Globalny atak ransomware Petya: najnowsze fakty i najważniejsze odpowiedzi

Firma Acronis poinformowała o kolejnym globalnym ataku ransomware Petya, który tym razem zaatakował z jeszczem mocniejszą siłą niż WannaCry w maju b.r. W skutek ataku ucierpiały serwisy i systemy IT największych firm z branży transportowej, urzędy administracji publicznej i globalne firmy z szeroko pojętego sektora biznesu. To kolejny globalny atak na systemy IT w ciągu zaledwie 6 tygodni.

Nie uczymy się na błędach…

Po ataku WannaCry firmy na całym świecie dostały potężne ostrzeżenie a także masę informacji i rozwiązań, które powinny wdrożyć w celu wzmocnienia bezpieczeństwa IT. Nie każdy odrobił tę lekcję.

"Niestety, firmy nie są jeszcze gotowe aby w pełni odpierać takie ataki, które obecnie dotknęły ponad 80 firm na świecie" - powiedział Nikolay Grebennikov, wiceprezes działu badań i rozwoju firmy Acronis.

Źródło ataku znajdowało się na terenie Ukrainy i Rosji, jak donoszą największe agencje informacyjne na świecie (przyp. Reuters). W początkowej fazie wirus rozprzestrzeniał się w krajach Europy zachodniej, by w końcu zaatakować także obszar USA.

Nowy ransomware czy odmiana WannCry?

Dotąd nie znana jest pełna struktura kodu Petya. Analitycy przypuszczają, iż możliwa jest jedna z 3 teorii: 1) jest to całkiem nowe, dotąd nie znane zagrożenie; 2) nowa, mocniejsza wersja WannaCry; 3) wirus jest powiązany z ransomware GoldenEye (powiązany z WannaCry, który także wykorzystuje exploit EternalBlue by obejść zabezpieczenia systemów i skutecznie omija podwójną warstwę szyfrowania danych, wg raportu Bitdefender).

Najważniejsze pytania i fakty o ataku ransomware Petya (aktualizacja 28.06.2017)

1.     Jakie typy i rodzaje plików zostały zaatakowane?

Ponad 40 znanych formatów w tym m.in. pliki MS Office czy popularnych programów do kompresji danych (.zip ,.tar, .rar)

 2.     Jak działa ransomware Petya?

Wirus atakuje główny rekord rozruchowy systemu (Master Boot Record), zawierający program rozruchowy i tablicę partycji – jest to zupełnie inny typ ataku niż WannaCry. Jeśli uda mu się obejść MBR, przejmuje kontrolę z prawami administratora nad systemem Windows (na chwilę obecną nie ma informacji o infekcji innych typów systemów operacyjnych)

 3.     Petya vs WannaCry – podobieństwa i różnice (podatność i luki w zabezpieczeniach)

Według zespołu badawczego Acronis, w przypadku Petya jest to inny exploit niż w WannaCry (EternalBlue). Petya wykorzystuje podatność MSFT CVE 2017 0199 (https://www.rapid7.com/db/vulnerabilities/msft-cve-2017-0199), która powoduje masową wysyłkę maili z załącznikami dokumentów MS Office. Mimo tego, że firma Microsoft w kwietniu b.r. wypuściła poprawkę z aktualizacją zabezpieczeń to tego komponentu, ciągle sporo firm nie wykonało aktualizacji posiadanego oprogramowania. Istnieją przypuszczenia, że w przypadku WannaCry metoda infiltracji i rozprzestrzeniania mogła być podobna, jednakże w tym przypadku wykorzystano lukę w komponencie MS-17-010.

 4.     Czy atak można wykryć używając tradycyjnych rozwiązań antywirusowych?

Tak, ale nie wszystkie rozwiązania na rynku dają taką możliwość. W odniesieniu do ostatniego raportu firmy VirusTotal, tylko 16 na 61 przetestowanych rozwiązań antywirusowych wykryło atak (więcej: http://thehackernews.com/2017/06/petya-ransomware-attack.html)

5.     Jakie rozwiązania mogą pomóc w przypadku ataku ransomware?

Technologia Acronis Active Protection (jako część rozwiązań Acronis True Image 2017 i Acronis Backup 12.5 skutecznie wykrywa i blokuje ten typ ataków.

Technologia  Acronis Active Protection łączy w sobie zaawansowane funkcje analizy
z mechanizmami sztucznej inteligencji w celu monitorowania systemu. Jeśli wykryje jakiekolwiek niepożądane zachowanie lub podejrzane procesy, blokuje program i umieszcza sygnaturę zablokowanego programu na czarnej liście, dając bezpieczeństwo administratorowi, że aplikacja nie uruchomi się ponownie np. po ponownym restarcie systemu.

Jeżeli mimo wszystko ransomware uda się obejść zabezpieczenia i rozpocząć szyfrowanie plików, Acronis Active Protection szybko wykryje proces szyfrowania i zatrzyma go, automatycznie przywracając pliki z uprzednio wykonanej kopii zapasowej.

Więcej o technologii Acronis Active Protection: http://www.acronis.com/pl-pl/ransomware-protection/.

Źródło: Acronis