ibsenergia.pl

Od kilku godzin w wielu poważnych instytucjach na całym świecie, nie tylko na Ukrainie jak twierdzą media, trwa panika. Komputery są zablokowane i mamy powtórkę tego, co działo się miesiąc temu. Zagrożone są także Banki. Tym razem okupu domaga się nie WannaCry, a ransomware o nazwie Petya. 300 dolarów w Bitcoinach. Co gorsza, jego ofiarą padają nie tylko w pełni zaktualizowane Windowsy, ale także Petya raczej nie korzysta z żadnego 0day’a…

Na Ukrainie, skąd napłynęły pierwsze doniesienia — podobnie jak w przypadku WannaCry — już pojawiają się informacje o trudnościach w robieniu zakupów czy o pracownikach firm zwalnianych do domów — ponieważ nie działają komputery. Jest również problem z bankomatami.

Polskie firmy też zainfekowane

Pierwsze ataki na terenie Polski przedsiębiorstwa odnotowały w okolicach godziny 13. Podobnie jak na świecie, problem dotknął firm z branży logistycznej, ale poszkodowane są również mniejsze spółki usługowo-handlowe, które nie są związane z tym sektorem rynku. Do bycia ofiarą ataku w Polsce przyznało się kilka polskich spółek. Firma Raben ze względu na “międzynarodowe zagrożenie wirusowe, wstrzymała wszystkie operacje transportowe“, a od rana nie funkcjonuje także InterCars. Znane są również informacje o ofiarach wśród kancelarii prawnych. Wg danych prasowych, ofiarą ransomware padły też firmy: TNT w Katowicach, Kronospan, Mondelez we Wrocławiu, oraz jedna z działających na polskim rynku firm medycznych obecna także za wschodnią granicą. Nikt więc nie powinien się czuć bezpiecznie.

Co ważne, nie jest jeszcze jasne jak dokładnie rozprzestrzenia się Petya. Czy podobnie jak w przypadku WannaCry jest to tylko i wyłącznie atak na SMB (exploit NSA, ETERNALBLUE), czy może tym razem dodano także wektor socjotechniczny (np. z zainfekowanym załącznikiem e-maila).

To co teraz jest pewne, to fakt, że zainfekowane komputery naszych klientów miały łatki na WannaCry, a mimo to padły ofiarą. To sugeruje, że ransomware może wykorzystywać nową podatność, która była łatana późniejszymi niż MS17-010 łatkami.

Dlaczego atakowane są także zaktualizowane systemy?

To na co zwracają uwagę niektórzy, to fakt, że tym razem zaatakowane zostały także Windowsy 10. Zaktualizowane. W kilku firmach ofiarą były tylko te komputery, które były podpięte pod Active Directory, natomiast ich “bliźniacze” stacje odpięte od domeny, nie zostały zainfekowane. Czyżby po przejęciu DC ransomware infekował poprzez wypchnięcie paczki na wszystkie zarządzane stacje robocze?

Atak na zapatchowane systemy jest też możliwy, dlatego że Petya korzysta z mechanizmów WMIC oraz PSEXEC. Dodatkowo, Petya po zainfekowaniu komputera odczekuje 30-40 minut, zanim rozpocznie szyfrowanie. Dlatego, nawet jak jesteście zainfekowani, możecie jeszcze uratować swoje stacje, wyłączając je jak najszybciej.

Dlaczego, choć WannaCry nie dotknął mocno Polski, to Petya, korzystająca z tej samej podatności sieje takie spustoszenie? Przed WannaCry, który propagował się przez skan podpiętych do publicznego internetu niezałatanych Windowsów, Polaków chroniły filtry operatorów, niedopuszczające ruchu przychodzącego na portach Samby. W przypadku Petya, jeden zainfekowany (np. złośliwym załącznikiem) host w środku może rozpropagować atak na niezałatane Windowsy, ale także na zaktualizowane Windowsy, za pomocą domeny i wspomnianych wyżej mechanizmów WMIC i PSEXEC, zwłaszcza jeśli jest to serwer. Czyli w przeciwieństwie do WannaCry, atak zaczyna się od środka sieci, a nie tylko z zewnątrz.

Złośliwa wiadomość szyfrująca dyski - ktoś podszywa się pod GIODO

W piątek na adresy kancelarii prawnych skierowana została złośliwa wiadomość, w której ktoś podszywając się pod GIODO zapowiadał kontrolę. Wiadomość nie miała treści, a jedynie załącznik. Jeśli ktoś go otworzył, jego komputer został zaszyfrowany.

Oto jak wyglądała wiadomość, rozsyłana z adresu “kanelaria@giodo.gov.pl“:

Uwaga! Ktoś podszywa się pod GIODO i podsyła zainfekowane załączniki. Ostrzeżcie własnych prawników i kancelarie prawne współpracujące z wami !

Poza logotypem GIODO, wiadomość nie zawiera żadnej treści. Ma jednak załącznik: Powiadomienie o planowanej kontroli GIODO.PDF.zip

Po rozpakowaniu, ukazuje się instrukcja (plik TXT o nazwie “Hasło do powiadomienia o kontroli.txt“) zawierająca hasło, do kolejnego archiwum, tym razem RAR: “Powiadomienie o kontroli GIODO.rar“:

Hasło brzmi: DouME7+23cs

A po rozpakowaniu przy jego pomocy archiwum RAR, zobaczycie plik:

Powiadomienie o planowanej kontroli GIODO_PDF.vbs


MD5 849f71115fd8277e76259ac9452dab5b
SHA1 05d067877f27bd0e411e565b6f0990e49697c6d4
SHA256
e24feddf1abdbcab875213e374fabab71851e334bde1cbd60c888c71f642dfb9

Plik ten zawiera złośliwe oprogramowanie typu ransomeware, które szyfruje dysk ofiary i domaga się okupu. Malware po zaszyfrowaniu plików na komputerze umieszcza następujący plik tekstowy:

!!!@##-.-ODZYSKAJ-DANE-.-##@!!!.txt

Widnieje tam następująca treść:

Masz problem ze znalezieniem potrzebnych danych? Nie możesz otworzyć swoich plikow?
Wszystkie istotne pliki zostały zaszyfrowane!
Aby odzyskać pliki skontaktuj się z nami pod adresem: 3NIGMA@0.PL lub 3NIGMA2@PROTONMAIL.COM

Odszyfrowac Twoje pliki można tylko przy pomocy dedykowanego programu deszyfrującego, wraz z jednorazowym kluczem wygenerowanym unikalnie dla Ciebie!
Dwa pliki odszyfrujemy bez opłaty za pozostałe będziecie Państwo musieli zapłacić 200$

Radzimy decydować się szybko, 72 godziny od zaszyfrowania opłata zostanie podniesiona do 400$.

IP=XXXX ID=XXXX Data=XXXX

Ile jest ofiar?

Podsumujmy. Wiadomość na pierwszy rzut oka jest podejrzana nawet dla “nietechnicznego” prawnika. Wielu z prawników od razu zauważyło haczyk . Czy to oznacza, że atak jest nieskuteczny? Nie do końca…

Autor kampanii obchodzi filtry GMaila, poprzez podwójne pakowanie — rar na hasło w zipie. Tak, wielu prawników korzysta z tego dostawcy poczty do załatwiania swoich firmowych spraw…

Kampania została rozesłana w piątek pod koniec dnia. To też podniesie liczbę ofiar. Z doświadczeń podczas wykonywania ataków socjotechnicznych na polskie firmy wynika, że wysłanie fałszywego e-maila pod koniec dnia pracy, kiedy ludzie są zmęczeni, daje ok. 30% większą liczbę ofiar niż przesłanie tej samej wiadomości rano. A jeśli zrobimy to pod koniec dnia i w dodatku w piątek…

Wracając jednak do pytania ze śródtytułu. Ile jest ofiar, wśród niewątpliwie inteligentnych osób, jakimi są prawnicy? Kilka na pewno — już wiadomo o nich z pierwszej ręki. Tym razem wszystko wskazuje, że atakujący jedynie zaszyfrował im pliki, ale ponieważ złośliwe oprogramowanie może uruchamiać zewnętrzne binarki, niewykluczone, że w kolejnej iteracji, kancelarie prawne będą okradane ze swoich danych. A te, w niektórych kręgach są na wagę złota…

Źródło: NIEBEZPIECZNIK.pl

DDVdQtEXgAI1lbn-600x337
Bitcoin_Address_1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX-600x374