Επίθεση που θυμίζει πολύ την WannaCry του περασμένου μήνα, η οποία και επηρέασε περισσότερες από 100 χώρες σε ολόκληρο τον κόσμο, θυμίζει η νέα κυβερνοεπίθεση που εκτυλίσσεται αυτή την ώρα.
Μέχρι στιγμής πιο σοβαρά έχουν «χτυπηθεί» η μεγαλύτερη ναυτιλιακή εταιρεία σε ολόκληρο τον κόσμο, η Maersk, ενώ η Ουκρανική κεντρική τράπεζα, το μετρό, το αεροδρόμιο του Boryspil στο Κίεβο και η εταιρείας παροχής ηλεκτρικού ρεύματος Ukrenego φαίνεται πως έχουν πέσει θύματα των χάκερς.
Νέες αναφορές για επιθέσεις έγινας σε Ισπανία και Ινδία. Μεταξύ των θυμάτων και ο Rozenko Pavlo, ο αντιπρόεδρος Ουκρανικής κυβένρησης, ο οποίος ενημέρωσε μέσω twitter, ότι τόσο ο ίδιος όσο και άλλα μέλη του Κοινοβουλίου δεν μπορούσαν να έχουν πρόσβαση στους υπολογιστές τους.
Μάλιστα η δανέζικη ναυτιλιακή εταιρεία A.P. Moller-Maersk ανακοίνωσε ότι «Μπορούμε να επιβεβαιώσουμε ότι η βλάβη προκλήθηκε από κυβερνοεπίθεση» σύμφωνα με τον Mikkel Linnet, εκπρόσωπο τύπου της εταιρείας. Ο ίδιος διευκρίνισε ότι έχουν πληγεί τα συστήματά της σε πολλές περιοχές όπου διατηρεί γραφεία, συμπεριλαμβανομένων και των κεντρικών στην Κοπεγχάγη.
Η Maersk με μήνυμά της στο Twitter ανέφερε ότι τα συστήματά της έχουν πέσει «σε πολλές τοποθεσίες και ότι ερευνά την υπόθεση».
Ακόμα και μεμονωμένοι χρήστες έχουν κάνει αναφορές για κακόβουλο λογισμικό στην Γαλλία και τη Μεγάλη Βρετανία. Ο ιός σύμφωνα με τις πρώτες πληροφορίες έχει επηρεάσει και και την Ρωσική πετρελαϊκή Rosneft, αν και άγνωστο παραμένει το μέγεθος της ζημιάς που έχει προκαλέσει.
Ένα ακόμα θύμα είναι και η βρετανική WPP, η μεγαλύτερη διαφημιστική εταιρεία παγκοσμίως, η οποία ανακοίνωσε ότι δέχτηκε κυβερνοεπίθεση και ότι εξετάζει την κατάσταση, λαμβάνοντας τα κατάλληλα μέτρα για την αντιμετώπισή της. Εκπρόσωπός της επιβεβαίωσε ότι έχει πληγεί η εταιρεία, χωρίς να δώσει περισσότερες διευκρινίσεις.
Ένας ερευνητής για τhn Kaspersky Lab εντόπισε τον ιό ο οποίος ονομάζεται «Petrwrap» παρακλάδι του Petya, που εντόπισαν τα εργαστήρια τον Μάρτιο. Σύμφωνα με μια πρόσφατη σάρωση του VirusTotal, μόνο τέσσερις από τις 61 υπηρεσίες προστασίας από ιούς μπορούν να ανιχνεύσουν με επιτυχία τον ιό.
Δεν είναι ακόμη σαφές πώς εξαπλώνεται ο ιός και αν, όπως και η WannaCry, εκμεταλλεύεται νέες ευπάθειες για να μολύνει νέα μηχανήματα. Μόλις μολυνθεί ωστόσο ο κάθε υπολογιστής δίνει εντολή στον χρήστη να πληρώσει 300 δολάρια σε μια στατική διεύθυνση Bitcoin και, στη συνέχεια, στέλνει με μήνυμα ηλεκτρονικού ταχυδρομείου το «πορτοφόλι bitcoin »και τα προσωπικά στοιχεία του χρήστη σε μια διεύθυνση ηλεκτρονικού ταχυδρομείου Posteo. Μέχρι στιγμής αναφορές κάνουν λόγο ήδη για πέντε συναλλαγές, συνολικού ύψους περίπου 1443 δολαρίων.
Από τη Ρωσία οι επιθέσεις, λένε οι Ουκρανοί
Οι Ουκρανοί έσπευσαν να «δείξουν» προς τη Ρωσία για την πηγή των κυβερνοεπιθέσεων. Σύμφωνα με έναν σύμβουλο του υπουργείου Εσωτερικών, τον Αντόν Γκερασένκο, η επίθεση έγινε με τον ιό Cryptolocker, μια παραλλαγή του WannaCry. «Ο στόχος της κυβερνοεπίθεσης ήταν η αποσταθεροποίηση», ανέφερε, υποστηρίζοντας ότι οι επιθέσεις αυτές κατά πάσα πιθανότητα προήλθαν από τη Ρωσία.
