На мировой рынок вышла глобальная вспышка вымогательства «Petya»

Новый штамм вымогательства, получивший название «Petya», с ужасающей скоростью пробирается по всему миру. Вредоносная программа распространяется с использованием уязвимости в Microsoft Windows, которую разработчик программного обеспечения исправил в марте 2017 года - ту же ошибку, которая была использована недавним и плодовитым штампом WannaCry ransomware.

Согласно многочисленным новостным сообщениям, Украина, по-видимому, входит в число наиболее сильно пострадавших от Petya. Сегодня правительство страны, некоторые отечественные банки и крупнейшие энергетические компании предупредили, что они сталкнулись с последствиями заражения Petya.

Датская транспортно-энергетическая компания Maersk заявила на своем веб-сайте, что «Мы можем подтвердить, что работа ИТ-системы Maersk на нескольких сайтах и бизнес - единицах снизилась из-за кибератаки». Кроме того, российский энергетический гигант «Роснефть» сказал в Twitter, что он столкнулся с «мощной атакой хакеров». Однако ни одна компания не ссылалась конкретно на ransomware или Petya.

Защитная фирма Symantec подтвердила, что Petya использует «Eternal Blue» эксплойт, цифровое оружие, которое, как полагали, было разработано агентством национальной безопасности США, а в апреле 2017 года и протестировано онлайн-хакерской группой, называющей себя «Теневыми брокерами».

Microsoft выпустила патч для эксплойта Eternal Blue в марте (MS17-010), но большинство компании отложили установку обновления. Многие из тех, кто затянул с переустановкой, пострадали от атак WannaCry ransomware в мае. Американские спецслужбы с уверенностью оценивают, что WannaCry - это работа северокорейских хакеров.

Организации и люди, которые еще не применяли обновление Windows для эксплойта Eternal Blue, должны исправить это в ближайшее время. Однако есть признаки того, что у Petya могут быть другие трюки в рукаве для распространения внутри крупных сетей.

Российская группа по работе с безопасностью Group-IB сообщает, что Petya связывает инструмент под названием «LSADump», который может собирать пароли и учетные данные с компьютеров Windows и контроллеров домена в сети.

По-видимому, Petya в первую очередь влияет на организации в Европе, однако вредоносное программное обеспечение начинает появляться в Соединенных Штатах. «Legal Week» сообщает, что глобальная юридическая фирма DLA Piper испытала проблемы со своими системами в США в результате такой вспышки.

Через свой аккаунт в Twitter, украинская киберполиция заявила, что атака, по-видимому, была засеяна с помощью механизма обновления программного обеспечения, встроенного в M.E.Doc, бухгалтерскую программу, которую должны использовать компании, работающие с украинским правительством.

Николас Уивер (Nicholas Weaver), исследователь по безопасности в Международном институте компьютерных наук и преподаватель Калифорнийского университета в Баркли, сказал, что Petya, похоже, хорошо спроектирован, чтобы быть разрушительным, маскируясь при этом под атаки вымогательства.

Уивер отметил, что примечание о выкупе Petya включает в себя один и тот же адрес Bitcoin кошелька для каждой жертвы, тогда как большинство вымогательных штампов создают индивидуальный адрес оплаты для каждого пострадавшего.

Кроме того, он сказал, что Petya призывает жертв общаться с вымогателями через электронную почту, в то время как большинство штампов требуют от жертв, которые хотят заплатить за свои личные данные, связываться с нападавшими используя глобальную сеть анонимности Tor, которая может использоваться для размещения веб-сайтов которые очень трудно снять.

«Я готов сказать с умеренной степенью уверенности, что это была преднамеренная, злостная, разрушительная атака или, возможно, тест, замаскированный под выкуп», - сказал Уивер. «Лучший способ сказать, что платежная инфраструктура Petya - фекальный театр».

Ransomware шифрует важные документы и файлы на зараженных компьютерах, а затем требует выкупа (обычно в Bitcoin) для цифрового ключа, необходимого для разблокировки файлов.В большинстве случаев с вымогательством, жертвы, у которых нет резервных копий своих файлов, сталкиваются с принятием важного решения, либо заплатить выкуп, либо поцеловать свои файлы на прощание.

Атаки Ransomware, к примеру, Petya, стали таким распространенным явлением, что, как сообщается, многие компании, накапливают Bitcoin на случай, если им будет необходимо быстро разблокировать файлы, которые находятся в заложниках.

Эксперты по безопасности предупреждают, что Petya и другие штампы ransomware будут продолжать расти до тех пор, пока компании задерживают исправления и не могут разработать надежный план реагирования для борьбы с заражениями.

По данным ISACA, некоммерческой организации, защищающей специалистов, занимающихся информационной безопасностью, гарантиями, управлением рисками, 62 процента опрошенных организаций сообщили о том, что в 2016 году они получили выкуп, но только 53 процента заявили, что у них есть формальный процесс для его решения этой проблеммы.