Na topie

Cyberatak na całą Europę - NotPetya grasuje [AKT.]

Autor:

Szef strefy Ciekawostki

więcej artykułów ze strefy:
Ciekawostki

Z różnych części Europy dochodzą informacje o awariach systemu i infekcjach dokonanych przez ransomware o nazwie NotPetya. Także z Polski.

Cyberatak na całą Europę - NotPetya grasuje [AKT.]

A A

Aktualizacja [29.06.2017]: Wczoraj pisaliśmy, że nie warto płacić okupu, ponieważ cyberprzestępcy utracili dostęp do swojego konta, więc nie otrzymają przesłanych pieniędzy i nie odblokują naszych plików. Z analizy Kaspersky Lab wynika jednak, że nigdy o odblokowywaniu nie było mowy, bo NotPetya nie jest do końca oprogramowaniem typu ransomware.

Owszem, NotPetya żąda okupu, ale cyberprzetępcy technicznie nie są w stanie odblokować dostępu do plików po otrzymaniu pieniędzy, ponieważ nie ma konkretnego numeru identyfikacyjnego. Zatem podkreślmy raz jeszcze dwie kwestie: 1) nie należy płacić okupu (bo to nic nie da), 2) pliki na zainfekowanych komputerach są już właściwie nie do odzyskania.

Co to wszystko jednak tak naprawdę oznacza? Przede wszystkim to, że atak z wykorzystaniem NotPetya nie miał na celu uzyskania jak największej sumy pieniędzy. Cyberprzestępcom chodziło raczej o sparaliżowanie firm (biorąc pod uwagę efekty – głównie tych działających na terenie Ukrainy). Sprawcy wciąż nie są znani.

News oryginalny [28.06.2017]: WannaCry to wciąż aktualne zagrożenie, ale przynajmniej na moment musi odejść w cień. Firmy na całym świecie stają bowiem w obliczu nowego złośliwego oprogramowania – NotPetya. Rozprzestrzeniający się na całą Europę cyberatak nie ominął także Polski – ba, nasze firmy znajdują się w czołówce najbardziej dotkniętych.

Zaczęło się na Ukrainie, objęło sporą część Europy

Zaczęło się wczoraj, od licznych zgłoszeń z Ukrainy. Tamtejszy parlament, firmy energetyczne, prywatne i państwowe banki, lotniska oraz kijowskie metro padły ofiarą cyberprzestępczego ataku, w wyniku którego ich komputery zostały zablokowane przez NotPetya – nowe ransomware, czyli złośliwe oprogramowanie żądające wpłacenia okupu w zamian za odblokowanie zaszyfrowanych plików. Później zagrożenie zaczęło się rozprzestrzeniać.

W kolejnych godzinach docierały kolejne informacje o awarii systemów – z Danii (gdzie zaatakowane zostały komputery przedsiębiorstwa transportowo-energetycznego Maersk), z Wielkiej Brytanii (agencja reklamowa WPP), z Rosji (bank Home Credit), a dalej posypały się wieści z Włoch, Niemiec i wreszcie Polski, która po Ukrainie i Rosji liczy najwięcej ofiar.

Docierają też informacje o awariach spoza Europy, ale stanowią one niewielki odsetek.

To nie Petya, lecz ExPetr (lub: NotPetya)

Początkowo uważano, że pliki na komputerach szyfruje ransomware Petya, ale z analizy Kaspersky Lab wynikło, że jest to zupełnie nowe złośliwe oprogramowanie, które zostało nazwane ExPetr, ale ze względu na wcześniejsze domysły w sieci utrwaliło się po prostu jako NotPetya. Wiemy też, że po infekcji pojawia się żądanie wpłacenia około 300 dolarów w bitcoinach.

Jak przebiega infekcja NotPetya?

Z informacji przekazanych przez Departament Cyberpolicji Narodowej Policji Ukrainy wynika, że NotPetya mogła trafić na ukraińskie komputery w wyniku aktualizacji popularnego programu do zarządzania i wymiany dokumentów M.E.Doc. Miała ona powodować tworzenie pliku rundll32.exe, który analizował sieć i sprawdzał, czy jest możliwość przeprowadzenia ataku (czyli czy porty 139 i 445, wykorzystywane wcześniej przez WannaCry, są podatne). Jeśli odpowiedź brzmiała „tak”, dokonywano infekcji.

Autorzy programu M.E.Doc twierdzą jednak, że aktualizacja programu nie mogła być źródłem ataku. Sami przyznają też, że również oni padli ofiarą NotPetya. Sprawa nie jest więc jak dotąd zupełnie jasna.

