IT špecialisti identifikovali ďalší kybernetický útok, ktorý zasiahol celú Európu

NETKY.SK • 29 Jún 2017, 15:14 • 2 min
IT špecialisti identifikovali ďalší kybernetický útok, ktorý zasiahol celú Európu

BRATISLAVA – Európu v posledných dňoch zasiahli rozsiahle kybernetické útoky, ktoré boli prioritne nasmerované na jednotlivé vlády členských štátov únie. Celosvetová spoločnosť Trend Micro varuje pred hrozbou ransomvéru Petya, ktorý sa v posledných dňoch šíri najmä v Európe.

slovakia

left justify in out

Ako prvé boli napadnuté významné organizácie na Ukrajine, neskôr sa útoky rozšírili najmä v Európe. Spoločnosť situáciu aktívne sleduje a nákazu analyzuje. Hoci sa situácia rýchlo vyvíja, správy naznačujú, že ide o vypuknutie nového variantu ransomvéru Petya, o ktorom IT špecialisti prvýkrát podrobne informovali v marci 2016.

 

Nie je nezvyčajné, že ľudia, ktorí stoja za kybernetickými útokmi, svoj škodlivý softvér časom zlepšujú. Tento variant, ktorý spoločnosť Trend Micro už identifikovala ako RANSOM_PETYA.SMA, používa exploit EternalBlue a nástroj PsExec ako infekčné vektory. Je známe, že Petya prepisuje systém Master Boot Record (MBR), čím zablokuje prístup používateľov k ich zariadeniam a zobrazuje tzv. modrú obrazovkou smrti (BSoD). V prípade Petya sa obrazovka BSoD používa na zobrazenie žiadosti o výkupné.

 

Ransomvér sa rýchlo šíri a napáda organizácie, podniky a koncových používateľov. Jeho prepuknutie pripomína útok ransomvéru WannaCry. Prvotný vstup ransomware do systému zahŕňa použitie nástroja PsExec, ktorý je oficiálnym nástrojom spoločnosti Microsoft, používaným na spustenie procesov na vzdialených systémoch.

 

Využíva tiež exploit EternalBlue, predtým použitý pri útoku ransomvéru WannaCry, ktorý je zameraný na zraniteľnosť na Server Message Block (SMB) v1. V napadnutom systéme sa nový variant programu Petya spúšťa procesom rundll32.exe. Samotné šifrovanie sa potom vykoná súborom s názvom perfc.dat, ktorý sa nachádza v priečinku Windows. 

 

Tento ransomware potom pridá plánovanú úlohu, ktorá po hodine reštartuje systém. Medzitým je zároveň upravený Master Boot Record (MBR) tak, aby prebehlo šifrovanie, a zobrazí sa príslušná vydieračská správa. Na začiatku sa zobrazí falošné oznámenie CHKDSK, vtedy prebieha šifrovanie. Neobvyklé pre ransomvér je, že nemení prípony zašifrovaných súborov. Je potrebné poznamenať, že šifrovanie sa zameriava najmä na typy súborov, používané v podnikovom prostredí, a nie na obrázky a video súbory, na ktoré sa zameriavajú iné útoky ransomvéru.

 

Okrem využívania technológie EternalBlue vykazuje Petya aj ďalšie podobnosti s ransomvérom WannaCry. Rovnako ako pri útokoch WannaCry, aj výkupný proces variantu Petya je pomerne jednoduchý: používa predvolenú adresu Bitcoin, čím sa proces dešifrovania stáva pre útočníkov oveľa pracnejším, na rozdiel od predchádzajúcich útokov Petya, ktoré mali pre tento proces rozvinutejšie rozhranie.

 

Od každého používateľa ransomvér žiada zaplatenie 300 dolárov. Rovnako, ako pri všetkých útokoch ransomvéru, Trend Micro neodporúča výkupné platiť - v tomto prípade to platí dvojnásobne, pretože e-mailoví adresa uvedená vo vydieračskom odkaze už nie je aktívna.



twiterfacebooklinkedinwhatsapp

Za Netky.sk
Katarina Z.

Netky
LETNÉ PRÁZDNINY O
00 DNÍ 00 HODÍN 00 MINÚT 00 SEKÚND
logo
Copyright © 2023 PetsoftMedia Inc.
Všetky práva sú vyhradené. Publikovanie alebo ďalšie šírenie správ, fotografií a video správ zo zdrojov TASR, SITA, taktiež z vlastnej autorskej tvorby, je bez predchádzajúceho písomného súhlasu porušením autorského zákona