Petya

De la Wikipedia, enciclopedia liberă.
Salt la navigare Salt la căutare
Petya
software
Ecran de pornire al unui sistem infectat cu Petya
Ecran de pornire al unui sistem infectat cu Petya
Tip Cal troian ( neenumerat )
Programe malware
Ransomware (nu este listat )
Vierme - Ștergător
Data primei versiuni 2016
Ultima versiune NotPetya / ExPetr / Petna / Petwarp / GoldenEye ( 2017 )
Sistem de operare Microsoft Windows
Limba C.
C ++
Editați datele pe Wikidata · Manual

Petya , este o familie de programe malware care a afectat în principal Europa în anii 2016 și 2017 . Prima iterație a unui malware Petya a fost identificată în 2016. malware-urile Petya sunt identificate ca fiind troieni și aparțin subcategoriei ransomware , cu unele diferențe în funcție de versiune, ținta încărcăturilor utile rău intenționate și modul în care acestea funcționează. În timp ce alte ransomware criptează fiecare fișier, Petya împiedică pornirea normală a sistemului, înlocuind Master Boot Record (MBR) și criptând Master File Table (MFT) : acest lucru face ca orice zonă de memorie care conține fișiere să fie inaccesibilă. Programul malware solicită în cele din urmă utilizatorului o plată bitcoin pentru a recupera fișierele criptate. Varianta din 2017 cunoscută sub numele de NotPetya profită de un exploit Windows numit EternalBlue , care garantează o răspândire rapidă a malware-ului în rețelele de calculatoare și este cauza atacurilor suferite de rețelele corporative.

Malware-ul familiei Petya acționează numai pe sistemele Windows și este ineficient pentru alte sisteme de operare, cum ar fi macOS și Linux . [1] [2] [3] [4]

Potrivit Casei Albe , costurile cauzate de NotPetya depășesc USD 10 miliarde de . [5]

Difuzie

Principala metodă de răspândire a primelor versiuni ale malware-ului Petya a fost trimiterea de e-mailuri frauduloase ( Phishing ). E-mailurile ar putea conține ca atașament un fișier ZIP de arhivă în cazul Petya sau un link către un spațiu de stocare în cloud pentru varianta numită Petya-Mischa. În interiorul arhivei sau cloud, fișierul de execuție rău intenționat a fost găsit, prezentat în mod înșelător ca un document .pdf , dar cu o extensie .exe și însoțit de o imagine .jpeg . Odată ce fișierul de execuție a fost pornit, a început procesul de infecție. În atacul din 2016, e-mailul semăna cu o cerere de locuri de muncă și textul a fost scris în limba germană. [6] [3]

NotPetya (ExPetr / Petna / Petwarp / GoldenEye)

Răspândirea versiunii cunoscute sub numele de NotPetya, ExPetr, Petna, Petwarp sau chiar GoldenEye a început în Ucraina în 2017. Se crede că principalul vector de infecție a fost un pachet de actualizare corupt al unui software de contabilitate numit MEDoc de la compania IT Intellect Service. În timp ce aceste acuzații au venit și de la mărci precum Microsoft și Symantec , Intellect Service a negat inițial orice fel de implicare în această chestiune. În 2017, MEDoc a fost utilizat de 80% dintre companiile ucrainene și clienții acestora. [7] Poliția a emis prompt avertismente cerându-i să înceteze imediat utilizarea software-ului și să se deconecteze de la rețea. [8]

Un alt vector de infecție a fost un site guvernamental compromis în orașul Bachmut . [9] [10]

Răspândirea NotPetya a fost rapidă în special în mediile corporative. Acest lucru a fost posibil, deoarece această nouă versiune a malware-ului a profitat de exploatarea sistemelor Windows numită EthernalBlue, o vulnerabilitate a funcției SMB . Microsoft a lansat pe 14 martie 2017 o actualizare care a remediat defectul, dar la momentul respectiv, mulți dintre utilizatorii afectați nu și-au actualizat încă dispozitivele.

