Λίγες ημέρες πριν, ένα νέο ransomware έπληξε όλο τον κόσμο.

Αυτή η νέα έκδοση του malware ονομάστηκε Petya, Petrwrap ή NotPetya, λόγω της ικανότητάς του να τροποποιεί το Master Boot Record των υπολογιστών των θυμάτων του, μια τακτική που παραπέμπει στον τρόπο δράσης της οικογένειας malware Petya. H Fortinet «βάπτισε» αυτό το νέο υβριδικό τύπο malware ως ransomworm, καθώς συνδυάζει τη λειτουργικότητα ενός ransomware με τον τρόπο δράσης ενός worm,  κάτι που εξηγεί και την παγκόσμια έκταση που πήρε αυτή η προσβολή (όπως είχε γίνει και με το WannaCry). Στην προκειμένη περίπτωση έχουμε να κάνουμε με μια νέα γενιά ransomware, που έχει σχεδιαστεί για να εκμεταλλεύεται τα πρόσφατα exploits.

Προηγμένη επίθεση
Αντί να στοχεύουν σε ένα απλό οργανισμό, τα ransomworms αξιοποιούν μια προσέγγιση «ευρύτερης προσβολής»,  που ενισχύει την κλίμακα και το πεδίο εξάπλωσής τους, στοχεύοντας σε οποιαδήποτε συσκευή μπορεί  να βρεθεί και μπορεί να αξιοποιηθεί από το επισυναπτόμενο worm. Μόλις βρεθεί μια τρωτή συσκευή, το Petya/NotPetya ξεκινά τη μόλυνση, προκαλώντας βλάβες και στο Master Boot Record (MBR). Ακολούθως εμφανίζει ένα μήνυμα που αναφέρει ότι τα δεδομένα κλειδώθηκαν – “Your files are no longer accessible because they have been encrypted” – απαιτώντας, στη συνέχεια, την καταβολή λύτρων (300 δολάρια σε bitcoin) για να επιτρέψει πάλι την πρόσβαση σε αυτά.

Στη συνέχεια αναφέρει ότι το κλείσιμο του υπολογιστή θα οδηγήσει στην πλήρη απώλεια του συστήματος. Εδώ έχουμε να κάνουμε με μια διαφορετική τακτική από αυτές – εμφάνιση ενός ρολογιού αντίστροφης μέτρησης του χρόνου και σταδιακή διαγραφή δεδομένων- που έχουμε παρατηρήσει σε άλλες περιπτώσεις. Στις περισσότερες επιθέσεις ransomware, η μόνη πιθανή απώλεια είναι τα δεδομένα. Ωστόσο, καθώς το Petya τροποποιεί το Master Boot Record, υπάρχει ο κίνδυνος απώλειας ολόκληρου του συστήματος. Επιπρόσθετα, προκαλείται ένα reboot του συστήματος κάθε μια ώρα, προσθέτοντας μια πρόσθετη denial of service πινελιά στην επίθεση.

Αξίζει να σημειωθεί ότι, επιπλέον των Microsoft Office exploits, το Petya/NotPetya χρησιμοποιεί τον ίδιο μηχανισμό επίθεσης όπως το WannaCry, αξιοποιώντας πανομοιότυπες ευπάθειες των Windows, που ανακαλύφτηκαν από την ομάδα Shadow Brokers, νωρίτερα φέτος. Ωστόσο, καθώς πρόσθετες τεχνικές επιθέσεων χρησιμοποιούνται από το ransomworm, τo patching από μόνο του θα ήταν αδύνατο να τις σταματήσει, το οποίο σημαίνει ότι τo patching πρέπει να συνοδεύεται με καλά εργαλεία προστασίας και βέλτιστες πρακτικές. Οι πελάτες της Fortinet, ωστόσο, είναι προστατευμένοι από όλες τις τεχνικές επίθεσης, καθώς αυτές ανιχνεύονται και αποκλείονται από τις λύσεις μας ATP, IPS και NGFW. Επιπρόσθετα, η FortiGuard ομάδα μας, δημοσίευσε ένα νέο antivirus signature μέσα σε λίγες ώρες μετά την εκδήλωση της επίθεσης, προκειμένου να ενισχύσει την πρώτη γραμμή άμυνας.

Εν κατακλείδι
Μέχρι στιγμής, δύο πράγματα είναι ξεκάθαρα: 1) πάρα πολλοί οργανισμοί λαμβάνουν ελλιπέστατα μέτρα για την προστασία τους. Όταν ένα exploit στοχεύει μια γνωστή αδυναμία, για την οποία έχει κυκλοφορήσει patch εδώ και μήνες ή χρόνια, ο μόνος που φταίει είναι τα ίδια τα θύματα.Χαρακτηριστικό γνώρισμα αυτών των επιθέσεων είναι ότι στοχεύουν σε τρωτά σημεία για τα οποία έχουν κυκλοφορήσει patches εδώ και καιρό. Και 2) οι ίδιοι οργανισμοί δεν διαθέτουν τα κατάλληλα εργαλεία για να αναγνωρίσουν αυτού του είδους επιθέσεις.