Ha azt mondtuk, a májusi WannaCry agresszívan terjedt és nagyon sok gépet fertőzött meg, érdemes ezt újragondolni a kedden berobbant legújabb fertőzéshullám fényében. A Windows rendszerekre specializálódott zsarolóvírus elődjével korábban már találkoztunk, Petyának hívják, és arról lehet emlékezetes, hogy a teljes merevlemezt titkosította.
[+]
A tegnap felbukkant variáns elsőre kísértetiesen hasonlít, de mégsem Petya, ezért a biztonsági szakemberek egy része el is kezdte NotPetya néven emlegetni. A programot egyértelműen nem pénzszerzési, hanem rombolási céllal hozták létre, szem előtt tartva azt is, hogy minél több gépet fertőzzön meg, a lehető leggyorsabban.
A hackerek nem spórolták ki az NSA-tól ellopott, aztán nyilvánosságra hozott eszköztárának bevetését sem: az EternalBlue és EternalRomance SMB exploitok mellett azonban számos más trükköt bevetettek a hatékonyság növelésére.
A Microsoft a WannaCry járvány ellenszereként olyan operációs rendszereihez is adott ki biztonsági frissítést, melyeknek már rég lejárt az életciklusuk. Ennek ellenére maradtak sebezhető gépek, ezek az elsődleges célpontjai a vírusnak.
Ha már bejutott a hálózatra, a nyílt forráskódú Minikatz egy átalakított változatával adminisztrátori jogosultságokat szerez a számítógép memóriájából, majd a PsExec és a WMIC segítségével a hálózat többi eszközét is megfertőzi. Tehát elég egyetlen gépnek védtelennek lennie, a többi is eleshet.
A fertőzés Ukrajnából, egy preparált könyvelési szoftver frissítéssel indult, illetve a hagyományosnak mondható adathalász e-mailek is megjelentek. NotPetya annyiban mindenképp hasonlít Petyára, hogy amint a terjeszkedéssel végzett, beírja magát az MBR-be, miközben titkosítja a merevlemezt. A feloldókulcsért 300 dollárnyi bitcoint kér, de mivel a kulcsküldő e-mail címet letiltotta a Posteo (szolgáltató), kár fizetni.
Кіберполіцією попередньо установлено, що перші вірусні атаки на українські компанії могли виникнути через вразливості ПЗ M.E.doc. pic.twitter.com/MXV7ODtaoM
— Cyberpolice Ukraine (@CyberpoliceUA) 2017. június 27.
Az ukrán hatóságok tájékoztatása alapján a pénzügyi szoftvereket gyártó MeDoc korábban elismerte, hogy a szervereit megtámadták, viszont állítják, június 22. volt az utolsó időpont, amikor frissítést küldtek az ügyfeleknek. Ehhez képest az upd.me-doc-com.ua szerverről 333KB-os letöltéseket regisztráltak, a csomagban pedig egy NotPetyával fertőzött rundll32.exe landolt a gépeken.
A szakértők vizsgálatai alapján a támadás a következőképpen néz ki: a fertőzést követő 10-60 percen belül a shutdown.exe újraindítja a gépet, amely ekkor lemezellenőrzésnek (CHKDSK) tűnő folyamatba kezd. Valójában ekkor történik meg a merevlemez titkosítása, ezért érdemes azonnal áramtalanítani, hogy minél kisebb károkat okozhasson a vírus. A titkosítás egyébként 128 bites AES, majd 2048 bites RSA kulcsokkal megy végbe.
[+]
A 10-60 perc alatt sem tétlenkedik a zsarolóvírus, az SMB protokollon keresztül sebezhető, nyitott szolgáltatásokat kutat, illetve átnyálazza a számítógép memóriáját fiókadatok után kutatva, ha sikerrel járt, akkor gyorsan továbbterjed a fent már leírt eszközök segítségével. A módosított EternalBlue minden bizonnyal csak amolyan biztonsági fertőzési módként került be a programba, elsődlegesen a PsExec és a WMIC a kiszemelt megoldás.
Érdemes még megjegyezni, hogy a zsarolóvírus mögött álló bűnözők nem bíztak semmit a véletlenre: kedden robbantották az első petárdákat, amelyek - ha esetleg nem sikerült volna ennyire jól - a mai, ukrán nemzeti ünnepnapon csöndben tehették volna a dolgukat. Nem kellett azonban várni, világszerte egyre több országból jelentik NotPetya jelenlétét. A fentiek alapján jól látszik, hogy ehhez képest a WannaCry gyerekjáték volt csupán.