Într-o rețea locală, dacă NotPetya reușește să intre într-un nod de administrator, este capabil să fure acreditări de conectare și date administrative printr-o versiune modificată a Mimikatz încorporată în malware. Dispozitivele actualizate sunt, de asemenea, vulnerabile în această situație, deoarece NotPetya se conectează cu acreditări furate, utilizând PsExec și WMIC . [11] [12] [13] [2]

Operațiune

Petya

Codul Petya este scris în C și limbajul C ++ și înlocuiește o parte din codul funcției WinMain, care este în mod normal , complet legal, pentru a încerca să trec neobservate. Procesul de infectare a unui sistem afectat are loc în trei etape.

Primul stagiu

Privilegiile de administrator sunt necesare odată ce fișierul este rulat. Dacă acestea sunt refuzate, lansarea sarcinii utile rău intenționate este imposibilă. Dacă sunt acordate, sarcina utilă extrage un fișier temporar de tip .dll încărcându-l pe RAM, astfel încât să nu rămână salvat pe hard disk -ul computerului infectat. Fișierul .dll continuă prin identificarea standardului de hard disk (MBR sau GPT ) și execută ramura de cod corespunzătoare pentru tip. Ulterior, criptează sectorul 0 (responsabil pentru operațiunile de pornire a computerului), implementând un nou sistem de încărcare a sistemului și câteva sectoare ulterioare ale hard diskului cu aceeași operație de criptare XOR .

A doua fază

În acest stadiu, malware-ul salvează informațiile necesare pentru criptare și eventual decriptare. Un șir de 16 caractere și două chei sunt create pentru criptare asimetrică . Șirul este supus la două niveluri diferite de criptare, XOR și AES , și este apoi utilizat în criptarea MFT ca cheie de decriptare. Adresele URL personalizate sunt, de asemenea, generate pentru a conecta utilizatorul la paginile de plată. În acest moment, malware-ul provoacă o oprire imediată sau un blocaj ( ecran albastru ), în funcție de configurația computerului utilizatorului și continuă cu o repornire a sistemului.

A treia etapă

Ecranul final al unui sistem infectat cu Petya

La repornire, noul încărcător preia afișarea unei operații de reparare a fișierului Chkdsk simulat pe hard disk. În realitate, în acest moment, MFT este criptat cu metoda Salsa20 , folosind șirul creat anterior ca cheie. La sfârșitul operației, sistemul este repornit din nou.

La a doua repornire, malware-ul prezintă utilizatorului un ecran cu un craniu desenat în stil artistic ASCII , care alternează cu fundalul, printr-o animație, culorile roșu și alb. Dacă apăsați orice tastă, apare un nou ecran. În acest ecran final, există un paragraf care descrie ce s-a întâmplat cu utilizatorul și sunt listate diverse instrucțiuni pentru a-l determina pe utilizator să plătească pentru recuperarea datelor. Infractorii pot furniza cheia de decriptare, care este șirul creat anterior, printr-un cod personalizat care conține informații despre sistem, vizibil pe acest ecran. Utilizatorul va trebui să introducă codul pe pagina de plată. La plată, infractorii implementează codul într-un algoritm care, împreună cu o cheie deținută doar de acesta din urmă, oferă șirul pentru a debloca fișierele utilizatorului. Plata trebuie făcută în bitcoin pe pagini web din rețeaua Tor anonimă, pagini accesibile prin linkurile URL personalizate create în timpul celei de-a doua faze. [3]

Petya-Mischa

În această versiune, fișierul de execuție are capacitatea de a rula două ransomware distincte. Dacă se acordă privilegii de administrator, operațiunea rămâne aceeași, deoarece ransomware-ul pe care îl rulează este încă prima versiune a Petya. Dacă utilizatorul nu acordă privilegii, este rulat un nou ransomware numit Mischa. Mischa nu trebuie să obțină privilegii de administrator și încasează ca majoritatea ransomware-ului, criptând fiecare fișier din sistem și cerând în cele din urmă o răscumpărare în bitcoin. Cu toate acestea, spre deosebire de un ransomware mai generic, Mischa este capabil să cripteze fișierele executabile, chiar generând situații în care este imposibil să efectuați plata. [6]

NotPetya (ExPetr / Petna / Petwarp / GoldenEye)

NotPetya acționează parțial ca versiunea originală. Odată executat, NotPetya începe o numărătoare inversă care, în unele cazuri, poate merge până la 60 de minute (într-un prototip descoperit în martie 2017 a ajuns la 90 de minute), utilizând unele instrumente Windows, cum ar fi schtasks.exe , at.exe și shutdown .exe. [14] Între timp, sondează rețeaua locală la care este conectat sistemul, căutând alte dispozitive conectate cu porturile TCP 445 și 139 deschise. În consecință, dispozitivele care îndeplinesc cerințele sunt infectate. La sfârșitul numărătoare inversă, sistemul repornește urmând aceeași cale ca a treia fază a lui Petya.

În această versiune, ecranul inițial al craniului a fost eliminat, dar cea mai importantă diferență este că nu prevede recuperarea datelor criptate în niciun fel. Cu Petya, infractorii pot furniza utilizatorilor o cheie de decriptare printr-un cod personalizat pe care utilizatorii trebuie să îl introducă în timpul plății. Codul în cauză, deși este același prezent în NotPetya, este generat aleatoriu și, prin urmare, nu oferă criminalității informații relevante pentru decriptare. În plus, plata nu mai are loc pe pagini web personalizate pentru fiecare utilizator, ci pe un cont unic al unui portofel bitcoin. În ecranul final există și o adresă de e-mail cu care a fost posibilă comunicarea informațiilor cu infractorii. La scurt timp după anunțarea atacului, adresa a fost închisă de furnizorul german Posteo pe care a fost înregistrată.

Deși o posibilă plată este inutilă, NotPetya se prezintă în continuare ca un ransomware, avertizând utilizatorul despre incident și cerând o răscumpărare în bitcoin pentru a recupera fișierele. Având în vedere imposibilitatea recuperării datelor și distrugerii extreme, acesta nu mai este identificat ca ransomware, ci ca un ștergător.

De asemenea, s-a observat de mai multe ori că NotPetya nu are niciun fel de Kill Switch, spre deosebire de WannaCry . Deși cele două programe malware prezintă similitudini în programare, nu există nicio rezervă de urgență care să permită NotPetya să se dezactiveze. [15][16] [17] [9] [11] [13]

Trasabilitatea ușoară a plății și diferențele de sarcină utilă au ridicat îndoieli în rândul experților cu privire la motivațiile și experiența programatorilor din spatele acestei versiuni. [18]

Soluții

În plus față de sfaturile frecvent cunoscute de a nu descărca sau rula fișiere obținute din e-mailuri sau site-uri web suspecte, următoarele metode de prevenire s-au dovedit a fi eficiente:

  • Păstrați actualizat sistemul de operare Windows. Dacă aveți o rețea locală de sisteme Windows, actualizați fiecare dispozitiv conectat.
  • Instalați și mențineți actualizat software antivirus de încredere.
  • Opriți sistemul de îndată ce începe a treia fază. Acest lucru împiedică criptarea sistemului, dar împiedică utilizarea acestuia dacă nu se ia altă soluție.
  • Efectuați copii de rezervă periodice ale sistemului pentru utilizare în caz de infecție.

S-a descoperit că NotPetya, odată executată și înainte de orice operație, încearcă să înțeleagă dacă este deja prezent pe computerul pe care funcționează pe baza prezenței unui anumit fișier. Apoi puteți crea un fișier numit prefc , cu proprietatea de numai citire, pentru a fi plasat în folderul Windows de pe hard diskul pe care este instalat sistemul de operare. Dacă NotPetya detectează acest fișier imediat ce este executat, acesta oprește orice operațiune de criptare. Cu toate acestea, acest lucru nu împiedică difuzarea și funcționarea acestuia în alte dispozitive conectate la aceeași rețea locală. [19] [10]

