Posted by MinO | 0 comments

Τι ξέρουμε μέχρι στιγμής για την κυβερνοεπίθεση Petya;


Η κυβερνοεπίθεση Petya, που ξεκίνησε χθες εναντίον στόχων στην Ευρώπη, μόλυνε τις τελευταίες ώρες χιλιάδες ηλεκτρονικούς υπολογιστές με ransomware, με δεκάδες χρήστες να έχουν μάλιστα πληρώσει ήδη τα λύτρα για να ανακτήσουν τα πολύτιμα δεδομένα τους. Όμως, ευτυχώς, αντίθετα από το WannaCry, το Petya δεν φαίνεται να είναι τόσο εύκολο να μεταδοθεί, αφού σύμφωνα με αρκετούς αναλυτές είναι σχεδιασμένο ώστε να διαδίδεται κυρίως μέσω τοπικών δικτύων – κάτι που υποδηλώνει ότι οι δημιουργοί του μάλλον εξαρχής στόχευαν σε εταιρείες και γενικότερα μεγάλους οργανισμούς, που συνήθως διαθέτουν μεγάλα δίκτυα υπολογιστών.
Διαφέρει επίσης από το WannaCry και όσον αφορά στον τρόπο κρυπτογράφησης, αφού αντί να “επιτεθεί” απευθείας σε αποθηκευμένα δεδομένα, κρυπτογραφεί το Master Boot Record της μονάδας εκκίνησης ενός υπολογιστή, αποτρέποντας έτσι και την φόρτωση του λειτουργικού συστήματος.
Η αρχή και το τέλος του κακού
Πώς όμως ξεκίνησαν όλα; Οι κυβερνοεγκληματίες που βρίσκονται πίσω από την επίθεση κατάφεραν να αποκτήσουν πρόσβαση σε servers της ουκρανικής εταιρείας ανάπτυξης λογισμικού M.E.Doc και να μολύνουν με κακόβουλο φορτίο το update του MEDoc, ενός πολύ δημοφιλούς λογισμικού για λογιστική χρήση, που χρησιμοποιείται σε διάφορους τομείς στην Ουκρανία, μεταξύ των οποίων και σε χρηματοπιστωτικά ιδρύματα. Η διάθεση του συγκεκριμένου update στους χρήστες σήμανε ουσιαστικά και την αρχή της επίθεσης, κάτι το οποίο υποστηρίζουν, μεταξύ άλλων οι Microsoft και ESET. Ο Costin Raiu της Kaspersky εκτιμά πάντως, ότι υπήρξε και μια δεύτερη πηγή μόλυνσης, που πιστεύεται ότι είναι η επίσημη ιστοσελίδα της ουκρανικής πόλης Bahmut, στην οποία είχαν επιτεθεί hackers.
Δεν είναι τυχαίο, σύμφωνα με τα παραπάνω, ότι η επίθεση επικεντρώθηκε σε μεγάλο βαθμό στην Ουκρανία, καθώς και σε γειτονικές χώρες, όπως η Ρωσία. Το malware, αν και αξιοποιεί όπως και το WannaCry το exploit ETERNALBLUE, ενώ έχει και τη δυνατότητα υποκλοπής στοιχείων πρόσβασης, όπως αναφέρεται παραπάνω, δεν φαίνεται να έχει σχεδιαστεί ώστε να διαδίδεται μέσω του Internet, αν και θεωρητικά μπορεί να μολύνει απομακρυσμένα συστήματα μέσω δικτύων VPN, που πρακτικά προσομοιώνουν τη λειτουργία των τοπικών δικτύων.
Αυτή τη στιγμή αρκετοί αναλυτές ασφαλείας θεωρούν ότι η κυβερνοεπίθεση έχει πρακτικά ολοκληρωθεί, χωρίς ωστόσο να αποκλείουν ότι δεν θα επαναληφθεί με κάποια παραλλαγή του malware στο άμεσο μέλλον.

 [via]

0 comments: