Řada bezpečnostních společností a médií začíná informovat o dalším masivním útoku havěti, která spadá do kategorie ransomware…Největší problémy hlásí Ukrajina. Tam byly zasaženy bankovní instituce, energetické společnosti atd. Jak uvádí společnost ESET, vše to začalo na Ukrajině, kde se útočníkům podařilo úspěšně kompromitovat tamnější rozšířený učetní software. Z aktuálních zpráv plyne, že do některých společností byla stažena/spuštěna infikovaná aktualizace tohoto SW. Právě to zaneslo ransomware do vnitřních sítí společností a tam došlo k zahájení paseky a k dalšímu šíření do okolí.

Stejně jako ransomware WannaCry i tento se primárně nešíří elektronickou poštou, ale skrze bezpečností chyby v operačním systému (SMB exploit – EternalBlue), případně skrze PsExec a WMIC. Firemní síť tak může být zvenčí sebelépe chráněna, nicméně pokud někdo zaútočí zevnitř, může nastat velký problém. Stačí, aby havěť narazila na jediný nezáplatovaný počítač, který se pak stává odrazovým můstkem k infekci dalších (skrze PsExec / WMIC) i záplatovaných strojů!

A jelikož jde o ransomware, tím problémem jsou zašifrováná data na pevném disku. Tento se navíc primárně snaží zašifrovat zavaděč pevného disku (MBR), tudíž Windows už vůbec nenaběhnou a instrukce na zaplacení výkupného jsou tak uváděny v textovém režimu ihned po zapnutí PC. Výkupné v hodnotě 300 dolarů nemá určitě smysl platit, jelikož patřičný poskytovatel zařízl poštovní schránku, skrze kterou útočník s oběťmi komunikoval. V bitcoinové peněžence útočníka jsou přesto více než 3 bitcoiny (~150 tisíc Kč).

Jednotlivé antivirové programy detekují havěť takto.

Článek budu průběžně doplňovat. Tuto větu dopisuji v čase 0:30, přeji tak dobrou noc 🙂


2 komentáře » for Další velká ofenzíva ransomware!
  1. Krtek napsal:

    Mám malou poznámku. O problematiku jsem se podrobně nezajímal, ale podle mého odhadu k napadení zaplátovaného stroje ze sítě pomocí chyby v SMB v1.0 nedojde, takže nestačí pouze jeden nezaplátovaný počítač k napadení zaplátovaných strojů.

  2. Krtek napsal:

    Tak jsem si přečetl toto:
    https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-worm-capabilities/
    „Because users frequently log in using accounts with local admin privileges and have active sessions opens across multiple machines, stolen credentials are likely to provide the same level of access the user has on other machines.“
    Takže by bylo vhodné dopsat to, že ten případ se zaplátovanými stroji platí pouze pro případ, že jaksi na tom napadeném stroji jsou stejné přihlašovací údaje jako na těch zaplátovaných.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

*