Ο πρωθυπουργός της Ουκρανίας Βολοντιμίρ Γκρόισμαν χαρακτήρισε ως «άνευ προηγουμένου» το κύμα κυβερνοεπιθέσεων, αλλά τόνισε ότι δεν έχουν παρουσιαστεί προβλήματα σε σημαντικά πληροφοριακά συστήματα.
«Ηταν μια επίθεση άνευ προηγουμένου αλλά οι ειδικοί μας κάνουν τη δουλειά τους και προστατεύουν τις υποδομές στρατηγικής σημασίας. Τα σημαντικά συστήματα δεν έχουν πληγεί», έγραψε στο Facebook.
Σύμφωνα με το MELANI, το ελβετικό Κέντρο Αναφοράς και Ανάλυσης για την Ασφάλεια της Πληροφορίας, περισσότερο έχουν πληγεί από τον ιό Petya, η Ουκρανία, η Ρωσία, η Βρετανία και η Ινδία ενώ μέχρι στιγμής δεν υπάρχουν στοιχεία ότι έχουν δεχτεί επίθεση και ελβετικές εταιρείες.
Στο μεταξύ, η Υπηρεσία Εθνικής Ασφάλειας της Νορβηγίας, ανακοίνωσε ότι είναι σε εξέλιξη μια επίθεση παρόμοια με εκείνη στη Maersk. Ανέφερε ότι έχει πληγεί «μία διεθνής εταιρεία», αποφεύγοντας όμως να την κατονομάσει.
Σύμφωνα εξάλλου με το Γαλλικό Πρακτορείο, μια παρόμοια επίθεση αναφέρθηκε επίσης στη γαλλική βιομηχανία Saint-Gobain.
Ωστόσο, εκτός από τις πετρελαϊκές εταιρείες, κυβερνοεπιθέσεις υπέστησαν σήμερα και ρωσικές τράπεζες, όπως ανακοίνωσε η κεντρική τράπεζα της Ρωσίας.
Ορισμένες γερμανικές εταιρείες έπεσαν θύματα του κακόβουλου λογισμικού που εξαπλώνεται ταχύτατα, όπως ανακοίνωσε σήμερα η ομοσπονδιακή υπηρεσία ασφάλειας του κυβερνοχώρου BSI, καλώντας όσους έχουν πληγεί να ενημερώσουν τις αρχές.
Η υπηρεσία δεν κατονόμασε τις εταιρείες που δέχτηκαν επίθεση. Νωρίτερα ωστόσο, η γερμανική υπηρεσία ταχυδρομείου Deutsche Post ανέφερε ότι επηρεάστηκαν συστήματά της στην Ουκρανία.
Ξεκίνησε η επίθεση στις ΗΠΑ
«Επιβεβαιώνουμε ότι το δίκτυο υπολογιστών της εταιρείας μας «χτυπήθηκε» σήμερα ως μέρος της παγκόσμιας κυβερνοεπίθεσης», ανέφερε η αμερικανική φαρμακευτική εταιρεία Merck & Co.
«Άλλοι οργανισμοί έχουν επίσης επηρεαστεί. Διερευνούμε το θέμα και θα παράσχουμε πρόσθετες πληροφορίες καθώς θα μάθουμε περισσότερα» συνέχισε η ανακοίνωση.
Πληροφορίες κάνουν λόγο και για δύο νοσοκομεία στη Βραζιλία που έχουν πέσει θύματα του ιού Petya. Ωστόσο, δεν έχουν δοθεί περαιτέρω λεπτομέρειες.
Χτύπησαν και τον πυρηνικό σταθμό του Τσέρνομπιλ
Οι ηλεκτρονικοί υπολογιστές του πυρηνικού σταθμού του Τσερνόμπιλ επλήγησαν από την κυβερνοεπίθεση με αποτέλεσμα, οι τεχνικοί που εργάζονται ακόμη στον –κλειστό πλέον– σταθμό, στην Ουκρανία, να μετρούν τα επίπεδα της ραδιενέργειας χρησιμοποιώντας συσκευές Γκάιγκερ αντί για ηλεκτρονικά μέσα.
Σύμφωνα με ανακοίνωση της Ολένα Κόβαλτσουκ, εκπρόσωπο της κρατικής υπηρεσίας διαχείρισης της Ζώνης Αποκλεισμού του Τσερνόμπιλ «Οι τεχνικοί μετρούν τη ραδιενέργεια με συσκευές Γκάιγκερ, όπως το έκαναν επί δεκαετίες. Και αυτό επειδή το λογισμικό σύστημα Windows, που κατέγραφε αυτόματα τη ραδιενέργεια δεν λειτουργεί».
