Изненада: Кибероръжие, не изнудване за пари

Малко повече от месец след атаката на WannaCry корпоративният дигитален свят бе поразен от поредната атака с нов и по-мощен вирус - NotPetya (GoldenEye). Най-силно засегната от тази кибератака бе Украйна с над 80 компании и около 60 процента от всички поразени над 200 000 компютъра по целия свят. От строя излязоха компютърни системи в банки и големи компании - енергийните "Укрененерго" и "Киевенерго", столичното летище, сайтът на правителството, производителят на самолети "Антонов", мобилни оператори, преустановиха работа няколко вериги бензиностанции и магазините "Метро", сайтовете на украинските пощи и на някои медии. Поразени бяха системи и в Русия, сред които на петролните компании "Роснефт" и "Башнефт", както и на стоманодобивната "Евраз".

Следващите парализирани компютри бяха в различни части на Европа - Великобритания, Холандия, Дания, Норвегия, Германия, Италия, Франция. Атаката стигна до Индия и САЩ. Сред засегнатите се оказаха и американските компании - фармацевтичната "Мерк" и логистичната "ФедЕкс". В щата Пенсилвания излезе от строя система за управление на лечебни заведения. Впоследствие дойдоха поредните сигнали за нови засегнати машини - този път от Азия, като пострадали са няколко европейски компании. Управляваното от датската компания "Мерск" пристанище "Джавахарлал Неру" в Мумбай, Индия - най-големият контейнерен порт на страната, съобщи, че някои дейности и на трите му терминала са били прекъснати. Хакнати бяха общо 17 контейнерни терминала, включително два в Хага, както и обекти в Копенхаген като част от фирмената компютърна и мрежова инфраструктура. Разположени в Индия производители на продукти на "Нивеа", почистващите продукти "Лисол" и бебешките храни "Енфамил" също са станали жертви на хакерската атака, както информира Ройтерс. Вирусната атака стигна и до Австралия - фабриката за шоколад "Кедбъри" спря производство заради блокиране на компютърните системи. Жертви на новия вирус станаха и френската компания за строителни материали "Сен Гобен" и испанският гигант за производство на храни "Монделес".
Според експерти по сигурността, включително руската компания "Касперски", вирусът вероятно е разпространен с фалшив ъпдейт (обновяване) на украинската финансово-мониторингова програма МЕДок, която използват почти всички украински фирми, и е заразил компютрите на голям брой организации в страната и техните партньори. Компанията МЕДок заяви във фейсбук, че е била хакната, но не е разпространявала вируса.
След първоначалното заразяване в Украйна новият вирус червей бързо се разпространява и в останалите европейски страни през корпоративните мрежи. Чуждестранните компании, които работят със свой офис или чрез контрагенти в Украйна, се инфектират чрез виртуални частни мрежи или чрез изтегляне на работни файлове, като се атакуват основните им сървъри и всички компютри с ОС Windows в мрежата на дадената компания.
Вирусът NotPetya е създаден да прониква в корпоративни мрежи с голям брой компютри на мултинационалните многомилиардни компании, а не толкова към домашни потребители, като общата капиталова стойност на засегнатите компании надхвърля 130 млрд. долара.
От компанията за киберсигурност "Касперски" обявиха в свой анализ, че става дума за "нова програма за откуп, невиждана досега" въпреки приликите си с Petya. Те нарекоха вируса NotPetya и предупредиха, че в него се наблюдават някои нови и опасни параметри. Непосредствено след кибератаката анализатор на "Касперски" каза, че вирусът вероятно е версия на Petya, появила се на 18 юни, като предполага, че зловредната програма е в интернет от десетина дни. Проф. Алън Удуърд, експерт по онлайн сигурност, обяви, цитиран от Би Би Си: "В началото изглеждаше като вариант на програма за откуп, която се появи миналата година. Вирусът беше наречен Petya, а имаше и обновена версия - Petrwrap. Сега обаче това не изглежда толкова ясно."
При отваряне на електронно съобщение в пощата, идващо най-често от непознат източник, се активира вирусът, който рестартира компютъра, криптира достъпа до целия твърд диск и на екрана се изписва съобщение с искане за превод на 300 долара в биткойн валута, за да бъде отключен достъпът до компютъра.
От "Симантек" публикуваха препоръки за защита на компютрите от NotPetya - за целта трябва да се симулира ситуация, при която компютърът е вече заразен. Трябва да се направи конкретен файл, който зловредната програма сама създава на съответното устройство - и ако го види, тя приключва работа, без да засегне машината. Сайтът "Блийпинг компютър", който е специализиран в новини за киберсигурността, даде подробни инструкции как да се добави този файл. Единственият недостатък е в това, че методът защитава само конкретен компютър, но не и корпоративната мрежа, в която се намира - т.е. машината остава "преносител на заразата" и от него тя би могла да се прехвърли към други компютри в мрежата.
