Анализ шифровальщика Petya: как развивалась атака

Анализ шифровальщика Petya: как развивалась атака

petya-ransomware-analysis-banner

Ещё не утихли страсти после глобальной атаки WannaCry в мае этого года, как мир потрясла новая угроза Petya. Появившись первоначально в Восточной Европе 27 июня 2017 года, программа-шифровальщик Petya быстро инфицировала компьютеры ряда крупных организаций на Украине и в России, прежде чем распространиться дальше. Компании Европы, США, Южной Америки и Азии сообщали о масштабном нарушении, вызванном Petya.

Больше всего в нынешней атаке поражает тот факт, что текущая версия программы-вымогателя Petya использует всё ту же уязвимость в Windows, первоначально обнаруженную Агентством национальной безопасности США, которую месяцем ранее так, увы, успешно использовали создатели кибервымогателя WannaCry. Ту самую уязвимость, которую можно было легко устранить, следуя совету экспертов – всего лишь скачав и установив последний пачт безопасности от Microsoft. Если учесть степень влияния Petya на дееспособность крупнейших компаний и относительно большой масштаб заражения, то, похоже, что многие компании и организации так ничего и не предпринимали для исправления уязвимостей и оставались неподготовленными к подобным атакам.

И хотя мы, безусловно, сопереживаем всем пострадавшим от Petya, мы всё же хотели бы использовать эту историю в качестве поучительного примера. В этой публикации мы собираемся проанализировать то, как развивалась атака Petya, какое влияние оказал Petya на организации, компьютеры которых он заразил, а также что Вы можете предпринять для защиты Вашего компьютера.

Итак, что же из себя представляет Petya?

Записка Petya о выкупе

Petya – довольно уникальная программа-вымогатель. Новая версия Petya была создана по образу уже существовавшего шифровальщика Petya, первое распространение которого было зафиксировано в марте 2016 года. Как и раньше, Petya внедряет свою собственную операционную систему и зашифровывает важные структуры файловой системы после перезагрузки, тем самым фактически блокируя пользователей от их компьютеров.

После инфицирования системы, замаскированного под процесс проверки CHKDSK, на экран заражённого компьютера выводится заставка Petya с требованием заплатить выкуп в размере 300 долларов в биткоиновом эквиваленте, чтобы расшифровать файлы и восстановить доступ к машине. Способ распространения шифровальщика довольно похож на тот, который был использован WannaCry: через подключённые к Интернету системы, в которых включён протокол SMBv1 и в которых не был установлен патч Microsoft MS17-010, исправляющий уязвимость в протоколе MBv1.

Чтобы лучше понять методы шифрования, использованные Petya, Вы можете прочитать публикацию в нашем блоге, освещающую первоначальную атаку.

Какова была цель шифровальщика Petya?

Наше понимание намерений, стоявших за атакой Petya, несколько изменилось с момента первой волны атаки. Сначала казалось, что вирус-шифровальщик создан для того, чтобы просто принести киберпреступникам как можно больше денег.

Однако более тщательный анализ показал, что денежный аспект, вероятно, был не более, чем отвлекающий манёвр. Выбор упрощённой системы для оплаты (отслеживаемый биткоин-кошелёк) и уязвимого канала для связи (обычный адрес электронной почты, который был быстро заблокирован почтовым провайдером) означал, что с самого начала не предполагалось, что подобный сбор выкупа будет постоянным. А, значит, маловероятно, что долгосрочный доход был целью атаки.

Наша гипотеза оказалась верной. Когда уже всё было сделано и сказано, то на биткоин-кошелёк, указанный в записке Petya, поступило менее 4 биткоинов (около 10 тысяч долларов). Для сравнения, киберпреступники, стоявшие за атакой WannaCry, получили выкупов на общую сумму более 51 биткоина (более 130 тысяч долларов), в то время как печально известный CryptoLocker в 2013-2014 годах собрал более 3 миллионов долларов, выплаченных жертвами в виде выкупа.

Если основной целью Petya было не стремление получить денег, то для чего же совершались эти атаки? Как и многие другие эксперты, мы пришли к выводу, что, на самом деле, Petya – это разрушающая вредоносная программа, замаскированная под шифровальщика. Это позволило киберпреступникам создать масштабные нарушения в работе намеченных организаций – в первую очередь, в украинском правительстве, в данном случае, якобы, под предлогом сбора выкупа.

Как началась атака шифровальщика Petya?

Считается, что первоначальная атаки Petya была осуществлена через серверы M.E.Doc, украинского разработчика электронного документооборота. Различные источники, в том числе Microsoft и украинская киберполиция, сообщали, что программное обеспечение M.E.Doc было заражено Petya во время обновления. При скачивании обновления клиенты M.E.Doc невольно скачивали и шифровальщика, который затем быстро распространился на другие организации, расположенные в основном в России и на Украине.

“Похоже, что именно Украина и Россия пострадали больше всего в результате этой атаки”, – объяснила антивирусный эксперт Emsisoft Сара Тоффи. – “Однако примечательно, что последние несколько месяцев Украина уже была мишенью большого числа шифровальщиков”.

27 июня на сайте украинского разработчика электронного документооборота M.E.Doc было опубликовано сообщение, подтверждающее, что серверы компании были поражены атакой:

Сообщение M.E.Doc

“Внимание!
На наши серверы осуществляется вирусная атака.
Просим прощения за временные неудобства!”

Однако позднее эта страница с сообщением была удалена с веб-сайта, а компания начала отрицать, что её серверы каким-либо образом ответственны за распространение Petya. Что интересно, M.E.Doc уже не в первый раз попадает в инциденты с вредоносными программами. В мае этого года сообщалось, что на серверах организации был обнаружен шифровальщик XData, оставивший за собой сбои в системах по всей Украине.

