Το NotPetya κρύβει ευρύτερη κυβερνοεπίθεση
Οι αρχικές εκτιμήσεις ήθελαν τις επιθέσεις να οφείλονται στο γνωστό ransomware Petya, ωστόσο νέα στοιχεία δείχνουν ότι ο ιός που έχει χρησιμοποιεί στις επιθέσεις αυτής της εβδομάδας έχει σχεδιαστεί ώστε να διαγράφει οριστικά τα αρχεία Master Boot Record ενός συστήματος. Ενδέχεται δηλαδή με την κάλυψη μίας ransomware επίθεσης να πρόκειται για μία γενικευμένη κυβερνοεπίθεση, ενδεχομένως και με πολιτικά κριτήρια. Στην Ουκρανία, απ’ όπου ξεκίνησαν οι επιθέσεις κάνουν λόγο για ρωσική κυβερνοεπίθεση η οποία πλέον από την Ουκρανία έχει εξαπλωθεί σε όλη την Ευρώπη.
Όπως αναφέρει σε σχετική ενημέρωσή της η εταιρεία λογισμικού ασφαλείας ESET, οι επιθέσεις φαίνεται να ξεκίνησαν τις πρωινές ώρες της 27ης Ιουνίου στην Ουκρανία. Το ransomware φαίνεται να είναι μια έκδοση του Petya. Εάν μολύνει επιτυχώς το MBR, θα κρυπτογραφήσει ολόκληρη τη μονάδα δίσκου, διαφορετικά κρυπτογραφεί όλα τα αρχεία. Για την εξάπλωσή του, φαίνεται ότι χρησιμοποιεί ένα συνδυασμό του SMB exploit (EternalBlue), όπως είχε κάνει και το WannaCry για να μπει στο δίκτυο, και στη συνέχεια εξαπλώνεται μέσω του PsExec. Αναφορές δείχνουν ότι έχουν πληγεί ο χρηματοπιστωτικός, ο ενεργειακός καθώς και πολλοί άλλοι τομείς.
Ωστόσο, με την εξέλιξη των επιθέσεων διαπιστώθηκε ότι το malware που χρησιμοποιήθηκε δεν λειτουργεί σαν κλασσικό ransomware αλλά αντίθετα λειτουργεί σαν ιός που καταστρέφει πλήρως τα δεδομένα του συστήματος που έχει προσβληθεί. Ενδεικτική είναι η ανάρτηση του ερευνητή ασφαλείας Matt Suiche για λογαριασμό της Comae Technologies, όπου χαρακτηρίζει το νέο malware «NotPetya» γιατί ακριβώς διαγράφει αρχεία αντί απλά να κρυπτογραφεί και να ζητάει λύτρα για το ξεκλείδωμά τους, όπως έκανε ο Petya. «Ο Petya του 2016 τροποποιεί τον σκληρό δίσκο του συστήματος ώστε να υπάρχει τρόπος επαναφοράς, αντίθετα η έκδοση του 2017 προκαλεί μόνιμες βλάβες στον σκληρό δίσκο», αναφέρει ο Matt Suiche.
Δεν υπάρχουν σχόλια