Ευρήματα των παραλλαγών του ιου Petya
Σύμφωνα με αποτελέσματα διαχρονικής έρευνας, πολλές από τις εκστρατείες που έχει πραγματοποιήσει η ομάδα κυβερνοεγκληματιών TeleBots στην Ουκρανία, καθώς και κάποια στοιχεία από τα διαρκώς μεταβαλλόμενα εργαλεία τους, που έχουν χρησιμοποιηθεί σε επιθέσεις μεταξύ Δεκεμβρίου 2016 και Μαρτίου 2017, εμφανίζουν ομοιότητες με τα κρούσματα του Diskcoder C (γνωστό και ως Petya) που σημειώθηκαν στις 27 Ιουνίου 2017. Ο τρόπος που λειτουργεί η ομάδα TeleBots βασίζεται σταθερά στη χρήση του KillDisk για να αντικαταστήσει τα αρχεία με συγκεκριμένες επεκτάσεις στους δίσκους των θυμάτων. Δεν υπήρχαν στοιχεία για να επικοινωνήσει το θύμα με τον άνθρωπο που βρισκόταν πίσω από την επίθεση, παρά εμφανιζόταν μία εικόνα από την τηλεοπτική σειρά Mr. Robot.
Συνεπώς, ήταν απίθανο να αποσκοπεί σε λύτρα, καθώς τα αρχεία δεν ήταν κρυπτογραφημένα, αλλά είχαν αντικατασταθεί. Ενώ στις επόμενες επιθέσεις προστέθηκε και η κρυπτογράφηση, τα στοιχεία επικοινωνίας και άλλα χαρακτηριστικά του ransomware, τα περιστατικά εξακολουθούσαν να μη συνδέονται. Από τον Ιανουάριο ως τον Μάρτιο του 2017, η ομάδα TeleBots παραβίασε μια εταιρεία λογισμικού στην Ουκρανία χρησιμοποιώντας VPN tunnels και απέκτησε πρόσβαση στα δίκτυα αρκετών χρηματοπιστωτικών ιδρυμάτων, αποκαλύπτοντας ένα ενισχυμένο οπλοστάσιο εργαλείων σε κώδικα Python. Κατά τα τελευταία στάδια αυτής της εκστρατείας, το ransomware εξαπλώθηκε με τη χρήση κλεμμένων διαπιστευτηρίων των Windows και εργαλείων PsExec της σουίτας SysInternals. H ESET ανίχνευσε αυτό το νέο ransomware ως Win32/Filecoder.NKH. Ακολούθησε το ransomware για Linux, που ανιχνεύτηκε ως Python/Filecoder.R, το οποίο, όπως μπορεί εύκολα να προβλέψει κανείς, ήταν γραμμένο σε κώδικα Python. Στη συνέχεια, η ομάδα TeleBots προχώρησε στην εξάπλωση του Win32/Filecoder.AESNI.C (γνωστό ως XData) στις 18 Μαΐου 2017. Διαδόθηκε κυρίως στην Ουκρανία μέσω μιας ενημέρωσης του M.E.Doc, ενός λογισμικού για λογιστική χρήση που χρησιμοποιείται ευρέως στην Ουκρανία.
Σύμφωνα με το ESET LiveGrid, το malware δημιουργήθηκε αμέσως μετά την εκτέλεση του λογισμικού, αποκτώντας τη δυνατότητα αυτόματων πλευρικών κινήσεων μέσα στο παραβιασμένο δίκτυο LAN. Η ESET είχε δημοσιεύσει εργαλείο αποκρυπτογράφησης για το Win32/Filecoder.AESNI. Ωστόσο, στις 27 Ιουνίου, εμφανίστηκαν μαζικά κρούσματα παραλλαγών του malware Petya (Diskcoder.C) – το οποίο έχει παραβιάσει πολλά συστήματα υποδομών ζωτικής σημασίας και επιχειρήσεων στην Ουκρανία και παγκοσμίως – με ικανότητα να αντικαθιστούν το Master Boot Record (MBR) με το δικό τους κακόβουλο κώδικα, τον οποίο είχαν δανειστεί από το ransomware Win32/Diskcoder.Petya.
Δεν υπάρχουν σχόλια