Новости

Огляд шифрувальника Petya / NotPetya, детектування і захист

  1. Атакували не тільки Україну, це глобальна операція
  2. Як проходила атака
  3. Хто стоїть за атакою?
  4. Наслідки торкнулися реальному житті
  5. Що робити зараз? Вже точно не міняти антивірус.
  6. Як захиститися в майбутньому?

29 Июня, 2017, 14:00

12122

Вдень 27 червня на Україну обрушилася найсильніша кібератака в історії країни. Вірус-блокувальник Petya або NotPetya, як його ще називають, щоб підкреслити відмінність від типового вірусу-шифрувальника, вразив 12 000 комп'ютерів і практично зупинив роботу кількох десятків компаній. На сьогодні все ще немає доказів точного часу, коли почалася атака. Його слід очікувати після того як експерти з комп'ютерної криміналістиці (forensics) завершать розслідування і реверс-інжиніринг всіх компонентів із зразків кіберзброї (вірусом назвати це язик не повертається).

Вперше про атаку я почув від одного, який працює у відділі інформаційної безпеки великої української компанії в 10:18 по Києву 27 червня. На момент дзвінка їх комп'ютери під управлінням різних версій Windows (від XP до «десятки») вже були зашифровані. Це на 12 хвилин раніше, ніж рапортує кіберполіції на своїй офіційній сторінці в ФБ .

Дзвінок був в стилі: «Андрій, а у вас є індикатори атаки по шифрувальником Petya? Цікавлять IP-адреси, ну і все, чим ще можете поділитися. До нас тут прилетіло .. ».

На той момент все, що я знав про Petya - це сучасний вірус-шифрувальник, відомий вже більше року. Відмінною його рисою є доступність - його можна купити на чорному ринку як послугу або як ПО. Для довідки: шифрувальники в наш час - це цілком собі доросла галузь темної сторони кіберпростору. Це автономні програми, в 99% випадків вражають Windows, які використовують легітимні вбудовані засоби шифрування з трохи нестандартною метою - знайти всі важливі для вас файли і взяти їх в заручники, зашифрувавши їх. Далі вам необхідно купити ключ розшифровки за суму в $ 50-500 протягом строго відведеного часу, після чого ключ буде недоступним. Що б залишатися непоміченими в якості валюти використовується всім відомий Bitcoin.

Назад до дзвінка. Індикаторів у нас не було. Зараз же вони все доступні в відкритої статті на ком'юніті фахівців з інформаційної безпеки Peerlyst.

Атакували не тільки Україну, це глобальна операція

Є 3 вектора атаки, кілька різновидів семплів Petya й підтвердження від постраждалих:

Україна однозначно очолює список з більш ніж 40 організаціями з усіх галузей від фінансів до онлайн-сервісів, рітейлу і державного сектора. Також дісталося і Франції, Іспанії, Росії, Голландії. Пізніше до списку додалися компанії из Великобританії та США.

Як проходила атака

Пік атаки припав на 14:30. Ми не перший раз зіткнулися з такою ситуацією, тому команда ще в 10:18 (коли ми вперше почули про те, що трапилося) почала пошук інформації в усіх відкритих і комерційних базах загроз (threat intelligence). І тут, як часто буває, добре показав себе MISP, безкоштовне співтовариство з обміну індикаторами атак:

В даних з MISP видно, що ще 20 березня 2017 (за 3 тижні до WannaCry) був факт підтвердження використання шифрувальника Petya в комплексних цілеспрямованих кібератаки (APT). Це сильно відрізняється від думки про те що Petya.A - це клон WannaCry, який поширюється через уразливість мережевих папок (SMB). Забігаючи наперед - 3 компанії з України підтвердили нам, що у них стояли всі оновлення Windows, політики «білих списків» для додатків і вони все одно були зашифровані. Один з векторів поширення атаки - це крадіжка пароля адміністратора домену (всі компанії-жертви використовували Active Directory) і легітимна установка Petya.A віддалено за допомогою PsExec (стандартний інструмент адміністратора IT). Але це вектор не заражених, а поширення. Як Petya потрапив в мережу організацій? На сьогодні відомо 3 вектора атаки:

  1. Заражена поштове вкладення і посилання на сайт. інформація підтверджена СБУ і CERT-UA . Те, що це один з векторів сумнівів немає, ось тільки ймовірність того, що компанії з усіх галузей одночасно відкрили документ англійською мовою про замовлення 26.07, дуже маленька. Ми вже були свідками того, як в 2015 по пошті був розісланий завантажувач BlackEnergy - кіберзброя, яке призвело до відключення електроенергії в січні 2016 і синхронної атаці на медіа-канали в жовтні 2015. Цей вектор виключати не можна, докази є, але це ще не все .
  2. Атака на програмне забезпечення MEDoc, підтверджена кіберполіції і компаніями, які були зашифровані. Тут важливо зазначити, що зламали або сам механізм поновлення або способи зв'язку із ним (наприклад підмінили DNS). За останні 36 годин я говорив мінімум з 4 компаніями, у яких встановлено MEDoc і які зашифровані були, і останнє оновлення приходило 22.06.2017 саме так, як заявляє розробник . Атака через оновлення MEDoc пояснює швидке поширення Petya, особливо з огляду на те, що все це сталося під кінець кварталу і за день до вихідного дня.
  3. Атака на сервер оновлень Windows і інші сліди APT. Тут поки мало інформації, слідами даного вектора є те, що файли були підписані 4 легітимними цифровими сертифікатами Microsoft, 3 з яких прострочені, а 1 активний до 2019 року. Розслідування триває і на нього можуть піти місяці, все залежить від того, наскільки компанії будуть відкриті до надання доказів і системних журналів подій (log files, traffic PCAPs, disk dumps і ін).

Хто стоїть за атакою?

Прямих доказів на даний момент немає зважаючи на складність атаки. Атака однозначно вимагала значних ресурсів, а значить за нею стоїть високоорганізована угруповання кримінальних хакерів, які можуть працювати як на себе, так і на конкретну державу.

Наслідки торкнулися реальному житті

Атака привела до припинення онлайн-сервисов банків, зашифрованим банкоматів і неможливості оплатити проїзд в метро карткою, був зашифрований комп'ютер, який відображає розклад літаків в Борисполі, ритейл не міг обслужити клієнтів, у кого-то постало склад, термінали оплати на заправках, у кого -то лягли поштові сервера і сайти. У Голландії термінал Rotterdam Harbour тимчасово перестав приймати міжнародні вантажні кораблі.

Що робити зараз? Вже точно не міняти антивірус.

  1. Не платити викуп. Якщо заплатите - не факт , Що файли повернуть, а гроші не витратять на нові атаки.
  2. Ізоляція для мінімізація шкоди. Petya поширюється між ПК і серверами по мережі. Перший практичний рада з зупинці поширення - блокування портів 135 і 445.
  3. Створити локальну «вакцину» на всіх системах під управлінням Windows, опубліковану Florian Roth. Тут можна взяти готовий скрипт під Windows PowerShell.
  4. Відновити все зашифровані дані з резервних копій. Можливо через кілька тижнів будуть ключі дешифрування, але розраховувати на це не варто.

Як захиститися в майбутньому?

А ось тут простого рішення немає. Ні один продукт або виробник в світі не захистить вас від кіберзагроз такого рівня. І тут справа в зрілості всієї індустрії в цілому. Більшість заходів і засобів з кіберзахисту нагадують зміїне масло і таблетки плацебо. Для розуміння - проведу аналогію з польотами на літаках. У авіації пішло дуже багато років для того, щоб авіаперельоти стали найбезпечнішим транспортом (з точки зору відстані і часу подорожі). Це тому, що сам політ розбитий на 9 етапів: від заходу на борт і до посадки. На кожному етапі достовірно відомо, що може піти не так. І якщо виникає позаштатна ситуація - є індикатори, метрики і несправність усувають негайно.

Для безпечного ведення бізнесу в кіберпросторі нам необхідний такий же підхід: метрики, моніторинг, виявлення відхилень, ризиків і проактивний захист. Не можна покладатися на думку однієї людини або конкретний продукт. Сьогодні ми живемо в епоху, коли проактивний підхід до кібербезпеки буде вирішальним фактором - чи буде ваш бізнес прибутковим і чи буде він існувати в майбутньому. Це час, коли керівники відділу інформаційної безпеки повинні працювати разом або навіть входити до складу ради директорів компанії.

Це час, коли керівники відділу інформаційної безпеки повинні працювати разом або навіть входити до складу ради директорів компанії

І цей час, коли для забезпечення безпеки кожної держави необхідна повна підтримка, як на рівні голови держави, так і міжнародного громадськості. Необхідні інвестиції у кадри, процеси та технології. 100 людей не побудують центр кіберкомандування, а то й витратити ні цента на технології. Але і передові системи захисту не відіб'ють атаки в стилі WannaCry, Petya, BlackEnergy і їх спадкоємців.

Сьогодні в Україні такі процеси тільки зароджуються. Є ініціативи по галузевим CERT-ам, є експерти з колосальним досвідом розслідувань і побудови систем захисту. Саме тут, в одному з епіцентрів кібервійни, необхідно працювати разом.

Автор: Андрій Безверхий, CEO SOC Prime

Помітили помилку? Виділіть її та натисніть Ctrl + Enter, щоб повідомити нам.

Як захиститися в майбутньому?
Дзвінок був в стилі: «Андрій, а у вас є індикатори атаки по шифрувальником Petya?
Як Petya потрапив в мережу організацій?
Хто стоїть за атакою?
Що робити зараз?
Як захиститися в майбутньому?

Уважаемые партнеры, если Вас заинтересовала наша продукция, мы готовы с Вами сотрудничать. Вам необходимо заполнить эту форму и отправить нам. Наши менеджеры в оперативном режиме обработают Вашу заявку, свяжутся с Вами и ответят на все интересующее Вас вопросы.

Или позвоните нам по телефонам: (048) 823-25-64

Организация (обязательно) *

Адрес доставки

Объем

Как с вами связаться:

Имя

Телефон (обязательно) *

Мобильный телефон

Ваш E-Mail

Дополнительная информация:

Все права защищены © 2013 Производственная компания El.Od
Промышленное производство рыбной продукции