Вирус Petya: не вымогатель, а уничтожитель?

Выявить лиц, стоящих за кибератакой, очень сложно


09:32 03.07.2017   |   4441 |  Джордж Нотт |  Computerworld, США

Рубрика Индустрия



Крайне скудные средства, полученные злоумышленниками, в сочетании с тем, что расшифровка дисков жертв оказалось невозможной, заставляют специалистов предположить, что деньги, возможно, здесь не главным мотивом.

С точки зрения добывания денег – а это единственная мотивация большинства авторов программ-вымогателей – вирус Petya оказался не слишком удачным.

На кошелек биткойна, указанный на экранах блокировки компьютеров в Украине, России, Западной Европе и Австралии было переведено всего 3,99 биткойна – около 13,5 тыс. долл.

Вскоре после того, как организации начали сообщать об атаке программы-вымогателя, адрес электронной почты для пересылки идентификатора кошелька биткойна и «персонального ключа установки», был заблокирован провайдером. Это исключило возможность получения ключа для дешифровки и лишило пострадавших какого-либо стимула выплачивать выкуп.

Создание оружия, мощности которого оказалось достаточно для отключения систем правительственных организаций и глобальных компаний, принесло его создателям сумму, которой хватит разве что на покупку подержанного автомобиля.

Довольно скудные средства, полученные вымогателями, в сочетании с тем, что приступить к расшифровке дисков жертв оказалось невозможно, заставили специалистов по кибербезопасности прийти к выводу, что деньги, возможно, были здесь не главным мотивом. Попытки вымогательства, по их мнению, являлись всего лишь прикрытием для чего-то гораздо более зловещего.

В эпицентре событий

Во вторник утром вице-премьер правительства Украины Павел Розенко написал в Twitter, что компьютерные системы секретариата кабинета министров выведены из строя.

Затем стали поступать сообщения о том, что украинские банки, киевский аэропорт Борисполь и энергетические компании "Киевэнерго" и "Укрэнерго" также являются жертвами вируса-вымогателя, известного как Petya, ExPetr, Petrwrap, GoldenEye и NotPetya.

Благодаря способности вируса Petya к самовоспроизводству он очень быстро оказался в США, большинстве стран Европы, Китае и Австралии. И хотя управлять распространением выпущенного на волю вируса практически невозможно, Украина, несомненно, находилась в самом его эпицентре.

Первоначальным источником распространения Petya, по оценкам Symantec, стал популярный на Украине пакет бухгалтерского и налогового программного обеспечения MEDoc.

Анализ, проведенный в «Лаборатории Касперского», показал, что 60% от общего числа заражений произошло непосредственно на территории страны, а немногим более 30% затронуло соседнюю Россию. Согласно исследованию Symantec, пострадало почти 140 украинских организаций, больше, чем в любой другой стране.

Так являлся ли выкуп целью авторов вируса? Здесь есть серьезные сомнения.

Заключение специалистов

Изучение Petya в «Лаборатории Касперского» и компании Comae показывает, что вирус никогда не смог бы расшифровать зашифрованную им информацию. Да его авторы и не стремились к этому.

«Главной целью атаки ExPetr являлись не финансовые мотивы, а причинение разрушений», – указал Антон Иванов из «Лаборатории Касперского».

«Если первоначальная версия Petya, запущенная в прошлом году, модифицировала диск, но позволяла эти изменения впоследствии отменить, то Petya-2017 наносил диску фатальный ущерб, не поддающийся восстановлению, – подчеркнул в своем блоге Мэтт Сюиш из Comae. – Определенно, Petya выполнял запись на диск, чтобы стереть находящиеся там данные, а требование выкупа было лишь маскировкой».

Программы-вымогатели шифруют файлы, чтобы расшифровать их после получения выкупа, тогда как программы-уничтожители работают совсем по-другому.

«Цель уничтожителя заключается в том, чтобы причинить урон и разрушения, – добавил Сюиш. – Другие намерения. Другая мотивация. Другое поведение. Программы-вымогатели имеют возможность отменить внесенные изменения (восстановить главную загрузочную запись MBR, как это делал Petya-2016, или расшифровать файлы, если жертва внесет выкуп), а уничтожители просто разрушают данные, исключая возможность их восстановления».

Манера вымогателей предполагает «управление публикациями в СМИ, привлечение внимания к некой таинственной группе хакеров, а не к атакующим, работающим на государство».

Выявить лиц, стоящих за кибератакой, очень сложно, что является дополнительным свидетельством поддержки со стороны государства. Тем не менее, если исходить из того, что главная цель атаки на Украине заключалась в причинении ущерба, время для этого оказалось весьма символичным: в стране отмечается День конституции.

Что касается ущерба, нанесенного в Австралии, это всего лишь отголоски сражения, идущего на другом конце мира.


Теги: Хакеры Кибербезопасность Petya
На ту же тему: