En ny malware udbrud

Kun gjort sidste måned, WannaCry overskrifter over hele verden efter det lykkedes at inficere mere end 200.000 computere i over 150 lande udnytter en sårbarhed i Windows. I de sidste par dage så vi en anden udbredt angreb, der først menes at være en ransomware udbrud. Det har en række forskellige navne, men er mest almindeligt benævnt Petya or NotPetya.
Another big malware attack - Petya or NotPetya Petya er en kendt ransomware, der har eksisteret i et stykke tid, men dens forfatter har nægtet deltagelse i denne nye angreb, dermed hvorfor det hedder NotPetya af nogle.  Ved første øjekast, det virker som den typiske ransomware, det krypterer filer og derefter beder om at ofre betale for at gendanne dem. Ved yderligere undersøgelse er virkeligheden helt anderledes. Forskere er kommet til den konklusion, at NotPetya ikke er faktisk ransomware men snarere visker malware. Hvad de foreslår, er at det ikke er beregnet til at tjene penge, er det meningen at ødelægge systemer.

Ukrainske selskab menes at have været ground zero

Forskere i forskellige sikkerhedsfirmaer mener, at en regnskabs softwareleverandør baseret i Ukraine, M.E.Doc, ved et uheld har spredt sig den malware, der førte til infektion af tusindvis af computere. Selv om virksomheden selv har benægtet dette, mener malware specialister, at selskabet blev hacket og deres servere blev kompromitteret. Hackere udgivet en skadelig softwareopdatering og de gæster, der har installeret det endte med at inficere deres computere med NotPetya. Malware derefter fik legitimationsoplysninger til lokale netværk og ved hjælp af visse værktøjer, det lykkedes at sprede sig til computere på samme netværk. Det er også blevet rapporteret, at udnytte anvendes af WannaCry, EternalBlue, sammen med Eternalromance bruges i dette angreb. Den gode nyhed er, at det ikke spredes via internettet, kun via LAN. Dette rejser dog spørgsmålet om, hvordan malwaren formået at sprede sig til andre lande, hvor de inficerede virksomheder ikke havde nogen kontakt med M.E.Doc.Petya or NotPetya

Hvordan virker NotPetya?

Ligesom den oprindelige Petya ransomware, NotPetya ikke kryptere filer ene efter den anden. Hvad sig gør er det genstarter computeren og krypterer den skrap drive master file table (MFT) og gør master boot record (MBR) ude af stand til at fungere ordentligt. Petya erstatter den krypterede MBR kopi med en skadelig kode og computeren er afskåret fra boot. I stedet, det viser løsesum notat. Dette er, hvor NotPetya afviger fra Petya. Comae teknologier forsker Matt Suiche, hedder det, at den oprindelige Petya ransomware krypterer disk på en måde, således at det kunne ombytte forandringer, hvis nødvendigt. NotPetya, på den anden side gør permanent og irreversibel skade til disken.

Specialister mener, at NotPetya ikke er beregnet til at tjene penge, er det meningen at ødelægge

Når hele processen er fuldført, vises den inficerede computer en løsesum notat. Meddelelsen hedder det, at filerne er blevet krypteret og at du skal betale 300 dollars værd af Bitcoin til den angivne adresse. Når offeret betaler løsesum, skulle de sende deres betalings-ID og personlig installation nøglen, der er fastsat i noten, til wowsmith123456@posteo.net. Den tyske e-mail-udbyder har imidlertid gjort beslutningen om at lukke denne konto, hvilket betyder, at du ikke kan komme i kontakt med hackerne. Selv hvis du betaler, vil kriminelle har ingen mulighed for at vide hvem betalte.

Dette er ikke den eneste grund til hvorfor du ikke skal betale. Yderligere undersøgelse af malwaren har afdækket, at folkene bag angrebet har ikke til hensigt at genoprette filer. Det er simpelthen ikke muligt. Den ovenfor nævnte installation nøglen ID er en afgørende del af dekrypteringsproces. Det gemmer oplysninger om offeret og krypteringsnøglen. Installations-ID’ET vises i løsesum noten er bare tilfældige data, hvilket tyder på, at NotPetya ikke var beregnet til at tjene penge.

Malware forskere er nu kategorisere NotPetya som ransomware, men som en vinduesvisker, der dybest set ødelægger dine filer med ingen måde at gendanne dem. Mens det faktisk ikke sletter alle filer på systemet, når dine filer er krypteret, er der ingen måde at dekryptere dem, der forlader dem ubrugelige. Og dette menes at være forsætlig. Hvilket betyder, at gå ind i dette, udviklerne bag infektionen ikke satsning hen til tjene penge.

Ukraine synes at have det største antal ofre. Det er rapporteret, at regeringen organisation administrerende Chernobyl katastrofen zone måtte skifte til manuel stråling overvågning fordi de var nødt til at lukke alle Windows-computere. Ukrainsk-store energiselskaber synes at har også påvirket. Se som Ukraine tog de hårdest ramte og det faktum, at alt startede der, det menes, at landet var det planlagte mål i hvad nogle mener at have været en nationalstat angreb.

Hvad du kunne have gjort for at forhindre katastrofale resultater?

Backup. Hvis WannaCry angreb har lært både individuelle brugere og business noget, er det betydningen af at have backup. Eftersom der er ingen måde af dekryptere filer, selvom du betaler, er det eneste, der kunne have sparet dig en masse problemer med filer gemt et andet sted. Vi lever i en verden hvor malware lurer på hvert hjørne på internettet, men folk er langtfra sikkerhed forsigtige. Dette er bevist hver dag, når brugere rapporterer, at deres filer er blevet krypteret, og der er ingen sikkerhedskopi.

Cyber trussel er reel. Uanset hvem de vigtigste mål i dette angreb var, det er vigtigt at forstå, at det er ikke noget, der ikke kan ske for dig, og du behøver derfor ikke at være forsigtige. Og indtil folk indse, og sørg for, at de gør alt de kan for at beskytte sig selv, det kun vil blive værre.

Referencer

Skriv et svar