NotPetya groźniejsze niż WannaCry

Nowe ransomware wykorzystuje tę samą podatność, co WannaCry. Nie kończy jednak na tym. Dodatkowo próbuje wykraść informacje logowania z każdego komputera, który infekuje, by móc rozprzestrzeniać się w lokalnej sieci, udając uprawnionego użytkownika. 

Polska premier zwołuje naradę Rządowego Zespołu Zarządzania Kryzysowego

Mniej więcej co dwudziesty zainfekowany komputer znajduje się na terenie Polski, a i skutki wcześniejszego ataku (WannaCry) odczuły polskie przedsiębiorstwa. Zupełnie niedaleko nas, bo na Ukrainie, oprogramowanie NotPetya doprowadziło zaś do paraliżu. To właśnie dlatego premier Beata Szydło zdecydowała się na zwołanie narady Rządowego Zespołu Zarządzania Kryzysowego, która odbędzie się dzisiaj, o godzinie 11.00.

Aktualizacja [godz. 15.00]: Przedstawiamy kilka nowych faktów:

  • Potwierdzono, że cyberprzestępcy utracili dostęp do konta, co oznacza, że nawet wpłacenie okupu nie spowoduje odzyskania dostępu do plików. Właściwie to już przepadły. 
  • Zakończyło się posiedzenie Rządowego Zespołu Zarządzania Kryzysowego. Premier Beata Szydło poinformowała, że „po analizie sytuacji i przedstawieniu informacji przez służby oraz odpowiedzialnych ministrów nie zdecydowaliśmy się na podjęcie decyzji o podwyższeniu stopnia alarmowego”.
  • Wśród polskich firm, które padły ofiarą NotPetya znajdują się Raben, InterCars, TNT, Kronospan i Mondelsz (informacja: Niebezpiecznik.pl).
  • Zaatakowane zostały także komputery elektrowni w Czarnobylu. System monitorowania promieniowania został zdezaktywowany, ale władze zapewniają, że nie ma żadnego zagrożenia.
  • Sprawą cyberataku zajmują się obecnie organy ścigania.

Co robić? Jak żyć?

Oto kilka podstawowych wskazówek:

  • Utwórz plik „C:\Windows\perfc” (skuteczność niepotwierdzona)
  • W momencie uruchomienia się programu  CHKDSK jak najszybciej wyłączc komputer
  • Nie płać okupu (niemieccy badacze odcięli cyberprzestępców od skrzynki)

Oraz uniwersalne:

Źródło: Quartz, The Verge, Niebezpiecznik. Foto: HypnoArt/Pixabay (CC0)

Odsłon: 10105 Skomentuj newsa
Komentarze

14

Udostępnij

Ciekawostki w marketplace

  1. loctor
    Oceń komentarz:

    6    

    Opublikowano: 2017-06-28 07:30

    "Wiemy też, że po infekcji pojawia się żądanie wpłacenia 300 bitcoinów."
    Nie 300 btc a 300$ w btc.

    Skomentuj

    1. Wojciech Kulik
      Oceń komentarz:

      6    

      Opublikowano: 2017-06-28 07:37

      Fakt, mój błąd, dziękuję! :)

      Skomentuj

    2. Pószek okrószek
      Oceń komentarz:

      -12    

      Opublikowano: 2017-06-28 12:58

      Pokaż komentarz zakopany przez użytkowników

      A wystarczyło mieć zainstalowany system Linuks, albo mieć komputer od Apple, żeby żadne wirusy, grzyby i zagrożenia się nie czepiały.

      Skomentuj

      1. HardCorak
        Oceń komentarz:

        3    

        Opublikowano: 2017-06-28 15:17

        wystarczy mieć aktualnego win 10

        Skomentuj

        1. chotnik2
          Oceń komentarz:

          1    

          Opublikowano: 2017-06-28 18:47

          Nawet 7 wystarczy, tylko zaktualizowana na bierzaco.
          WannaCry przeciez bylo zalatane zanim sie pojawilo.

          Tylko w normalnej firmie komputery sa podlaczone do domeny i pan Włodek z IT wymusza instalacje niezbednych aktualizacji bezpieczenstwa w domenie i nie ma klopotu.
          W mikroprzedsiebiorstwach gdzie nie ma pana od IT, kompy powinny miec wlaczone update bezpieczenstwa na stale i tyle.

