Petya atakuje. Globalny atak ransomware na miarę WannaCry? (aktualizacja)
**Aktualizacja, 00:15 Rzecznik prasowy rządu, Rafał Bochenek, poinformował na Twitterze, że w rezultacie ataku premier Beata Szydło zwołała naradę Rządowego Zespołu Zarządzania Kryzysowego. Spotkanie odbędzie się jutro o godzinie 11:00.
[frame]Aktualizacja, 22:05 Pojawiły się pierwsze informacje na temat ewentualnego wektora ataku. Departament Cyberpolicji Narodowej Policji Ukrainy w opublikowanym na Facebooku komunikacie wskazuje na M.E.Doc, popularny na Ukrainie program do zarządzania dokumentacją. Co ważne, używany także w wymianie dokumentów z instytucjami rządowymi. Według ukraińskiej policji, dziś o 10:30 M.E.Doc automatycznie pobrał aktualizację. Tworzy ona plik rundll32.exe, a następnie analizuje sieć za pośrednictwem portów 139 i 445, tych samych które wykorzystuje protokół SMBv1 – to właśnie jego podatność była wektorem WannaCry/ETERNALBLUE. Następnie uruchamiane było cmd.exe, , gdzie wykonywane są dwa polecenia: c schtasks /RU "SYSTEM" /Create /SC once /TN "" /TR oraz C:\Windows\system32\shutdown.exe /r /f" /ST 14:35. Po zaplanowaniu wyłączenia tworzony był plik ac3.tmp oraz dllhost.dat. Tak prezentują się ustalenia ukraińskiej policji, pojawiło się już także stanowisko M.E.Doc. Warto zwrócić uwagę, że dna stronie programu opublikowano dziś informację, że zaatakowane zostały serwery producenta. Przez niektóre media jest ona mylnie interpretowana jako potwierdzenie, że wówczas podmieniono pliki, tymczasem pierwszy komunikat sugeruje jedynie, że infrastruktura M.E.Doc mogła być jedną z pierwszych ofiar Przed godziną producent M.E.Doc opublikował kolejny komunikat, w którym zdecydowanie zaprzecza, że źródłem ataku jest aktualizacja programu oraz potwierdza, że jest jedną z ofiar.
IT systems in several WPP companies have been affected by a suspected cyber attack. We are taking appropriate measures & will update asap.
— WPP (@WPP) 27 czerwca 2017O atakach na rosyjski i ukraiński przemysł naftowy donosi między innymi Reuters. The Next Web informuje o całkowitej awarii systemów duńskiego konglomeratu transportowo-energetycznego Maersk czy kijowskiego lotniska Boryspol. Atak potwierdza brytyjska agencja reklamowa WPP. Wszystkie operacje są także wstrzymane w rosyjskich oddziałach Home Credit – konsultant banku potwierdził, że z powodu ataku hakerskiego.
UPDATE 15:00 CEST pic.twitter.com/L5pBYvNQd3
— Maersk (@Maersk) 27 czerwca 2017Na razie nie jest znany wektor ataku, według ofiar komunikat informujący o zaszyfrowaniu dysku pochodzi od ransomware Petya. W marcu zeszłego roku dokonywano nim infekcji za pomocą pobieranego z Dropboksa résumé fikcyjnej osoby, ubiegającej się o pracę. Pracownicy z działu HR nie baczyli na to, że plik jest wykonywalny. Jeżeli faktycznie mamy do czynienia z Petya, to zagrożenie jest znane – program po uruchomieniu restartuje komputer, modyfikuje Master Boot Record, a następnie wyświetla fałszywą informację o sprawdzaniu dysku przez CKDSK. Wówczas dane są szyfrowane.
VLOG #2: Ransomware – jak się bronić?
Rzecz w tym, że Petyę rozpoznają antywirusy (Win32.Trojan-Ransom.Petya.A), a w kwietniu zeszłego roku udostępniono narzędzie PetyaExtractor, które umożliwia wygenerowania hasła. Najpewniej jednak mamy do czynienia ze zmodyfikowaną Petyą. Na więcej informacji trzeba jednak doczekać – o nowych wydarzeniach będziemy informować na bieżąco.