Kim jest Petya?
Przestępcy podmienili jedną z regularnie wysyłanych przez program do wszystkich swoich kopii aktualizację na taką zawierającą złośliwy kod. Wirus zaciągnięty na serwer danej firmy rozprzestrzeniał się, korzystając z „konwencjonalnych” mechanizmów.
Atak na firmy umieszczone poza Ukrainą był efektem ubocznym. W pierwszej kolejności zaatakowane zostały firmy mające swoje oddziały na Ukrainie lub utrzymujące połączenia z systemami tamtejszych firm.
Sytuacja jest o tyle ciekawa, że 1 czerwca operator serwerowni hostujacej serwery M.E. Doc został oskarżony o przekierowanie ruchu na infrastrukturę kontrolowaną przez rosyjskie służby specjalne. Analiza backdoora znajdującego się złośliwej aktualizacji wskazuje, że atakujący mieli dostęp do pełnego kodu źródłowego M.E. Doc, co oznacza, że firma M.E. Doc miała od dawna całkowicie przejętą infrastrukturę.
Malware rozprzestrzenia się, korzystając z:
- EternalBlue – tego samego exploita, którego używał WannaCry
- Psexec – programu narzędziowego Microsoftu do uruchamiania procesów w zdalnych systemach
- Windows Management Instrumentation, czyli komponentu systemu Windows
- dziury CVE-2017-0199 umożliwiającej propagację złośliwego oprogramowania przez pakiet Microsoft Office.
w tym momencie pozwala na odzyskanie części plików. Po zaszyfrowaniu wyświetlany jest ekran z żądaniem okupu. Szyfrowanie wykorzystuje algorytm AES-128, więc jest niemożliwe do złamania w warunkach domowych.
Petya infekuje MBR, zastępuje bootloader Windows, a po restarcie szyfruje tabelę plików i wyświetla komunikat z żądaniem okupu. Aby infekcja mogła nastąpić, wymagane było przyznanie szkodnikowi uprawnień administracyjnych. Jedna z odmian Petyi występowała w komplecie z Mishą, szkodnikiem aktywowanym, gdy Petya nie zadziała. Misha jest typowym ransomware i nie wymaga uprawnień administracyjnych. Wcześniejsze wersje Petyi ukrywały się jako plik PDF załączony do e-maila.
NotPetya wykorzystany w ataku z 2017 roku używa EternalBlue, exploita wykorzystującego lukę w protokole SMB serwera Windows. EternalBlue został prawdopodobnie opracowany przez amerykańską agencję bezpieczeństwa narodowego i wyciekł w kwietniu 2017 r. Dodatkowo procedura szyfrowania została zmodyfikowana tak, że złośliwe oprogramowanie nie może technicznie cofnąć szyfrowania MBR.