PETYA - A globális kibertámadás terjedésének legfrissebb adatai

Kedd óta folyamatosan érkeznek jelentések a WannaCry zsarolóvírus utódjának, a PetrWrap-nek a globális terjedésérõl. Az Ukrajna és Oroszország területérõl indult kibertámadás világszerte okozott hálózati leállásokat, megbénította számos iparág informatikai rendszerét és jelentõs károkat okozott.

A támadás legfrissebb statisztikájából egyértelmûen látszik, hogy Ukrajna, a terjedés kiindulási országa szenvedte el a legtöbb fertõzést, mögötte Németország és Lengyelország helyezkedik el. Magyarország ezekhez az országokhoz képest jóval kisebb mértékben fertõzõdött, a Petya legújabb variánsa által okozott támadások mindössze 0,15%-a jelentkezett hazánkban.

Fontos információ, hogy a zsarolóüzenetben megadott adatokon keresztül a fizetés már nem lehetséges, miután az e-mail címet, ahova szükséges küldeni a bitcoin fiók azonosítóját és a „személyes telepítõ kulcsokat” letiltotta a szolgáltató.

Az ESET szakértõi által nemrégiben detektált PetrWrap zsarolóvírus támadása egészen hasonlít a májusi WannaCry-hullámra, amely akkor több mint 150 ország számítógépes hálózatát fertõzte meg. A mostani támadás azonban sokkal erõsebb és agresszívabb az elõdjénél. A Win32/Diskcoder.C Trojan néven detektált PetrWrap valószínûsíthetõen a Petya kártevõ egy fejlettebb variánsa, amely az MBR megfertõzésével képes hozzáférni a meghajtókhoz, fájlokhoz és azok titkosításával blokkolni a felhasználót a számítógépétõl. A sikeres fertõzést követõen a már jól ismert zsaroló szisztéma szerint a kártevõ váltságdíjat követel az újbóli hozzáféréshez.

Az ESET szakértõi feltárták a globális vírustámadás forrását. A támadók az M.E.Doc számviteli program frissítéseibe rejtették a fertõzõ kódot, így a szoftverfrissítésekben álcázva jutottak be számos ukrajnai vállalkozás hálózatába, köztük több pénzintézetébe is. A globális terjedést több trójai fertõzött M.E.Doc segítségével érték el a támadók.

Hogyan támad a PetrWrap?

A PetrWrap ugyanazzal az EternalBlue sebezhetõséggel terjed a hálózatokon, amely korábban az amerikai Nemzetbiztonsági Ügynökségtõl (NSA) szivárgott ki és felelõs volt a WannaCry elterjedéséért. A hálózatba bejutva a PsExec program segítségével terjed át más gépekre, amely alapvetõen a távoli elérést és folyamatok végrehajtását szolgálná, most a vírus menetelését segíti elõ. Elemzõk szerint a PetrWrap emellett képes jelszavak megszerzésével egyik számítógéprõl a másikra terjedni.

Ezeknek a tulajdonságoknak köszönhetõen sikerült a PetrWrapnek rövid idõn belül robbanásszerûen szétterjednie világszerte, így Oroszországban, Amerikában és Izraelben is. Elég csupán egyetlen sebezhetõ számítógép, hogy a kártevõ bejusson a hálózatba és onnét az adminisztrátori jogokat megszerezve továbbjusson más rendszerekre is.

A közösségi médiában megjelent több poszt tanúsága szerint a kibertámadás az ukrán kormányzati számítógépes rendszereket, illetve a központi bankot is érintette. Ukrajna miniszterelnök-helyettese, Pavlo Rozenko posztjában saját gépe megtámadásáról posztolt például. Az áldozatul esett felhasználók az alábbi zsaroló üzenettel szembesülnek: „Ha ezt az üzenetet látod, a számítógépeden tárolt fájlok titkosításra kerültek… Az újbóli hozzáférést és a fájlok biztonságos visszaállítását garantáljuk neked. Az újbóli hozzáférést a titkosítási kulcs megvásárlásával [$300 bitcoin] nyerheted vissza.”

A támadás Ukrajna után számos európai országban is folytatódik. Az Independent cikke szerint Spanyolország és India is célkeresztbe került, ahogy a dán Maersk és a brit WPP hirdetési vállalat is.

A kibertámadás részleteirõl folyamatosan frissülõ szakértõi anyagot a WeliveSecurity blogon találhatnak.