Wiper-ul Petya paralizeaza Ucraina, se raspandeste global cu viteza

 

Un nou atac informatic face valva pe Internet zilele acestea, sub numele de Petya sau Petwarp. Malware-ul se raspandeste folosind aceeasi vulnerabilitate a Microsoft Windows  – Eternal Blue – ca si WannaCry, prolificul ransomware ce a afectat mai multe companii si banci in luna mai a acestui an.

Conform declaratiei specialistilor in securitate de la Fortinet, Petya reprezinta o generatie noua de ransomware, denumita ransomworm, mult mai periculoasa decat familiile de ransomware cunoscute si analizate pana acum.

 

Primele analize arata ca Petya este mai mult decat un ransomware

 

Acest nou tip de atac a fost proiectat sa utilizeze multiple tehnici de raspandire laterala, ca si in cazul WannaCry.

Odata ce infecteaza o statie de lucru dintr-o retea, dupa o perioada de asteptare de pana la 60 de minute reporneste sistemul si afiseaza mesajul de rascumparare – suma solicitata fiind echivalentul a $300.

Ceea ce aduce nou acest atac este ca, aditional criptarii fisierelor, blocheaza accesul la sistemul infectat prin avarierea Master Boot Record. Apoi transmite un mesaj conform caruia inchiderea computerului va duce la pierderea totala a sistemului. Mai mult, initiaza rebootarea sistemului intr-un ciclu de o ora, ceea ce adauga atacului un element de denial-of-service.

 

Update: Petya este un wiper menit sa blocheze PC-urile infectate

 

La cateva zile dupa izbucnirea atacului informatic au fost facute publice rezultatele analizelor lui Matt Suiche, fondatorul companiei Comae Technologies. Spre surprinderea blogurilor si website-urilor de specialitate, virusul Petya s-a dovedit a fi un malware de tip wiper, menit sa blocheze PC-urile infectate prin suprascrierea datelor.

Expertii in securitate merg pana intr-acolo incat sa afirme ca atacul real a fost un ransomware deghizat cu scopul de a devia atentia publicului de la atacul propriu-zis asupra Ucrainei.

Acelasi Matt Suiche afirma ca dezinformarea publicului a fost menita sa-i indrepte atentia spre un grupare de hackers, in timp ce in spatele incidentului se afla „un atacator national”.

Se pare ca impactul atacului a fost destul de mare incat sa atraga atentia tarilor membre NATO, probabil acesta fiind scopul initial al atacului informatic.

 

Care a fost vectorul initial de infectie cu malware-ul Petya?

 

Se pare ca malware-ul Petya s-a propagat printr-un update de software al unui sistem de contabilitate ucraineana – MeDoc.

Conform analistilor de la Talos Intelligence, aceasta a fost sursa primara de infectare a PC-urilor, desi intr-o postare pe Facebook compania neaga ca ar fi in spatele atacului ce a afectat mii de PC-uri la nivel global.

Cu toate acestea, mai multi specialisti in securitate sustin afirmatia celor de la Talos si afirma ca atacatorii au facut o bresa in programul de contabilitate a celor de la MeDoc si au propagat virusul in update-uri.

 

Efectele devastatoare ale wiper-ului Petya

 

Atacul cibernetic a lovit organizatii si companii din mai multe tari, insa cea mai afectata ramane Ucraina. Tintele atacului Petya au fost Aeroportul International din Kiev, doua companii de stat de furnizeaza electricitate, Banca Centrala, trei operatori de telecomunicatii si alte cateva institutii mari de stat.

Acelasi virus a atacat computerele companiei farmaceutice Merck, a companiei olandeze de transport pe apa A.P. Moller-Maersk si a cauzat anularea operatiilor in doua spitale din orasul american Pittsburgh.

Printre celelalte tari afectate de atacul Petya se numara Rusia, India, China, SUA, Franta si Spania.