          Plaga dotknela Ukraine i mocno zaatakowala Polske... hmm czy to nie przypadkiem kraje gdzie nawet male firmy uzywaja pirackich Windows i przede wszystkim MS Ofiice ktore czesto albo nie moga robic updatow albo maja specjalnie wylaczone "zeby sie MS nie dowiedzial, ze mamy piracki soft" ?
          Bo o ile Windowsy czasem aktualizuja, to u nas wiekszosc malych firm na Office 2008 pirackim jedzie.

          Jeszcze 5 lat temu w Polsce w oddziale bardzo duzej firmie zagranicznej byly instalowane na nowych stacjach roboczych z i5 i i7 Windowsy XP.

          Skomentuj Historia edycji

          1. gormar
            Oceń komentarz:

            1    

            Opublikowano: 2017-06-29 19:14

            Dzięki mechanizmom dostępnym w Active Directory nawet zaktualizowane systemy mogły zostać zainfekowane.

            Celem GRU były ukraińskie przedsiębiorstwa. W innych krajach ucierpiały tylko te firmy, które miały ścisłe powiązania z ukraińskimi. W szczególności wspólną sieć korporacyjną.

            Skomentuj

  2. raffal81
    Oceń komentarz:

    2    

    Opublikowano: 2017-06-28 07:42

    Do mnie wczoraj przyszedł znajomy który ma firmę obok mojej, bym przyszedł zobaczyć co się dzieje z jego serwerem, nie może otwierać żadnych plików, przychodzę patrzę a tam wszystko za szyfrowane. Masakra dosłownie, ale był jednym z tych którym kopia bezpieczeństwa nie była potrzebna, uświadomił sobie teraz jak bardzo się mylił ;]

    Skomentuj Historia edycji

  3. darioz
    Oceń komentarz:

    -5    

    Opublikowano: 2017-06-28 10:21

    Ruski mają najlepszych hakerów na świecie! amerykańce i chinole mogą im tylko buty czyścić!

    Skomentuj

  4. kokosnh
    Oceń komentarz:

    0    

    Opublikowano: 2017-06-28 11:17

    Jak to jest z tymi portami, właśnie skanuję router i mam otwarte prócz głównych jeszcze
    139
    445
    1900
    8200
    Wystarczy aby firewall na PC miał je zamknięte ?

    Skomentuj

    1. Sharimsejn
      Oceń komentarz:

      0    

      Opublikowano: 2017-06-29 15:32

      Nie znam się więc spytam. Czy w przypadku gdyby mój dysk został zainfekowany to wystarczy, że puszczę format i postawię na nowo system?

      Skomentuj

    1. Himoto
      Oceń komentarz:

      3    

      Opublikowano: 2017-06-29 03:04

      No własnie jest ciekawa zależność, zawsze gdy robi się hype na kopanie [i cześć PC wtedy idą z cenami w górę] to właśnie w okolicach tego trendu zazwyczaj pojawia się ogromny atak na firmy, instytucje rządowe, a gdzieś tam przy okazji dostaje się zwykłemu kowalskiemu :).

      Już kiedyś próbowano powiązać "kopanie" z przetwarzaniem danych przydatnych przy łamaniu zabezpieczeń, lub pisaniu coraz to nowych programów/wirusów. Jak dotąd nie wykazano w 100% takiego powiązania, gdyż brak dowodów na bezpośrednie powiązania.

      Skomentuj

      1. musslik
        Oceń komentarz:

        2    

        Opublikowano: 2017-06-29 14:43

        Na krypto walutach zarabia się inaczej niż kopiąc je, robi się wałki na giełdach.
        przykład
        bankier.pl/wiadomosc/Kulisy-flash-crashu-na-kryptowalucie-czyli-jak-z-380-dolarow-zrobic-milion-7528760.html

        Skomentuj

  5. ifeelveryblah
    Oceń komentarz:

    -3    

    Opublikowano: 2017-06-28 17:00

    Atak na całą Europę to już trwa od dawna a zwie się Unia Europejska i jej "uchodźcy".

    Skomentuj

  6. Mkozlowski
    Oceń komentarz:

    0    

    Opublikowano: 2017-06-29 20:27

    Przez to, że TNTpadło nie wiemy gdzie się znajduje jeden z tych nowych iPadów i kilka innych urządzeń, któree wesoło podróżowały sobie z Włoch do naszego magazynu, zadyma jest.

    Skomentuj

Dodaj komentarz

Przy komentowaniu prosimy o przestrzeganie netykiety i regulaminu.

Aby dodać komentarz musisz być zalogowany!