Ataki WannaCry i NotPetya

Atak WannaCry i NotPetya – seria cyberataków wykonanych za pomocą oprogramowania wymuszającego okup, zwanego ransomware, która dotknęła kilkanaście krajów, przeprowadzona w 2017 roku.

Exploit EternalBlue[edytuj | edytuj kod]

Złośliwe oprogramowanie wykorzystujące exploit (program mający na celu wykorzystanie błędów w oprogramowaniu)^[1] o nazwie „EternalBlue” zostało opracowane przez amerykańską agencję bezpieczeństwa (NSA). Zostało ono wykorzystane przez grupę hakerów zwaną Shadow Brokers (TB). Udostępniła ona publicznie luki, które były ukierunkowane na zapory korporacyjne, oprogramowanie antywirusowe i produkty Microsoft.

EternalBlue wykorzystał lukę w protokole Microsoft Server Message Block 1.0 (SMBv1), i dzięki niej zyskał dostęp do zdalnego wykonania dostarczonego kodu na komputerze ofiary (użycie Double Pulsar, czyli tak zwanego backdoor). DublePulsar zapewnił cyberprzestępcom wysoką kontrolę nad systemem komputerowym. Backdoor używa trzech poleceń: ping, kill i exec.

Atak WannaCry[edytuj | edytuj kod]

Osobny artykuł: WannaCry.

Atak miał miejsce w połowie maja 2017 roku. Celem ataku były hosty oparte na MS Windows. Atak żądał okupu w zamian za możliwość odszyfrowania plików. Przy pomocy exploita EternalBlue zostało zainfekowanych około 230 tysięcy hostów w 150 krajach^[2]. WannaCry udało się przeprowadzić na dużej ilości komputerów, ponieważ wiele osób nie instalowało poprawek w oprogramowaniach. Dla jednych to czynność uciążliwa, inni nie są wystarczająco świadomi takiej konieczności^[3].

Luka w systemie została usunięta przez łatkę MS17-010^[2].

Przebieg infekcji[edytuj | edytuj kod]

Zainfekowane komputery dostawały komunikat z informacją o przeprowadzonym ataku^[4].

Plikom po infekcji zostało nadane rozszerzenie .WNCRY. By przywrócić normalny dostęp do danych, należy wpłacić około 300 dolarów (w bitcoinach) za każdą zainfekowaną stację. Hakerzy zastosowali tutaj socjotechnikę polegającą na zastraszeniu: cena miała dwukrotnie wzrosnąć po trzech dobach, a po upływie tygodnia odzyskanie danych stawało się niemożliwe^[5].

Hakerzy w komunikacie informują swoje ofiary w jaki sposób mają dokonać płatności – za pomocą programu Bitcoin oraz podają adres portfela, na który mają wykonać transfer środków pieniężnych. Sprawcy podali trzy różne adresy dla portfeli.

Ofiary ataku WannaCry[edytuj | edytuj kod]

W ataku ucierpiało kilka większych firm oraz instytucje jak brytyjska służba zdrowia, rosyjskie banki i koleje państwowe oraz 1000 komputerów w ministerstwie spraw wewnętrznych, firma EMERCOM oraz MeganFon. indyjskie linie lotnicze oraz włoskie uniwersytety. Infekcja dosięgła także firmy: Nissan, Telefonica, FedEx, Deutsche Bahn^[3].

Do 17 maja hakerzy otrzymali ponad 79 tysięcy USD.

Atak NotPetya[edytuj | edytuj kod]

Osobny artykuł: Atak NotPetya.

NotPetya pojawił się miesiąc po serii ataków WannaCry i uderzył w sektor związany z infrastrukturą krytyczną. Atak miał miejsce pod koniec czerwca 2017 roku. Krajem najbardziej dotkniętym jego działaniem była Ukraina, gdzie zostały zaatakowane najważniejsze elementy infrastruktury krytycznej (m.in. lotnisko w Boryspolu)^[6]. Według analizy przeprowadzonej przez firmę Eset 80% wszystkich infekcji było skierowanych na Ukrainę.

NotPetya działał za pomocą oprogramowania stworzonego do celów księgowości na Ukrainie. Incydent wykorzystał M.E.Doc, który podczas startu pobierał automatycznie uaktualnianie serwera upd.me-doc.ua^[7].

Podczas zakończenia szyfrowania Master File Table (MFT – umożliwia dostęp do plików na komputerze) wyświetlane jest żądanie okupu. Jak się później okazało, backdoor był obecny w systemie aktualizacji już od kwietnia. NotPetya została rozpowszechniona poprzez wykradzenie exploitów z NSA takich jak: Eternalblue i Eternalromacne, Doublepulsar (podobnie jak WannaCry)^[7].

Przebieg infekcji[edytuj | edytuj kod]

Ataki NotPetya od WannaCry różni zmodyfikowana procedura szyfrowania. O ile WannaCry jest typowym ransomware, to NotPetya nie dawała gwarancji odzyskania danych, po opłaceniu żądanego okupu w Bitcoinach. Złośliwe oprogramowanie zostało stworzone tak, by nie mogło przywrócić utraconych zmian.

NotPetya sparaliżowała gospodarkę na Ukrainie. Zaatakowany został nawet komputer wicepremiera Ukrainy, Pawła Rozenko.

Wykradzione informacje były przesyłane w żądaniu jako ciasteczka.

Ofiary ataku NotPetya[edytuj | edytuj kod]

W Polsce pierwsze ataki zostały odnotowane około godziny 13. Problem dotknął sektora logistycznego oraz spółki usługowo-handlowe.