Τι λέει η Kaspersky Lab
Ο μεγαλύτερος ιδιωτικός προμηθευτής λύσεων ασφάλειας Internet για επιχειρήσεις και καταναλωτές εξέδωσε ένα γράφημα με τις εώς τώρα επιθέσεις σε ολόκληρο τον κόσμο.
RT @Securelist: The latest on today's #ransomware outbreak includes #YARA rules https://t.co/PK5R7sOsNO #notpetya pic.twitter.com/VJkdMpx4s9
Schroedinger’s Pet(ya) via @Securelist #petya #notpetya https://t.co/yh5y7WCcun pic.twitter.com/UfwpcbMBCu
Δεν πρόκειται για τον ιό Petya, ξεκαθαρίζει το Kaspersky Lab, αλλά μια νέα μορφή κακόβουλου λογισμικού, που δεν έχει εμφανιστεί στο παρελθόν. Το όνμα που της δόθηκε είναι «NotPetya».
«Οι αναλυτές της Kaspersky Lab ερευνούν το νέο κύμα επιθέσεων κακόβουλου λογισμικού που απευθύνονται σε οργανισμούς σε όλο τον κόσμο. Τα προκαταρκτικά συμπεράσματά μας υποδηλώνουν ότι δεν είναι μια παραλλαγή του Petya, όπως έγινε γνωστό αρχικά, αλλά ένα νέο ransomware (κακόβουλο λογισμικό) που δεν έχει εμφανιστεί στο παρελθόν. Γι 'αυτό το έχουμε ονομάσει NotPetya» δήλωσε με ανακοίνωσή της το Kaspersky Lab στο Twitter.
The latest from @kaspersky researchers on #Petya: it’s actually #NotPetya pic.twitter.com/uTVBUul8Yt
Ποιος είναι ο ιός Petya
Οι παλαιότερες παραλλαγές της Petya, που ανέλυσε η ESET, εταιρεία ασφάλειας διαδικτύου, αποκάλυψαν ότι το κακόβουλο λογισμικό προκαλεί την επονομαζόμενη «μπλε οθόνη του θανάτου» μετά την επιτυχή διείσδυση των Windows, αναγκάζοντας έτσι το θύμα να επανεκκινήσει τον υπολογιστή του. Εάν ο χρήστης το κάνει αυτό, αντί να φορτώσει το λειτουργικό σύστημα θα εμφανιστεί στην οθόνη μήνυμα όπου θα του ζητούνται λύτρα. Σε παλαιότερες ανάλογες περιπτώσεις η αντιστοιχία ήταν 0.99 bitcoin / 431 δολάρια, κάτι που μπορεί να διαφέρει στη συγκεκριμένη περίπτωση.
Για να επιτευχθεί αυτό, το ιός τροποποιεί την κύρια εγγραφή εκκίνησης (MBR) για να εκτελέσει τον κώδικα του κακόβουλου λογισμικού αντί για τον κωδικό συστήματος. Στη συνέχεια κρυπτογραφεί τον κύριο πίνακα αρχείων (MFT). Στην ουσία, ο ιός λέει στο σύστημα πού βρίσκονται τα αρχεία και ποια είναι η κατευθυντήρια δομή του υπολογιστή.
Η ανάλυση της ESET από την παλαιότερη έκδοση της Petya έδειξε ότι δεν κρυπτογραφεί τα αρχεία αλλά μόνο τον πίνακα αρχείων, στους δίσκους του υπολογιστή. Αυτό επιτρέπει στους χρήστες να ανακτούν αρχεία με κάποια από τα διαθέσιμα εργαλεία αποκατάστασης (αν και αυτό μπορεί να οδηγήσει σε κάποιο κόστος).
Ωστόσο, η παραλλαγή του κακόβουλου λογισμικού Petya, που θεωρήθηκε στην αρχή ότι χρησιμοποιήθηκε στις τελευταίες επιθέσεις δεν έχει προσδιοριστεί πόση ζημιά μπορεί να κάνει αυτή τη φορά.
Та-дам! Секретаріат КМУ по ходу теж "обвалили". Мережа лежить. pic.twitter.com/B74jMsT0qs
UPDATE 15:00 CEST pic.twitter.com/L5pBYvNQd3
Ser ikke så godt ud. Nyt angreb med #ransomware #petyahttps://t.co/WCVZ8biY3E
Ukraine's Intl Boryspil Airport in Kyiv now apparently under cyberattack. Flights maybe delayed says acting director https://t.co/VSLUtnGSeY pic.twitter.com/pHeiwLf2rt