, оценете обхвата, използвайки информация за заплахите, и координирайте реакцията със специализирана правна и техническа поддръжка.
След ограничаване: извършете задълбочена оценка на сигурността, да премахнат задни вратички и устойчиви артефакти, да извършат криминалистичен анализ на веригата от събития и да подсилят осведоменост на потребителитеВнедряването на архитектури за сигурност, които дават приоритет на превенцията и сегментирането на мрежата, може значително да намали въздействието на бъдещи инциденти.
Случаят с Petya и неговите варианти показва, че ransomware-ът се е превърнал от маргинален проблем в... стратегическа заплаха За бизнеса, правителствата и гражданите. Извличането на поуки от тези атаки и прилагането на проактивни мерки е единственият начин за смекчаване на въздействието на бъдещи епидемии.