newsWiadomość główna

Petya to nie ransomware

Wygląda na to, że wraz z pojawieniem się ransomware Petya, wkroczyliśmy w nową erę cyber zagrożeń – złośliwe oprogramowanie nie jest tym, na co wygląda. A cała sprawa jest dużo bardziej skomplikowana.

Od dwóch dni możecie poczytać doniesienia o ataku groźnego ransomware nazwanego Petya, który dotknął również polskie przedsiębiorstwa. Wygląda jednak na to, że nie wszystkie te doniesienia mijają się z prawdą.

Nie, nie chodzi o to, że zagrożenia nie ma. Po prostu nie nazywa się ono Petya i nie jest ono ransomware.

Łatwiej wyjaśnić to pierwsze stwierdzenie. Kiedy specjaliści od bezpieczeństwa zaczynali przyglądać się złośliwemu kodowi, wydawało się, że jest to bardziej spektakularny nawrót ransomware o nazwie Petya, który po raz pierwszy dostrzeżony został prawie dwa lata temu. Jednak po bliższym przejrzeniu kodu ustalono, że jest to zupełnie nowe zagrożenie, które tylko „pożyczało” spore fragmenty kodu z wcześniejszego ransomware, dlatego zaczęto nazywać nowe zagrożenie NotPetya, Petna, ExPetr albo SortaPetya.

Nazewnictwo jest więc trochę mylące, ale to dopiero początek zamieszania. Okazuje się bowiem, że to ransomware… Wcale nie jest ransomware. I nie chodzi nawet o to, że nie ma sensu płacić okupu, ponieważ atakujący zostali odcięci od swojej skrzynki. Nie, po dokładniejszej analizie kodu okazuje się, że Petya to wiper, który bezpowrotnie nadpisuje początkowe sektory dysku tak, by nigdy nie można było ich odzyskać.

Możliwości są więc dwie – albo ludzie stojący za tym zagrożeniem popełnili błąd, albo nie chodziło wcale o okup, tylko właśnie o niszczenie danych. Udawanie ransomware mogło mieć na celu przekonanie mediów, że zagrożenie jest czymś innym, niż jest w rzeczywistości.

Komu mogło zależeć na takim chaosie? Oczywiście, jak zwykle w takich przypadkach, niezmiernie trudno wskazać palcem sprawcę, ale pewne okoliczności związane z atakiem dają do myślenia.

Nieprzypadkowo pierwsze doniesienia o ofiarach nadeszły z Ukrainy. Jak podają tamtejsze służby, atak rozpoczął się od podmiany aktualizacji oprogramowania “M.E.doc”, z którego ukraińskie instytucje i firmy korzystają do rozliczeń podatkowych. Zainfekowane pliki, korzystając z funkcji automatycznej aktualizacji, zostały pobrane i uruchomione w sieciach tamtejszych firm i instytucji. Dalej złośliwe oprogramowanie rozprzestrzeniało się wykorzystując między innymi luki znane z WannaCry.

Zdjęcie: Flickr/Adam N. Ward


podobne treści