Notpetya – jeden z najpoważniejszych ataków ransomware w historii

Ukraina w trudnej sytuacji

    Po wydarzeniach z placu Niepodległości w Kijowie (tzw. Majdanu) z przełomu 2013 i 2014 roku oraz separatystycznej wojnie na wschodzie kraju, Ukraina stała się przysłowiowym placem zabaw dla grup cyberprzestępczych wspieranych przez rosyjski rząd. Żaden sektor nie był bezpieczny, ofiarami stały się instytucje publiczne, przedsiębiorstwa czy przedstawiciele mediów; wiele danych zostało nieodwracalnie utraconych. Zimą 2014 i 2015 roku hakerzy doprowadzili do pierwszych w historii blackoutów spowodowanych cyberatakami. Na dwa dni przed świętami Bożego Narodzenia prawie dwieście trzydzieści tysięcy ludzi mieszkających w obwodzie Iwano-Frankowskim zostało na wiele godzin odciętych od dostaw prądu.  

    Cyberataków używano także w celach propagandowych. W maju 2015 roku zafałszowano stronę podającą wyniki wyborów prezydenckich tak, aby na pierwszym miejscu znajdował się współzałożyciel nacjonalistycznej Wszechukraińskiej Organizacji „Tryzub” im. Stepana Bandery i Prawego Sektora Dmytro Jarosz (w rzeczywistości otrzymał on 0.7% głosów), choć w tym przypadku oczywiście trudno mówić o bezpośrednim zaangażowaniu Rosjan. 

 

Dlaczego Notpetya?

    Wiosną 2017 roku atakującym udało się dostać do serwerów grupy Linkos i uzyskać dostęp do komputerów z M.E.Doc, ukraińską aplikacją do składania zeznań podatkowych. Sam atak rozpoczął się w przeddzień ukraińskiego Dnia Konstytucji, 27 czerwca 2017 roku. Pierwotnym celem miały być przedsiębiorstwa znajdujące się na terenie naszego wschodniego sąsiada, lecz wirus szybko rozprzestrzenił się w niekontrolowany sposób. W wielu miejscach na całym świecie na monitorach zaczęły pojawiać się komunikaty takie jak Repairing file system on C:”Oopsyour important files are encrypted oraz żądanie zapłacenia okupu w wysokości 300$ w Bitcoinach. Tego typu komunikaty spotykano już rok wcześniej w trakcie ataku ransomware nazwanego Petya na cześć sowieckiego satelity przenoszącego bombę atomową z filmu przygodach Jamesa Bonda pt. GoldenEye

Pyetya uderza w systemy Microsoft Windows, infekując Master Boot Record, czyli główny rekord rozruchowy, strukturę danych zapisaną w pierwszym sektorze dysku twardego, i wymuszając restart. Po uruchomieniu szyfruje system plików i wyświetla żądanie okupu, po którego zapłaceniu odzyskamy dostęp do naszych danych. Niestety w przypadku ataku z 2017 roku rzeczywistość okazała się być gorsza. Pod fasadą podobieństwa do występujących wcześniej ataków ransomware krył się tzw. wiperczyli malware przeznaczony do zniszczenia danych na dyskach zainfekowanych komputerów. 

Wykorzystane techniki

    Do przeprowadzenia ataku wykorzystano podatność zwaną EternalBlue związaną z błędem w implementacji protokołu SMB (Server Message Block), służącą do udostępniania zasobów komputerowych. Była ona znana National Security Agency od wielu lat, prowadzili oni jednak politykę kolekcjonowania podatności zamiast dzielenia się informacjami o nich w celu naprawiania błędów. Grupa Shadow Brokers ujawniła podatność EternalBlue po wycieku z NSA, co doprowadziło do zainfekowania 200.000 komputerów tylko w ciągu pierwszych dwóch tygodni. Wspólnie z podatnością EternalBlue wykorzystano Mimikatza – open source’owe narzędzie służące do zbierania i wykorzystywania do oszukiwania mechanizmów autoryzacji m.in. haseł i haszy haseł w systemach Microsoft Windows. Po uzyskaniu dostępu do jednej z maszyn pozwala ono eskalować swoje uprawnienia i dostawać się do kolejnych komputerów w sieci. Warto pamiętać, że w odpowiednio monitorowanej sieci Mimikatz potrafi narobić sporo szumu. Możliwe jest wykrycie niepokojących procesów związanych z lsass.exe, dziwnych przeskoków między hostami w organizacjiuruchamiania procesów z kont innych użytkowników czy importowanie modułów do powershella. 

Ta strona korzysta z Cookies dla zapewnienia najwyższej jakości obsługi.