Според първите анализи на "Майкрософт" вирусът използва няколко техники, за да се разпространява. Използва и същите уязвимости както при атаката с вируса WannaCry през май. Някои специалисти по киберсигурност посочват, че отново става дума за проблема с ЕternalBlue (вид уязвимост), особено в по-стари и необновени версии на операционната система Windows.
Фирмата за киберсигурност "Веракоуд" отчита, че много от засегнатите потребители от индустрията, услугите и държавния сектор обикновено не могат бързо да се справят със софтуерни уязвимости и ъпдейти на ОС за много машини, тъй като ако много компютри от корпоративната мрежа не работят по едно и също време, това би създало проблеми в ежедневната им работа, но пък така се повишава сериозно рискът от нова зараза.
Вирусът NotPetya, който криптира и блокира хиляди компютри по света, всъщност изтрива данни и спира работата им, а не изисква откуп - това е заключението на два независими доклада от експертите на "Комей Технолъджис" и "Касперски". Той съчетава в себе си четири типа дейности. Първо, е компютърен червей, използващ Windows мрежови функции и уязвимостта на ОС, за да се разпространи в локалната мрежа. Второ, има рансъмуер, който криптира харддиска, и компютърът и операционната система не могат да стартират нормално. Допълнително, има втора част от рансъмуера, която криптира произволно файлове, ако не успее да кодира харддиска. И последния четвърти компонент - от заразената машина краде потребителски акаунти и пароли с цел да инфектира и други компютри.
Не плащайте откуп, първо, защото така се поощряват бъдещите създатели на нови вируси, и второ, в конкретния случай с NotPetya имейлът, който ползват изнудвачите, вече е закрит от немски имейл доставчик. Това означава, че няма как да бъде потвърден паричният ви превод и да получите декриптиращия ключ за възстановяването на файловете. По-важното в случая е, че, изследователи от "Касперски" са анализирали кода на вируса и в частта, свързана с криптирането на файловете, са установили, че след като харддискът е криптиран, създателите на вируса не са предвидили възможността да се декриптира обратно информацията. Генерира се произволен идентификационен номер за инфектирания компютър, но всеки рансъмуер използва команден и контролен сървър, за да съхранява информация за всеки заразен компютър и съответния декриптиращ ключ, но в този случай не е предвиден такъв от създателите на вируса. Поради тази причина много експерти по сигурността смятат, че този нов вирус е проектиран не за да събира пари от откуп, а за разрушаване на компютърна инфраструктура и за спиране на дейността на корпоративни мрежи на мултинационални компании. Изследователите от "Комей Технолъджис" заявяват: (Оригиналният вирус) Petya модифицира файловете на харддиска и след плащане може да ги възстанови, докато вирусът (NotPetya) дълготрайно и необратимо разрушава информацията на харддиска.
Технологията на поредната кибератака е нов и изненадващ аспект на ескалиращата кибервойна между държавите, която вече компрометира инфраструктурата, изборите и бизнеса на противника. Северна Корея проникна в мейл сървъра на "Сони", за да демонстрира сила, хакерите повредиха енергийната система на Украйна по време на конфликта с Русия и обвинението за евентуалната намеса на Москва по време на президентските избори в САЩ. Обикновено невинни съпътстващи жертви са домашните потребители и малките фирми.
"Саботажът често нанася допълнителни щети", казва Лесли Кархарт, експерт по дигитални престъпления. "Нищо ново. Просто е дигитализиран."
Генералният секретар на НАТО Йенс Столтенберг пък изрази желание Алиансът да отговори на тази киберзаплаха чрез засилване на киберотбраната в рамките на НАТО.
"Няма да се учудя, ако те се опитват да прекъснат услугите, към които се прицелват", каза Аманда Русо, изследовател в антивирусната компания "Ендгейм". "Равносилно е на това да ти отнемат властта."



Съвети за безопасност:

* Постоянно обновяване на всички приложения и операционната система.
* Антивирусен софтуер, който също да се обновява и да защитава от новопоявилите се вируси, да има модули за защитени мрежови връзки и мониторинг на активни процеси и файлове.
* Създаване на редовен бекъп (резервно копиране и архивиране) на важните файлове и данни.
* Най-важното, за задклавиатурното устройство - не кликвайте на съмнителни линкове, на картинки в социалните мрежи, не отваряйте имейли от неизвестни податели, още повече, ако съдържат прикачени файлове.