Fortinet об атаке Petya: уроки WannaCry не выучили слишком многие организации

21:46 05.07.2017

|   607 прочтений



Официальный блог компании Fortinet предлагает технический анализ эпидемии нового вируса-шифровальщика.

 

В Fortinet отслеживают новый вариант вируса-шифровальщика, который имеет возможность изменять главную загрузочную запись, аналогичную предыдущей атаке, известной как Petya. В настоящее время он оказывает влияние на широкий спектр отраслей и организаций, включая критические инфраструктуры, такие как энергетика, банковское дело и транспортные системы.

Это новое поколение вируса-вымогателя имеет несколько векторов атак и включает те же уязвимости, которые были использованы во время недавней атаки WannaCry. Подобно WannaCry, эта атака сочетает в себе вымогательство с поведением червя и относится к новой группе вредоносных программ, называемых ransomworm. Вместо того, чтобы нацеливаться на одну организацию, они используют широкомасштабный подход, который увеличивает масштаб и область действия атаки.

Хотя на данном этапе исследование продолжается, мы можем утверждать, что этот вирус-вымогатель демонстрирует поведение, подобное червям (ransomworm) благодаря его активному зонду для SMB-сервера. Мы можем также предположить, что он распространяется через EternalBlue и WMIC. Исследователи изначально полагали, что Petya/NotPetya был передан его первым жертвам через электронные письма, содержащие зараженные документы Microsoft Office, которые использовали CVE-2017-0199.

Как только уязвимое устройство подверглось заражению, Petya/NotPetya, по-видимому, нарушает главную загрузочную запись (MBR) во время цикла заражения. Затем он посылает пользователю сообщение о выкупе, в котором говорится: «Ваши файлы больше не доступны, потому что они были зашифрованы», и требует выкуп в 300 долл. биткойнами. Затем он указывает, что выключение компьютера приведет к полной потере системы.

Это иная тактика, нежели обратный отсчет времени или постепенное стирание файлов данных. С большинством атак вымогателей единственной потенциальной потерей являются данные. Поскольку Petya изменяет главную загрузочную запись, главный риск — это потеря всей системы. Кроме того, он инициирует перезагрузку системы в течение одного часа, добавив к атаке дополнительный элемент отказа в обслуживании.

В дополнение к эксплойтам Microsoft Office данный вирус использует тот же вектор атаки, что и WannaCry, применяя те же уязвимости Microsoft, которые были обнаружены Shadow Brokers в начале этого года. Однако из-за того, что в этом эксплойте использовались дополнительные векторы атаки, их исправление было бы недостаточным для полного прекращения этого эксплойта, а это значит, что исправление должно сочетаться с хорошими инструментами и практиками безопасности. Клиенты Fortinet, например, были защищены от всех векторов атаки, поскольку они были обнаружены и заблокированы нашими решениями ATP, IPS и NGFW. Кроме того, антивирсная команда Fortinet оперативно выпустила новую сигнатуру, чтобы улучшить первую линию защиты.

Эксперты Fortinet обращают внимание на два аспекта. Во-первых, несмотря на широкую огласку уязвимостей и исправлений Microsoft и всемирный характер атаки WannaCry, по-прежнему остаются тысячи организаций, в том числе, в области критической инфраструктуры, которые подверглись атаке и не смогли защитить свои системы. Во-вторых, возможно, что эта атака является просто тестом для подготовки будущих атак, нацеленных на недавно обнаруженные уязвимости.

С финансовой точки зрения, атака Wannacry была не очень успешной, так как принесла очень мало дохода своим разработчикам. Частично это объяснялось тем, что исследователи смогли найти возможность обезвредить атаку. Атака Petya намного сложнее, хотя еще и предстоит увидеть, будет ли она более успешной финансово, чем ее предшественница.

Как подчеркивают в Fortinet, слишком многие организации практикуют плохую «гигиену» безопасности. Когда эксплойт нацелен на известную уязвимость, для которой патч доступен в течение нескольких месяцев или лет, жертвы, к сожалению, виноваты сами. Ключевыми элементами этой атаки были уязвимости, для которых исправления были доступны в течение некоторого времени. Кроме того, эти организации не располагают достаточными инструментами для обнаружения таких видов эксплойтов.


Теги: Информационная безопасность Кибератаки Fortinet WannaCry Petya
На ту же тему: