Minął już ponad tydzień od ataku nowego ransomware NotPetya. Zapraszam na przegląd najnowszych i najciekawszych informacji, jakie pojawiły się od czasu ataku.

W pierwszym artykule informowałem, że Microsoft szybko, bo już kilkanaście godzin po infekcji, zapowiedział, że najnowsza duża aktualizacja do Windowsa 10 znacznie poprawi bezpieczeństwo ze względu na duży rozwój Windows Defendera oraz dodania nowych narzędzi dla administratorów, odpowiedzialnych za podniesienie poziomu bezpieczeństwa.

W poniedziałek, 3 lipca bieżącego roku, firma z Redmond wystosowała dużo bardziej szczegółowy komunikat, opierający się na dogłębnych analizach. Potwierdza on, że atak rozpoczął się na Ukrainie, gdzie zainfekowanych zostało 70% wszystkich maszyn, które były ofiarami ataku. Jednocześnie zaznacza on, że rozniesienie się NotPetyi do innych krajów jest zjawiskiem marginalnym, a skala ataku jest dużo mniejsza, niż w przypadku WannaCry. Wszystko to jest prawdą, jednak stanowi marne pocieszenie dla firm, które straciły swoje cenne dane, a przede wszystkim dla Ukrainy, która doznała kompletnego paraliżu.

Oczywiście w raporcie nie mogło zabraknąć chwytu marketingowego, który polegał na zaznaczeniu, że większość infekcji zarejestrowano na maszynach, które pracują z Windowsem 7, co było jasnym przekazem, że należy mocno rozważyć przesiadkę na Windows 10, tym bardziej, że w tymże komunikacie Microsoft oznajmił, że najnowszy system operacyjny jest w pełni zabezpieczony i blokuje tego rodzaju ataki. Dotarłem jednak do ciekawego komentarza użytkownika, który podpisał się jako Edgar w serwisie centrumxp.pl. Czyżby zatem Microsoft zatajał pewne fakty?

„Dziwne, bo u nas w firmie wszystkie laptopy z Win 10 padły ofiarą tego szkodnika. Fakt – nie mieliśmy zaktualizowane do Creators Update, tylko Anniversary Update. Ale mimo wszystko były instalowane wszystkie aktualizacje bezpieczeństwa. Komputery wyświetlały monit o wpłacenie okupu jeden po drugim. Mamy oddział na Ukrainie w tej samej domenie i pewnie stamtąd przyszło zagrożenie.”

~Edgar, 4 lipca 2017, 17:19

NotPetya - czy dowiemy się, o co chodziło naprawdę?

Z wyliczeń ESET-u wynika, że Polska plasuje się na trzecim miejscu wśród ofiar infekcji

Warto dowiedzieć się, jak wszystko się w ogóle zaczęło. Wyjaśnia to opublikowany we wtorek raport firmy ESET. Potwierdza on, że atak rozpoczął się na Ukrainie, od oprogramowania M.E.Doc, który wykorzystywany jest przez naszych wschodnich sąsiadów. Co jest jednak najbardziej zatrważające, raport ujawnił, że mechanizm aktualizacji, a może cały serwer firmy produkującej oprogramowanie, był pod kontrolą atakujących od kwietnia 2017 roku! Smaczku sprawie dodaje informacja, że firma WNet I.S.P., która jest operatorem serwerowni M.E.Doc, 1 czerwca została oskarżona o przekierowanie ruchu na infrastrukturę kontrolowaną przez rosyjskie służby specjalne. Incydent ten jest zbyt małym dowodem na to, że miało to związek z atakiem, ale jest wystarczająco duży, żeby snuć własne domysły i hipotezy.

Istnieje wysokie prawdopodobieństwo, że grupa odpowiedzialna za rozprzestrzenienie się NotPetyi miała dostęp do pełnego kodu źródłowego zainfekowanego oprogramowania. Takiego zdania są przynajmniej badacze ESET-a:

It seems very unlikely that attackers could do this without access to M.E.Doc’s source code.

Zaszyty w jednej z bibliotek backdoor odczytywał numery EDRPOU, który jest odpowiednikiem naszego REGON-u, a także informacje o używanych serwerach proxy i kont pocztowych, z loginami i hasłami włącznie. Dane były zapisywane w rejestrze Windowsa w kluczu HKEY_CURRENT_USER\SOFTWARE\WC. Dostarczały one atakującym wiedzę o tym, jaka firma jest pod ich kontrolą, co pozwalało im na dogłębne szpiegowanie i analizy. Przejęte serwery aktualizacji pozwalały również na uruchamianie dowolnych komend na zainfekowanych komputerach, zapisywanie danych, pobieranie danych, a także uruchamianie plików.

NotPetya - czy dowiemy się, o co chodziło naprawdę?

Komunikat z zaszyfrowanego komputera

Jako że kontrola nad maszynami trwała około trzech miesięcy, pojawiła się hipoteza mówiąca o tym, że atak NotPetyą nie miał za zadanie zebrania okupu za odszyfrowanie danych, lecz wymazanie logów, które udowodniłyby szpiegowanie. W końcu po takim ataku najczęściej dochodzi do reinstalacji systemu operacyjnego, chociaż z drugiej strony wystarczy przywrócić system z kopii bezpieczeństwa, sprzed chociażby jednego dnia (jeśli nie zostały zniszczone), żeby dotrzeć do dowodów. Domysł ten wydaje się słuszniejszy, jeśli weźmiemy pod uwagę kilka faktów. Przestępcy wykorzystali tylko jeden adres BTC do obsługi wpłat, założyli skrzynkę e-mailową u publicznego dostawcy, która została zablokowana, oraz generowali zbyt skomplikowane ID. Wszystkie te operacje bardziej utrudniają otrzymanie okupu, niż go ułatwiają.

Mimo to w nocy z czwartego na piątego lipca zostały przetransferowane środki z rachunku, który służył do zbierania okupu, a atakujący poinformowali, że za 100 Bit Coinów, co w przeliczeniu na polskie złote wynosi jakieś 950 tysięcy, udostępnią klucz, który pozwoli rozszyfrować pliki. Nie podali, gdzie należy dokonać wpłaty, ale pozostawili na siebie namiar w postaci linku do prywatnego czatu, znajdującego się w sieci Tor. Przedstawili nawet dowód na posiadanie klucza. Wysłany im zaszyfrowany plik został odesłany jako odszyfrowany. Nic to jednak nie zmienia, ponieważ cała ta operacja może być tylko próbą odwrócenia uwagi od informacji, mówiących o szpiegowaniu firm już od kwietnia.

W ostatnim artykule podałem informację, że gdy na ekranie pojawi się samoczynnie okienko przypominające program CHKDSK, należy wyłączyć komputer, aby nie dopuścić do pełnego zaszyfrowania. Portal zaufanatrzeciastrona.pl twierdzi, że będzie to działanie bezskuteczne, ponieważ komunikat jest tylko zmyłką i w chwili jego pojawienia się pliki były już zaszyfrowane.

Mimo że NotPetya podobno już nie atakuje, warto zwrócić uwagę na fakt, że poza Ukrainę przedostała się dzięki lukom w protokole SMB, tym samym, co WannaCry, który od czasu do czasu wciąż zbiera żniwa. Dlatego też warto zwrócić uwagę, czy na naszych komputerach została zainstalowana aktualizacja zamykająca lukę. Ustalić nam to pomoże narzędzie udostępnione przez firmę ESET, które sprawdza, czy odpowiednia łatka została zainstalowana. W przypadku wyświetlenia komunikatu Your computer is vulnerable !!!, koniecznie należy zainstalować aktualizację KB4012598, dostępną tu. Została ona udostępniona również dla systemów operacyjnych Windows XP oraz Vista, które nie mają już oficjalnego wsparcia.

Cała historia wciąż nie odpowiada jednoznacznie na najważniejsze pytanie: kto stoi za atakiem? Jeżeli faktycznie służby rosyjskie, to rodzą się kolejne pytania: czy była to jedyna firma, pozostająca pod kontrolą? Czy są inne kraje szpiegowane na taką skalę? A może miniona operacja była jedynie testem i w najbliższym czasie czeka nas kolejny atak? Wydawać się może, że świat stoi u schyłku cyberwojny. Jeżeli wojny w przyszłości będą wyglądały właśnie tak, to być może stwierdzenie war never changes, odejdzie niebawem do lamusa. A co Wy o tym sądzicie?

[źródła: Microsoft TechNet, CentrumXP, welivesecurity, welivesecurity, Niebezpiecznik, Zaufana Trzecia Strona]

Podziel się.

O autorze

Adrian Czech

Bardzo lubię ratować świat, dlatego jestem wielkim fanem wszelkiej maści RPG-ów (choć nigdy nie tknąłem serii The Elder Scrolls), Mass Effecta i twórczości Blizzarda, ale serie Grand Theft Auto i Max Payne również nie są mi obce. Od dziecka kibic Realu Madryt. Nadmiar czasu lubię spożytkować na podróżach, książkach, serialach i filmach. No i w ciemno łykam kolejne odcinki Dragon Balla oraz ekranizacje ze stajni Marvela.