Lista zaatakowanych przedsiębiorstw w Polsce: Firma Raben, InterCars, TNT (Katowice), Saint-Gobain (Kronospan), Modelez (Wrocław)^[8].

Zaatakowane firmy międzynarodowe:

Maersk (duńska firma logistyczna)
TRK „Liuks” (koncern mediowy)
Kyivenerho (operator sieci energetycznych)
Ukrenerho (krajowy operator sieci energetycznych)
Naftohaz (największa spółka paliwowa)
Ukrposzta (firma pocztowa)
Ukrtelekom (operator sieci telefonicznych)
Charnobyl (systemy monitorowania poziomu promieniowania)
Kyivstar (operator sieci komórkowych)
Vodafone (operator sieci komórkowych)
Rosnieft (rosyjska firma naftowa)
WPP (brytyjska agencja reklamowa)
Beiersdorf (niemiecka firma higieny osobistej)
Reckitt Benckiser (brytyjska firma dóbr konsumpcyjnych)
Heritage Valley Health System (amerykański operator szpitala)^[9]

Maersk oszacował straty na około 200–300 mln USD.

Podczas ataku został odłączony system monitorowania promieniowania w ukraińskiej elektrowni w Czarnobylu.

W ocenie Białego Domu wartość szkód, jaką przyniosła infekcja szacowana jest na 10 miliardów dolarów^[10].

Przypisy[edytuj | edytuj kod]

↑ ABC Cyberbezpieczeństwa: E jak exploit [online], Bitdefender [dostęp 2020-04-23] (pol.).
↑ ^a ^b SECURE – Konferencja na temat bezpieczeństwa teleinformatycznego [online], secure2018.secure.edu.pl [dostęp 2020-07-25] (pol.).
↑ ^a ^b WannaCry Ransomware [online], CERT Polska [dostęp 2020-04-23] (pol.).
↑ Masowa, niezwykle skuteczna kampania ransomware wyłącza całe firmy [online], Zaufana Trzecia Strona [dostęp 2020-04-23] (pol.).
↑ Masowa, niezwykle skuteczna kampania ransomware wyłącza całe firmy [online], Zaufana Trzecia Strona [dostęp 2020-04-22] (pol.).
↑ WannaCry i Petya/Not Petya. Lekcja na przyszłość: Potrzebujemy cybernetycznego centrum epidemiologii [ANALIZA] [online], CyberDefence24 [dostęp 2020-04-23] .
↑ ^a ^b „Petya/NotPetya – analiza tajemniczego malware’u który zaatakował Ukrainę” (SCS 2017) [online], CyberDefence24 [dostęp 2020-04-23] (pol.).
↑ KrzysztofK. Majdan KrzysztofK., 28 Cze 17 12:38, 2358, Hakerzy wywołali chaos na Ukrainie. Jak doszło do ataku ransomware? [online], Business Insider, 28 czerwca 2017 [dostęp 2020-04-22] (pol.).
↑ » [AKTUALIZACJA #10] Kolejny groźny globalny atak: ransomware Petya (NotPetya). Ofiary także w Polsce. Dotyczy również zaktualizowanych Windowsów! [online], Niebezpiecznik.pl [dostęp 2020-04-23] .
↑ WannaCry i Petya/Not Petya. Lekcja na przyszłość: Potrzebujemy cybernetycznego centrum epidemiologii [ANALIZA] [online], CyberDefence24 [dostęp 2020-04-22] .

[1] ABC Cyberbezpieczeństwa: E jak exploit [online], Bitdefender [dostęp 2020-04-23] (pol.).

[secure2018-2] SECURE – Konferencja na temat bezpieczeństwa teleinformatycznego [online], secure2018.secure.edu.pl [dostęp 2020-07-25] (pol.).

[autonazwa1-3] WannaCry Ransomware [online], CERT Polska [dostęp 2020-04-23] (pol.).

[4] Masowa, niezwykle skuteczna kampania ransomware wyłącza całe firmy [online], Zaufana Trzecia Strona [dostęp 2020-04-23] (pol.).

[5] Masowa, niezwykle skuteczna kampania ransomware wyłącza całe firmy [online], Zaufana Trzecia Strona [dostęp 2020-04-22] (pol.).

[6] WannaCry i Petya/Not Petya. Lekcja na przyszłość: Potrzebujemy cybernetycznego centrum epidemiologii [ANALIZA] [online], CyberDefence24 [dostęp 2020-04-23] .

[cyberdefence24-7] „Petya/NotPetya – analiza tajemniczego malware’u który zaatakował Ukrainę” (SCS 2017) [online], CyberDefence24 [dostęp 2020-04-23] (pol.).

[8] KrzysztofK. Majdan KrzysztofK., 28 Cze 17 12:38, 2358, Hakerzy wywołali chaos na Ukrainie. Jak doszło do ataku ransomware? [online], Business Insider, 28 czerwca 2017 [dostęp 2020-04-22] (pol.).

[9] » [AKTUALIZACJA #10] Kolejny groźny globalny atak: ransomware Petya (NotPetya). Ofiary także w Polsce. Dotyczy również zaktualizowanych Windowsów! [online], Niebezpiecznik.pl [dostęp 2020-04-23] .

[10] WannaCry i Petya/Not Petya. Lekcja na przyszłość: Potrzebujemy cybernetycznego centrum epidemiologii [ANALIZA] [online], CyberDefence24 [dostęp 2020-04-22] .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]