Pentru un computer deja infectat cu Petya, a fost dezvoltat un algoritm care, folosind informațiile unui sector criptat de malware, este capabil să genereze cheia corectă de decriptare. Algoritmul a fost apoi implementat într-o pagină web specială care efectuează operația pentru utilizator. Pentru a extrage aceste informații, trebuie instalat și rulat un software special pe un computer neinfectat conectat la hard disk-ul care conține MBR criptat. După ce ați făcut acest lucru și ați obținut cheia de pe site, trebuie să reintroduceți hard disk-ul în sistemul original și apoi să introduceți cheia în ecranul malware. [20]

Impact

Pe 4 mai 2016, firma de securitate cibernetică Kaspersky a lansat o hartă care arată distribuția geografică a primei versiuni a malware-ului Petya. Peste 600 de utilizatori afectați sunt raportați la acea dată, doar Germania înregistrând 579, demonstrând modul în care textul german al e-mailului viza populația de limbă germană. [3]

Deși în primele luni ale anului 2017 s-a văzut protagonistul ransomware-ului WannaCry în domeniul securității cibernetice, mulți utilizatori și companii nu și-au actualizat încă dispozitivele pentru a remedia defectul Windows. Acest lucru a permis NotPetya să fie mult mai prolific decât versiunile anterioare.

Programele malware au lovit la nivel internațional, dar în special în Ucraina, unde au fost afectate numeroase organizații precum companii energetice, transport public și metrou, aeroporturi, site-uri guvernamentale și numeroase bănci, cum ar fi Banca Centrală. Sistemul de monitorizare a radiațiilor centralei nucleare de la Cernobîl a fost compromis, atât de mult încât angajații au fost obligați să înregistreze datele centralei cu ajutorul contoarelor portabile. [21] Alte națiuni europene precum Anglia , Rusia , Spania , Franța și Danemarca au suferit atacuri în unele dintre cele mai importante instituții ale lor. În timp ce se află în restul lumii, țările care au raportat cele mai multe infecții sunt India și Statele Unite .

În noiembrie 2017, CIA a găsit vinovat un grup de hackeri militari ruși aparținând GRU . [22] Guvernul ucrainean, administrația lui Donald Trump , ministrul britanic de externe Tariq Ahmad și alte voci au arătat cu degetul spre Rusia, considerând-o responsabilă pentru atacul cibernetic, având în vedere conflictul dintre cele două națiuni. [23] [24]

Printre organizațiile afectate se numără: [25] [26]

