Miesięcznik informatyków i menedżerów IT sektora publicznego

Eryk Chilmon

Globalne ataki cybernetyczne

Nazwy WannaCry i Petya w połowie bieżącego roku poznał cały świat. Te dwie wielkie kampanie ransomware dotknęły wiele firm i instytucji, paraliżując ich działanie przez szyfrowanie plików i domaganie się okupu za ich odblokowanie. Ataki miały miejsce również na terenie Polski.

Ransomware WannaCry wykorzystał luki w zabezpieczeniach systemu Windows i po zainfekowaniu dziurawej maszyny szyfrował na niej dane.

WannaCry (WCry, WannaCrypt, WanaCrypt0r) zaatakował w maju. Dotknął maszyny nieposiadające stosownych aktualizacji łatających lukę MS17-010 w SMBv1. Użytkownicy systemu Windows zaczęli otrzymywać komunikaty z żądaniem 300 dolarów okupu za odblokowanie dostępu do zaszyfrowanych plików. Ofiarą ataku padły banki, szpitale, operatorzy telekomunikacyjni i instytucje publiczne na całym świecie (m.in. brytyjska służba zdrowia, rosyjskie koleje państwowe, linie lotnicze Shaheen Airlines, włoskie uniwersytety, firmy samochodowe). Ransomware instalowany był przez robaka, który potrafi propagować się wewnątrz zainfekowanej sieci za pomocą exploita EternalBlue w systemie Windows. Według informacji podanych przez „Forbesa” został on opracowany przez amerykańską agencję bezpieczeństwa (NSA), a publicznie udostępniła go grupa hakerów Shadow Brokers.

Sposób działania WannaCry szczegółowo przenalizował m.in. Zespół CERT Polska. Jak podają eksperci zespołu, ransomware, po przedostaniu się na maszynę za pomocą EternalBlue, odpytywał o domeny, które w zamierzeniu twórców, w momencie zarejestrowania staną się „wyłącznikiem” infekcji. Ransomware przed procesem szyfrowania uruchamia jako usługę kod propagujący infekcję. Usługa przedstawia się jako Microsoft Security Center (2.0) Service. Twórcy WannaCry w swoim kodzie wykorzystali gotowy exploit pochodzący z Metasploit Framework. Kolejnym krokiem było wypakowanie archiwum osadzonego w dropperze, zawierającego plik konfiguracyjny oraz zaszyfrowaną bibliotekę DLL. Pobierana była również na komputer ofiary przeglądarka Tor Browser. Po udanym wczytaniu konfiguracji i odszyfrowaniu załączonej biblioteki następowało szyfrowanie plików – zaszyfrowane pliki otrzymywały rozszerzenie *.wnry lub *.wncry. Po ukończeniu procesu szyfrowania plików usuwane były kopie Volume Shadow Copy, celem uniemożliwienia odzyskania ostatnich wersji plików.

Z kolei kampania Petya (NonPetya, GoldenEye) uderzyła przede wszystkim w sieci ukraińskie (dostawca energii Ukrenergo, system monitoringu promieniowania elektrowni w Czarnobylu i producent samolotów Antonov) oraz rosyjskie. Przestępcy zażądali okupu w wysokości 300 dolarów. Działania Petya, według informacji podanych przez Zespół CERT Polska, w przeciwieństwie do WannaCry kierowane były od wewnątrz sieci, czyli zaufanego środowiska. Czerwcowe ataki dotknęły tylko lokalne dyski twarde – udziały sieciowe ani dyski wymienne nie były celem. Ransomware Petya szyfrował plik systemowy Master File Table na partycjach NTFS, w którym gromadzone są pełne informacje o ścieżce dostępu i strukturze każdego pliku na danej partycji, a dodatkowo podmieniał wpis MBR (Master Boot Record), zastępując go żądaniem okupu i tym samym uniemożliwiając poprawne uruchomienie systemu. Na początku lipca Microsoft przedstawił raport, w którym Microsoft przeanalizował atak ransomware Petya. Wynika z niego, że do infekcji nie doszło na tak wielką skalę, jak w przypadku WannaCry. Komputery z Windows 10 były odporne na wirusa, a Petya najwięcej szkód wyrządziła na komputerach z nieaktualnym Windows 7.

[...]

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej