TechnologieKim jest Petya?

    Kim jest Petya?

    Ransomware, który 27 czerwca zaatakował Ukrainę i stamtąd resztę Europy, był groźnym, ale i bardzo ciekawym przypadkiem infekcji. Śledzimy, skąd się wziął i jak wyglądał ten atak.

    Kim jest Petya?

    Petya (Pietia, Piotruś) to nowocześniejsza wersja ransomware WannaCry, który zaatakował w maju i w 150 krajach zablokował ok. 230 tys. komputerów. Niestety wnioski nie zostały wyciągnięte i sześć tygodni później atak Petyi się powiódł. Eksperci twierdzą, oryginalny Petya nie byłby w stanie wyrządzić tyle szkód, więc była to inna odmiana tego malware’u.

    Według danych Microsoftu infekcja zaczęła się na Ukrainie i 70 proc. zainfekowanych komputerów znajdowało się na terenie tego kraju. W sumie malware przejął kontrolę nad ok. 20 tysiącami urządzeń na całym świecie. Na Ukrainie problemy miał Ukrenergo, elektrownia w Czernobylu, Antonow – producent samolotów, rosyjski Rosneft i amerykański Merck. W Polsce problemy dotknęły np. firmę Raben, TNT, Kronospan i Inter Cars.

    Kto popiera Petyę

    Anton Cherepanov z firmy ESET twierdzi, że hakerzy mieli dostęp do komputerów ofiar na długo przed samym atakiem (najprawdopodobniej od kwietnia), a cele namierzali i rozpoznawali po EDROU, odpowiedniku polskiego REGON-u. Niewykluczone, że sam cyberatak i zniszczenie danych tysięcy firm było zakończeniem zrealizowanych wcześniej innych działań i służyło np. do zatarcia śladów.

    Petya, który nosi nazwę jednego z satelitów z zabójczą bronią z filmu z Jamesem Bondem „Golden Eye”, został wykryty już w marcu 2016, jednak atak z czerwca 2017 został przeprowadzony za pomocą nowszej wersji. Podczas wstępnej analizy szkodnika badacze z Kaspersky Lab zauważyli, że lista rozszerzeń plików, którą stosował, jest bardzo podobna do listy wykorzystywanej przez narzędzie niszczące dane (tzw. wiper) o nazwie KillDisk stosowane przez grupę cyberprzestępczą BlackEnergy w latach 2015–2016. Eksperci z Kaspersky Lab badają poczynania tej grupy od kilku lat i są bardzo dobrze zaznajomieni z jej metodami oraz atakami – głównie na sektor przemysłowy. Ten fakt oraz sposób dystrybucji malware’u wskazują, że Petya nie został stworzony z myślą o pojedynczych, domowych użytkownikach, lecz o infekowaniu firm.

    Petya czy NotPetya

    Malware Petya nie jest nowym szkodnikiem, tymczasem zachowanie wersji atakującej 27 czerwca odbiegało od znanego wzorca. Dlatego szkodnik otrzymał szybko nazwę NotPetya. Badający go zaczęli spierać się, czy na pewno jest to ransomware, czy tylko go udaje. Wiele wskazuje, że NotPetya to wiper, czyli szkodnik bezpowrotnie uszkadzający dane.

    Ransomware to „model biznesowy” cyberprzestepców, dlatego ci nie pozwalają sobie na fuszerkę. Tymczasem NotPetya roi się od błędów. Odzyskanie danych szyfrowanych szkodnikiem wygląda na niemożliwe, bo te wg niektórych ekspertów są trwale uszkadzane, a koszt odblokowania jest podejrzanie niski. Do wpłat okupu służy pojedynczy, stały portfel Bitcoin zamiast generowanego indywidualnie dla każdej transakcji identyfikatora. W dodatku skrzynka kontaktowa została założona na publicznym serwerze i momentalnie zablokowana przez administratora, co oznacza, że przestępcy nie mogli wysłać nikomu, kto zapłacił okup, klucza deszyfrującego. Ludzie przestali więc płacić.

    Być może NotPetya tylko udawał ransomware, a od początku był nastawiony na niszczenie danych w ukraińskich firmach. Co prawda 5 lipca zauważono ruch na koncie przechowującym bitcoiny pochodzące z okupu, a sami cyberprzestepcy oświadczyli, że za 100 bitcoinów udostępnią główny klucz deszyfrujący pliki (MBR nie da się już odszyfrować) i przedstawili dowody na to, że są w jego posiadaniu, jednak może być to ciąg dalszy akcji polegającej na odwracaniu uwagi.

    Jak się chronić?

    W folderze, w którym zainstalowany jest system Windows, należy stworzyć pusty plik o nazwie „perfc” (bez rozszerzenia) i nadać mu atrybut „tylko do odczytu”. Petya tworzy taki plik podczas działania, jednak gdy plik już istnieje, program głupieje i przerywa swoją pracę.

    Cel: Polska

    Tym razem atak był wymierzony w Ukrainę, a reszta świata oberwała rykoszetem. Jednak dotyczący cyberbezpieczeństwa raport firmy Check Point Software Technologies pokazuje, że Polska jest już na szóstym miejscu w Europie wśród krajów z największą liczbą ataków. Wyżej w „rankingu” są Macedonia, Gruzja, Albania, Rosja i Rumunia. Niepokojem napawa fakt, że w czasie poprzedniego badania Polska była na osiemnastym miejscu. Zaatakowanie serwera z „rządowym” oprogramowaniem nie jest, jak wskazuje przykład Petyi, niemożliwe. W maju 2017 pojawiła się aktualizacja polskiego Płatnika, która była blokowana przez programy antywirusowe. Przypadek, czy też Polska szczęśliwie uniknęła losu Ukrainy?

    Jak wyglądała infekcja

    Pacjent zero

    Departament Cyberpolicji Narodowej Policji na Ukrainie potwierdził, że w wypadku Petyi źródłem infekcji był serwer programu M.E. Doc (odpowiednika polskiego Płatnika), z którego ukraińskie firmy korzystają do rozliczeń podatkowych.

    Przestępcy podmienili jedną z regularnie wysyłanych przez program do wszystkich swoich kopii aktualizację na taką zawierającą złośliwy kod. Wirus zaciągnięty na serwer danej firmy rozprzestrzeniał się, korzystając z „konwencjonalnych” mechanizmów.

    Atak na firmy umieszczone poza Ukrainą był efektem ubocznym. W pierwszej kolejności zaatakowane zostały firmy mające swoje oddziały na Ukrainie lub utrzymujące połączenia z systemami tamtejszych firm.

    Sytuacja jest o tyle ciekawa, że 1 czerwca operator serwerowni hostujacej serwery M.E. Doc został oskarżony o przekierowanie ruchu na infrastrukturę kontrolowaną przez rosyjskie służby specjalne. Analiza backdoora znajdującego się złośliwej aktualizacji wskazuje, że atakujący mieli dostęp do pełnego kodu źródłowego M.E. Doc, co oznacza, że firma M.E. Doc miała od dawna całkowicie przejętą infrastrukturę.

    Sposób ataku

    Atak ma dwie fazy: szerzenie infekcji i szyfrowanie dysku. Proces inkubacji wirusa trwa kilkadziesiąt minut. W tym czasie Petya rozprzestrzenia się po sieci lokalnej, próbując infekować sąsiednie komputery przy użyciu nazwy użytkownika i hasła wydobytego z komputera pierwszej ofiary. Rozpoczęcie procedury szyfrowania oznacza, że infekowane zostało zakończone.

    Malware rozprzestrzenia się, korzystając z:

    • EternalBlue – tego samego exploita, którego używał WannaCry
    • Psexec – programu narzędziowego Microsoftu do uruchamiania procesów w zdalnych systemach
    • Windows Management Instrumentation, czyli komponentu systemu Windows
    • dziury CVE-2017-0199 umożliwiającej propagację złośliwego oprogramowania przez pakiet Microsoft Office.

    W czasie infekcji modyfikowany jest MBR (sektor startowy) i instaluje się w nim oprogramowanie szyfrujące. Po zakończeniu infekowania otoczenia następuje automatyczny restart i rozpoczyna się szyfrowanie plików, a na końcu MBR. Wyłączenie komputera
    w tym momencie pozwala na odzyskanie części plików. Po zaszyfrowaniu wyświetlany jest ekran z żądaniem okupu. Szyfrowanie wykorzystuje algorytm AES-128, więc jest niemożliwe do złamania w warunkach domowych.

    Petya i NotPetya

    Celem ransomware jest wymuszenie okupu, tymczasem szkodnik nie przyniósł wielkich zysków. Atakujacy NotPetya wcale nie musiał być ransomware.
    Petya infekuje MBR, zastępuje bootloader Windows, a po restarcie szyfruje tabelę plików i wyświetla komunikat z żądaniem okupu. Aby infekcja mogła nastąpić, wymagane było przyznanie szkodnikowi uprawnień administracyjnych. Jedna z odmian Petyi występowała w komplecie z Mishą, szkodnikiem aktywowanym, gdy Petya nie zadziała. Misha jest typowym ransomware i nie wymaga uprawnień administracyjnych. Wcześniejsze wersje Petyi ukrywały się jako plik PDF załączony do e-maila.

    NotPetya wykorzystany w ataku z 2017 roku używa EternalBlue, exploita wykorzystującego lukę w protokole SMB serwera Windows. EternalBlue został prawdopodobnie opracowany przez amerykańską agencję bezpieczeństwa narodowego i wyciekł w kwietniu 2017 r. Dodatkowo procedura szyfrowania została zmodyfikowana tak, że złośliwe oprogramowanie nie może technicznie cofnąć szyfrowania MBR.

    Kto za tym stoi?

    Dziwne zachowanie malware’u (grupa ofiar, przygotowania do ataku, niszczenie danych) kontrastuje z zaskakującą nieporadnością przestępców kierujących atakiem. Wygląda to, jakby ktoś popełniał błędy celowo, aby udowodnić amatorszczyznę ataku. Problem w tym, że przygotowania były profesjonalne.

    Wybrane dla Ciebie