Szyfrowanie plików przez NotPetya to był tylko „wielki finał”

Atak NotPetya to drugie po WannaCry tak poważne zdarzenie w tym roku. Początkowo wydawało się, że zagrożenia są do siebie bardzo podobne, ale szybko okazało się, że jest inaczej – przede wszystkim dlatego, że cyberprzestępcy stojący za NotPetya nigdy nie zamierzali odblokowywać zaszyfrowanych plików, ale też z innego powodu.

Okazuje się, że czerwcowe masowe szyfrowanie plików na komputerach w firmach w całej Europie zasługuje na określenie mianem jedynie „grande finale”. Eksperci z ESET przeanalizowali bowiem atak i doszli do wniosku, że cyberprzestępcy mogli kontrolować komputery ofiar już zdecydowanie wcześniej, być może nawet w kwietniu.

Wciąż nieznani sprawcy postanowili wykorzystać popularne wśród ukraińskich firm biurowe oprogramowanie M.E.Doc, aby zaatakować właśnie tamtejsze przedsiębiorstwa. Pierwszym etapem był więc włam do programu i wstrzyknięcie złośliwej zawartości, która następnie w ramach aktualizacji trafiła do firm na terenie Ukrainy (a przy okazji też poza terytorium tego państwa). 

Po zainstalowaniu aktualizacji przez firmy, cyberprzespecy zyskali dostęp do sieci i danych ofiar, dzięki czemu mogli skutecznie opracować strategię ataku. Ataku, który zdecydowali się przeprowadzić, gdy było już wiadomo, że wśród zainfekowanych przedsiębiorstw znajduje się mnóstwo ukraińskich celów. 

„Żeby uzmysłowić skalę zagrożenia zaryzykuję analogię. Wyobraźmy sobie sytuację, w której tysiące firm w Polsce pobiera aktualizację któregoś powszechnie używanego programu komputerowego. Tyle, że w tej aktualizacji zawarta jest pułapka – atakujący zyskują dostęp do komputerów ofiar i do zapisanych tam danych” – mówi Paweł Jurek z firmy DAGMA.

„Temat stał się medialny dopiero w momencie, w którym zaatakowane firmy wstrzymały swoją pracę. Być może groźniejsze było jednak to, co działo się wcześniej – kiedy to atakujący mogli błyskawicznie identyfikować swoje ofiary i kiedy to mieli dostęp do ich komputerów i danych na nich zawartych. Otwartym pozostaje pytanie, jak ten dostęp wykorzystywali atakujący zanim zdecydowali się zniszczyć dane?” – dodaje.

Pytanie pozostaje na razie bez odpowiedzi. To wszystko może jednak tłumaczyć, dlaczego atak okazał się skuteczny także na zaktualizowanych systemach – po prostu złośliwe oprogramowanie mogło trafić na komputery przed aktualizacją. Wnioski ekspertów z ESET pokazują też, że twórcy programu M.E.Doc mówili prawdę – w ostatniej aktualizacji nie było żadnej niepokojącej zawartości (ta znajdowała się kilka wydań wstecz). 

Wreszcie, coraz bardziej prawdopodobne jest, że celem ataku wcale nie były pieniądze, lecz w akcji chodziło przede wszystkim o politykę. A jeśli tak, to to może oznaczać początek cyberwojny.

Źródło: DAGMA, ESET. Foto: NeuPaddy/Pixabay (CC0)