- PVSM.RU - https://www.pvsm.ru -

Шифровальщик, которому не нужны деньги

Возвращение Petya-подобного шифровальщика уже во всю анализируют специалисты по ИБ. Среди первой волны экспертных оценок стоит выделит мнение [1] о том, что основная задача (в рамках данной атаки) могла заключаться совсем не в вымогательстве денежных средств, а в повреждении ИТ-систем.

Шифровальщик, которому не нужны деньги - 1 [2]/ фото Adam Foster [3] CC [4]

Такую оценку дают [5] независимые эксперты и специалисты по ИБ, представляющие научное сообщество (например, Калифорнийский университет в Беркли).

Дело в том, что организация «сбора средств» оставляла желать лучшего. Каждой «жертве» шифровальщика был предоставлен одинаковый Bitcoin-адрес. Такой подход очень редко используют те, кто действительно хочет что-то получить — современные «шифровальщики-вымогатели» генерируют новый адрес для каждой «жертвы».

В качестве канала для коммуникации был предложен обыкновенный email-ящик, размещенный в Германии у местного провайдера Posteo. Как только атака набрала обороты, ящик закрыли. Таким образом, даже те, кто перевел денежные средства, не смогли получить «дешифратор».

С другой стороны, эксперты подчеркивают [6] многовекторный характер атаки и общую сложность «шифровальщика». С технологической точки зрения NotPetya выполнен на очень высоком уровне и использует EternalBlue и EternalRomance, эксплуатирующих уязвимость в Windows-реализации протокола SMB [7] (многие компании проигнорировали соответствующий патч [8]).

Пока мы готовили эту заметку, появились и другие экспертные мнения, которые подтвердили предположения коллег. Petya-2017 производит необратимое воздействие, что в корне отличается от поведения Petya-2016, который позволял сделать «откат» к изначальному состоянию.

Эксперты говорят [9] о том, что «маскировка» под «шифровальщика-вымогателя» могла быть применена для того, чтобы получить наиболее широкий охват в медиа по аналогии с WannaCry.

Материалы по теме на Хабре:

Дополнительное чтение — наши материалы:

Автор: ИТ-ГРАД

Источник [18]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/blog-kompanii-it-grad/259097

Ссылки в тексте:

[1] мнение: https://www.theguardian.com/technology/2017/jun/28/notpetya-ransomware-attack-ukraine-russia

[2] Image: https://habrahabr.ru/company/it-grad/blog/330582/

[3] Adam Foster: https://www.flickr.com/photos/twosevenoneonenineeightthreesevenatenzerosix/

[4] CC: https://creativecommons.org/licenses/by/2.0/

[5] дают: https://krebsonsecurity.com/2017/06/petya-ransomware-outbreak-goes-global/

[6] подчеркивают: https://twitter.com/kaspersky/status/879749175570817024

[7] SMB: https://ru.wikipedia.org/wiki/Server_Message_Block

[8] патч: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

[9] говорят: https://blog.comae.io/petya-2017-is-a-wiper-not-a-ransomware-9ea1d8961d3b

[10] Как победить вирус Petya: https://habrahabr.ru/company/pt/blog/331858/

[11] Технические подробности новой глобальной атаки: https://habrahabr.ru/company/drweb/blog/331878/

[12] Новая вирусная угроза для компаний России и Украины: https://habrahabr.ru/company/infosecurity/blog/331788/

[13] Украина подверглась самой крупной в истории кибератаке вирусом Petya: https://habrahabr.ru/post/331762/

[14] 100 практических материалов по безопасности, экономике и инструментарию IaaS: https://habrahabr.ru/company/it-grad/blog/331620/

[15] Как не стать жертвой и защититься от трояна-шифровальщика WannaCry: http://iaas-blog.it-grad.ru/%D0%BA%D0%B8%D0%B1%D0%B5%D1%80%D0%B0%D1%82%D0%B0%D0%BA%D0%B0-%D0%BC%D0%B8%D1%80%D0%BE%D0%B2%D0%BE%D0%B3%D0%BE-%D0%BC%D0%B0%D1%81%D1%88%D1%82%D0%B0%D0%B1%D0%B0-%D0%BA%D0%B0%D0%BA-%D0%BD%D0%B5-%D1%81%D1%82%D0%B0%D1%82%D1%8C-%D0%B6%D0%B5%D1%80%D1%82%D0%B2%D0%BE%D0%B9-%D0%B8-%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%B8%D1%82%D1%8C%D1%81%D1%8F-%D0%BE%D1%82-%D1%82%D1%80%D0%BE%D1%8F%D0%BD%D0%B0-%D1%88%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D0%BB%D1%8C%D1%89%D0%B8%D0%BA%D0%B0-wannacry

[16] Построение аттестуемых и защищенных инфраструктур на базе решений VMware: http://iaas-blog.it-grad.ru/%D0%BF%D0%BE%D1%81%D1%82%D1%80%D0%BE%D0%B5%D0%BD%D0%B8%D0%B5-%D0%B0%D1%82%D1%82%D0%B5%D1%81%D1%82%D1%83%D0%B5%D0%BC%D1%8B%D1%85-%D0%B8-%D0%B7%D0%B0%D1%89%D0%B8%D1%89%D0%B5%D0%BD%D0%BD%D1%8B%D1%85-%D0%B8%D0%BD%D1%84%D1%80%D0%B0%D1%81%D1%82%D1%80%D1%83%D0%BA%D1%82%D1%83%D1%80-%D0%BD%D0%B0-%D0%B1%D0%B0%D0%B7%D0%B5-%D1%80%D0%B5%D1%88%D0%B5%D0%BD%D0%B8%D0%B9-vmware

[17] На что обратить внимание при выборе услуги облачного PCI DSS хостинга: http://iaas-blog.it-grad.ru/%D0%BD%D0%B0-%D1%87%D1%82%D0%BE-%D0%BE%D0%B1%D1%80%D0%B0%D1%82%D0%B8%D1%82%D1%8C-%D0%B2%D0%BD%D0%B8%D0%BC%D0%B0%D0%BD%D0%B8%D0%B5-%D0%BF%D1%80%D0%B8-%D0%B2%D1%8B%D0%B1%D0%BE%D1%80%D0%B5-%D1%83%D1%81%D0%BB%D1%83%D0%B3%D0%B8-%D0%BE%D0%B1%D0%BB%D0%B0%D1%87%D0%BD%D0%BE%D0%B3%D0%BE-pci-dss-%D1%85%D0%BE%D1%81%D1%82%D0%B8%D0%BD%D0%B3%D0%B0

[18] Источник: https://habrahabr.ru/post/330582/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best