Независимо от степени вовлечённости M.E.Doc в первоначальное распространение шифровальщика, Petya очень быстро распространился в день атаки, что вызвало у многих антивирусных экспертов предположение о возможной масштабности заражения. К счастью, эти прогнозы оказались неточными: темп заражения значительно снизился уже в течение 24 часов, но не раньше, чем во всё мире было заражено уже 2000 систем…

Какие крупные организации пострадали от кибератаки Petya?

petya-ransomware-analysis-infection

  1. Правительство Украины, банки, Чернобыльская АЭС

Как уже отмечалось, именно по Украине пришёлся основной удар атаки Petya. Работа банков, аэропортов, авиапроизводителя и ряда департаментов правительства была приостановлена из-за вымогателя, а целые отделы ИТ боролись за то, чтобы минимизировать сбой и восстановить доступ к системе.

“В результате этой кибератаки у банков возникли сложности с обслуживанием клиентов и выполнением банковских операций”, – приводит слова представителя Национального банка Украины газета The New York Times.

Часть компьютеров на Чернобыльской АЭС была также отключена после того, как сотрудники нашли подтверждение наличия кибервымогателя в сети. Хотя начальник смены АЭС Владимир Ильчук заявил, что угрозы утечки радиации не было.

  1. Роснефть (Россия)

Серверы Роснефти, крупнейшей российской нефтегазовой компании, были подвержены атаке, а корпоративный сайт переведён в автономный режим. Однако переключившись на резервную систему управления производством, компания смогла избежать остановки добычи нефти, сведя ущерб к минимуму.

  1. Cadbury (Австралия)

И хотя атакованные Petya компании располагались, в основном, в Восточной Европе, но программе-вымогателю удалось продвинуться даже в Южное полушарие. В ночь на 27 июня шоколадная фабрика Cadbury, расположенная в австралийском городе Хобарт, была вынуждена прекратить производство после того, как сами работники обнаружили, что их компьютеры заблокированы, а на экраны выведена заставка Petya.

  1. Maersk (Дания)

Датский гигант Maersk, являющийся крупнейшей судоходной и транспортной компанией в мире, признал, что его компьютерная сеть подверглась масштабному сбою из-за Petya. Атака коснулась многих направлений деятельности организации, в том числе контейнерных перевозок, добычи нефти и газа, бурения, услуги буксирных судов и работы нефтяных танкеров.

“Мы можем подтвердить, что ИТ-системы Maersk не работают на нескольких сайтах и в подразделениях компании из-за кибератаки”, – заявил Fortune представитель Maersk.

  1. WPP, Saint-Gobain и Merck (Великобритания, Франция и США)

В Великобритании британское рекламное агентство WPP признало, что его ИТ-системы были заражены Petya, что в результате привело к сбоям. Франция также оказалась не застрахована от программы-вымогателя: Saint-Gobain, одна из крупнейших компаний, специализирующихся на строительных материалах, сообщила, что была атакована, а также то, что она была вынуждена отключить сеть, чтобы предотвратить дальнейшее распространение инфекции. Через Атлантику американская фармацевтическая компания Merck была поражена вредоносной программой, хотя организация и неохотно подтвердила, что это была атака именно Petya.

Итак, какие уроки можно извлечь из атаки Petya?

Прежде всего, факт того, что шифровальщик Petya столь успешно и быстро вывел из строя такое количество систем, говорит о том, что многие коммерческие и государственные организации по-прежнему несерьёзно относятся к шифровальщикам-вымогателям даже несмотря на наличие инструментов, специально созданных для того, чтобы устранить уязвимость и защититься от данного типа вредоносных программ. Начиная с атомной электростанции и заканчивая шоколадными фабриками – совершенно очевидно, что многие предприятия и госструктуры просто не прислушались к советам экспертов, которые после недавней атаки WannaCry активно призывали устанавливать патчи безопасности.

Основной вывод: Будьте проактивными! Регулярно делайте резервное копирование Ваших данных; следите, чтобы на компьютере всегда были установлены последние патчи безопасности операционной системы и актуальные обновления программного обеспечения, прислушивайтесь к рекомендациям антивирусных экспертов.

Кроме того, Petya также дал отчётливо понять, что шифровальщик-вымогатель может нанести значительный косвенный ущерб случайным свидетелям. И хотя, возможно, изначально атака и была нацелена именно на украинские предприятия и организации, однако шифровальщик быстро заразил организации далеко за пределами территории первоначальной атаки и посеял хаос по всей Европе, а также в США и Австралии.

Основной вывод: Даже если Вы не находитесь в эпицентре эпидемии, это не значит, что Ваш компьютер не подвержен заражению. Поэтому убедитесь, что у Вас установлена надёжное антивирусное решение, которое гарантированно заблокирует любые атаки шифровальщиков.

Мы в Emsisoft специализируемся на разработке комплексных решений в области безопасности, которые защищают Вас, Вашу семью и Ваш бизнес от атак любых семейств шифровальщиков. В отличие от почти всех остальных инструментов для защиты от шифровальщиков, присутствующих сегодня на рынке, Emsisoft Anti-Malware и Emsisoft Internet Security способны перехватить шифровальщика, прежде чем он зашифрует Ваши файлы, тем самым минимизируя возможный сбой и сохраняя Ваше время и деньги.

Скачайте Emsisoft Anti-Malware для защиты от программ-вымогателей

Желаем отличного и безопасного дня!