Ciekawostki

Cyberatak na całą Europę - NotPetya grasuje [AKT.]

opublikowano przez Wojciech Kulik w dniu 2017-06-29

Z różnych części Europy dochodzą informacje o awariach systemu i infekcjach dokonanych przez ransomware o nazwie NotPetya. Także z Polski.

Aktualizacja [29.06.2017]: Wczoraj pisaliśmy, że nie warto płacić okupu, ponieważ cyberprzestępcy utracili dostęp do swojego konta, więc nie otrzymają przesłanych pieniędzy i nie odblokują naszych plików. Z analizy Kaspersky Lab wynika jednak, że nigdy o odblokowywaniu nie było mowy, bo NotPetya nie jest do końca oprogramowaniem typu ransomware.

Owszem, NotPetya żąda okupu, ale cyberprzetępcy technicznie nie są w stanie odblokować dostępu do plików po otrzymaniu pieniędzy, ponieważ nie ma konkretnego numeru identyfikacyjnego. Zatem podkreślmy raz jeszcze dwie kwestie: 1) nie należy płacić okupu (bo to nic nie da), 2) pliki na zainfekowanych komputerach są już właściwie nie do odzyskania.

Co to wszystko jednak tak naprawdę oznacza? Przede wszystkim to, że atak z wykorzystaniem NotPetya nie miał na celu uzyskania jak największej sumy pieniędzy. Cyberprzestępcom chodziło raczej o sparaliżowanie firm (biorąc pod uwagę efekty – głównie tych działających na terenie Ukrainy). Sprawcy wciąż nie są znani.

News oryginalny [28.06.2017]: WannaCry to wciąż aktualne zagrożenie, ale przynajmniej na moment musi odejść w cień. Firmy na całym świecie stają bowiem w obliczu nowego złośliwego oprogramowania – NotPetya. Rozprzestrzeniający się na całą Europę cyberatak nie ominął także Polski – ba, nasze firmy znajdują się w czołówce najbardziej dotkniętych.

Zaczęło się na Ukrainie, objęło sporą część Europy

Zaczęło się wczoraj, od licznych zgłoszeń z Ukrainy. Tamtejszy parlament, firmy energetyczne, prywatne i państwowe banki, lotniska oraz kijowskie metro padły ofiarą cyberprzestępczego ataku, w wyniku którego ich komputery zostały zablokowane przez NotPetya – nowe ransomware, czyli złośliwe oprogramowanie żądające wpłacenia okupu w zamian za odblokowanie zaszyfrowanych plików. Później zagrożenie zaczęło się rozprzestrzeniać.

W kolejnych godzinach docierały kolejne informacje o awarii systemów – z Danii (gdzie zaatakowane zostały komputery przedsiębiorstwa transportowo-energetycznego Maersk), z Wielkiej Brytanii (agencja reklamowa WPP), z Rosji (bank Home Credit), a dalej posypały się wieści z Włoch, Niemiec i wreszcie Polski, która po Ukrainie i Rosji liczy najwięcej ofiar.

Docierają też informacje o awariach spoza Europy, ale stanowią one niewielki odsetek.

To nie Petya, lecz ExPetr (lub: NotPetya)

Początkowo uważano, że pliki na komputerach szyfruje ransomware Petya, ale z analizy Kaspersky Lab wynikło, że jest to zupełnie nowe złośliwe oprogramowanie, które zostało nazwane ExPetr, ale ze względu na wcześniejsze domysły w sieci utrwaliło się po prostu jako NotPetya. Wiemy też, że po infekcji pojawia się żądanie wpłacenia około 300 dolarów w bitcoinach.

Jak przebiega infekcja NotPetya?

Z informacji przekazanych przez Departament Cyberpolicji Narodowej Policji Ukrainy wynika, że NotPetya mogła trafić na ukraińskie komputery w wyniku aktualizacji popularnego programu do zarządzania i wymiany dokumentów M.E.Doc. Miała ona powodować tworzenie pliku rundll32.exe, który analizował sieć i sprawdzał, czy jest możliwość przeprowadzenia ataku (czyli czy porty 139 i 445, wykorzystywane wcześniej przez WannaCry, są podatne). Jeśli odpowiedź brzmiała „tak”, dokonywano infekcji.

Autorzy programu M.E.Doc twierdzą jednak, że aktualizacja programu nie mogła być źródłem ataku. Sami przyznają też, że również oni padli ofiarą NotPetya. Sprawa nie jest więc jak dotąd zupełnie jasna.

NotPetya groźniejsze niż WannaCry

Nowe ransomware wykorzystuje tę samą podatność, co WannaCry. Nie kończy jednak na tym. Dodatkowo próbuje wykraść informacje logowania z każdego komputera, który infekuje, by móc rozprzestrzeniać się w lokalnej sieci, udając uprawnionego użytkownika. 

Polska premier zwołuje naradę Rządowego Zespołu Zarządzania Kryzysowego

Mniej więcej co dwudziesty zainfekowany komputer znajduje się na terenie Polski, a i skutki wcześniejszego ataku (WannaCry) odczuły polskie przedsiębiorstwa. Zupełnie niedaleko nas, bo na Ukrainie, oprogramowanie NotPetya doprowadziło zaś do paraliżu. To właśnie dlatego premier Beata Szydło zdecydowała się na zwołanie narady Rządowego Zespołu Zarządzania Kryzysowego, która odbędzie się dzisiaj, o godzinie 11.00.

Aktualizacja [godz. 15.00]: Przedstawiamy kilka nowych faktów:

  • Potwierdzono, że cyberprzestępcy utracili dostęp do konta, co oznacza, że nawet wpłacenie okupu nie spowoduje odzyskania dostępu do plików. Właściwie to już przepadły. 
  • Zakończyło się posiedzenie Rządowego Zespołu Zarządzania Kryzysowego. Premier Beata Szydło poinformowała, że „po analizie sytuacji i przedstawieniu informacji przez służby oraz odpowiedzialnych ministrów nie zdecydowaliśmy się na podjęcie decyzji o podwyższeniu stopnia alarmowego”.
  • Wśród polskich firm, które padły ofiarą NotPetya znajdują się Raben, InterCars, TNT, Kronospan i Mondelsz (informacja: Niebezpiecznik.pl).
  • Zaatakowane zostały także komputery elektrowni w Czarnobylu. System monitorowania promieniowania został zdezaktywowany, ale władze zapewniają, że nie ma żadnego zagrożenia.
  • Sprawą cyberataku zajmują się obecnie organy ścigania.

Co robić? Jak żyć?

Oto kilka podstawowych wskazówek:

  • Utwórz plik „C:\Windows\perfc” (skuteczność niepotwierdzona)
  • W momencie uruchomienia się programu  CHKDSK jak najszybciej wyłączc komputer
  • Nie płać okupu (niemieccy badacze odcięli cyberprzestępców od skrzynki)

Oraz uniwersalne:

Źródło: Quartz, The Verge, Niebezpiecznik. Foto: HypnoArt/Pixabay (CC0)

marketplace

Komentarze

15
Zaloguj się, żeby skomentować
avatar
Dodaj
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    "Wiemy też, że po infekcji pojawia się żądanie wpłacenia 300 bitcoinów."
    Nie 300 btc a 300$ w btc.
    Zaloguj się
  • avatar
    Teraz wiecie do czego potrzebna jest wasza moc obliczeniowa drodzy kopacze walut?
    Zaloguj się
  • avatar
    Do mnie wczoraj przyszedł znajomy który ma firmę obok mojej, bym przyszedł zobaczyć co się dzieje z jego serwerem, nie może otwierać żadnych plików, przychodzę patrzę a tam wszystko za szyfrowane. Masakra dosłownie, ale był jednym z tych którym kopia bezpieczeństwa nie była potrzebna, uświadomił sobie teraz jak bardzo się mylił ;]
  • avatar
    Atak na całą Europę to już trwa od dawna a zwie się Unia Europejska i jej "uchodźcy".
  • avatar
    Ruski mają najlepszych hakerów na świecie! amerykańce i chinole mogą im tylko buty czyścić!
  • avatar
    Jak to jest z tymi portami, właśnie skanuję router i mam otwarte prócz głównych jeszcze
    139
    445
    1900
    8200
    Wystarczy aby firewall na PC miał je zamknięte ?
    Zaloguj się
  • avatar
    Przez to, że TNTpadło nie wiemy gdzie się znajduje jeden z tych nowych iPadów i kilka innych urządzeń, któree wesoło podróżowały sobie z Włoch do naszego magazynu, zadyma jest.