Notă

  1. ^ Paolo Tarsitano, Petya și NotPetya, ransomware: ce sunt și cum să le elimini , 5 iulie 2018. Adus pe 20 ianuarie 2021 .
  2. ^ A b (EN) Josh Fruhlinger , Petya NotPetya ransomware și malware: Ce trebuie să știți acum , de la csoonline.com, 17 octombrie 2017. Accesat la 19 ianuarie 2020.
  3. ^ A b c d(EN) Fedor Sinitsyn, Petya: troianul doi-în-unu , pe securelist.com, 4 mai 2016. Adus pe 20 ianuarie 2021.
  4. ^ (RO) Richard Devine, Ransomware „Petya”: tot ce trebuie să știți , pe windowscentral.com , 28 iulie 2017. Adus pe 20 ianuarie 2021 .
  5. ^ (EN) Andy Greenberg, The Untold Story of NotPetya, the Most Devastating cyberattack in History , 22 august 2018. Adus pe 20 ianuarie 2021.
  6. ^ A b (EN) Lucian Constantin, ransomware-ul Petya este acum problema dublă , 13 mai 2016. Adus pe 20 ianuarie 2021.
  7. ^ (EN) Naveen Goud, firma ucraineană de software de contabilitate, refuză să dea vina pe Cyber ​​Attack pe cybersecurityinsiders.com. Adus pe 20 ianuarie 2020 .
  8. ^ (EN) Peter Sayer, poliția ucraineană confiscă computere care au răspândit atacul global NotPetya , 5 iulie 2017. Adus pe 20 ianuarie 2021.
  9. ^ A b (EN) Tom Spring, ExPetr Called to Wiper Attack, Not Ransomware , 29 iunie 2017. Accesat la 20 ianuarie 2021.
  10. ^ A b (EN) Thomas Brewster, 3 lucruri pe care le puteți face pentru a opri Ransomware-ul „NotPetya” care vă distruge computerul . Adus pe 20 ianuarie 2021 .
  11. ^ a b( EN ) GReAT, Schroedinger's Pet (ya) , pe securelist.com , 27 iunie 2017. Adus 19 ianuarie 2021 .
  12. ^ (EN) Thomas Brewster, Un alt focar masiv de ransomware se apropie la nivel global , 27 iunie 2017. Adus pe 20 ianuarie 2021.
  13. ^ A b (EN) Michael Mimoso, Epidemie complexă asemănătoare cu petya , mai rău decât Ransomware WannaCry , 27 iunie 2017. Adus pe 20 ianuarie 2021.
  14. ^ (RO) Anton Ivanov și Fedor Sinitsyn, PetrWrap: noul ransomware bazat pe Petya utilizat în atacuri vizate pe securelist.com, 14 martie 2017. Accesat la 15 ianuarie 2021.
  15. ^ (EN) Nicole Perlroth, Mark Scott și Sheera Frenkel, atac cibernetic Hits Ukraine Then Spreads International , 27 iunie 2017. Adus 17 ianuarie 2021.
  16. ^ (EN) Lily Hay Newman, A Scary New Ransomware Outbreak Uses WannaCry's Old Tricks , 27 iunie 2017. Adus pe 19 ianuarie 2021.
  17. ^ (RO) Anton Ivanov și Orkhan Mamedov, ExPetr / Petya / NotPetya is a Wiper, Not Ransomware , pe securelist.com, 28 iunie 2017. Accesat la 15 ianuarie 2021.
  18. ^ (RO) Olivia Solon și Alex Hern, Atacul ransomware „Petya”: ce este și cum poate fi oprit? 28 iunie 2017. Adus la 17 ianuarie 2021 .
  19. ^ (RO) Stimate McGoogan, cercetător în securitate creează „vaccin” împotriva atacului ransomware , 28 iunie 2017. Adus pe 20 ianuarie 2020.
  20. ^ (RO) Lucian Constantine, Experții sparg ransomware-ul Petya, hard disk-urile permit decriptarea gratuit , 11 aprilie 2016. Adus pe 20 ianuarie 2020.
  21. ^ (EN) Andrew Griffin, Atac cibernetic „Petya”: sistemul de monitorizare a radiațiilor de la Cernobîl lovit de pirateria mondială , 27 iunie 2017. Adus pe 19 ianuarie 2021 .
  22. ^ (EN) Ellen Nakashima, armata rusă a fost în spatele atacului cibernetic „NotPetya” din Ucraina, încheie CIA , 13 ianuarie 2018. Adus pe 19 ianuarie 2021.
  23. ^ (RO) Morgan Chelfant, administratorul Trump , învinovățește Rusia pentru atacul cibernetic global masiv , 15 februarie 2018. Adus pe 19 ianuarie 2021.
  24. ^ (EN) Ivana Kottasová, Marea Britanie învinovățește Rusia pentru atacul cibernetic invalidant , 15 februarie 2018. Adus pe 19 ianuarie 2021.
  25. ^ (RO) Jon Yeomans, producătorul Dettol, Reckitt Benckiser, avertizează că veniturile vor fi afectate, deoarece curăță atacul cibernetic Petya , 6 iulie 2017. Adus 19 ianuarie 2021.
  26. ^ (EN) Guardian Staff, Petya cyber-attack: Fabrica Cadbury a fost lovită pe măsură ce ransomware-ul se răspândește în întreprinderile australiene , 28 iunie 2017. Adus pe 19 ianuarie 2021.

Elemente conexe

linkuri externe

Adus de la „ https://it.wikipedia.org/w/index.php?title=Petya&oldid=119660908