Οι αναλυτές της Kaspersky Lab και της ESET που ερευνούν το νέο κύμα επιθέσεων ransomware, επισημαίνουν ότι οι κυβερνοεγκληματίες έχουν ως στόχο τους εταιρείες σε όλο τον κόσμο. Από τα αρχικά συμπεράσματα της Kaspersky προκύπτει πως δεν είναι μία παραλλαγή του ransomware «Petya», όπως αναφέρθηκε αρχικά, αλλά ένας καινούργιος τύπος ransomware που δεν έχει εμφανιστεί ποτέ ξανά. Παρόλο που έχει κοινά στοιχεία με τον ιό «Petya», έχει τελείως διαφορετική λειτουργία και για το λόγο αυτό ονομάστηκε «ExPetr».
Τα δεδομένα τηλεμετρίας της εταιρείας, δείχνουν πως μέχρι τώρα έχουν πραγματοποιηθεί γύρω στις 2.000 επιθέσεις. Οικονομικές υπηρεσίες και άλλοι οργανισμοί στη Ρωσία και στην Ουκρανία είναι αυτοί που έχουν επηρεαστεί περισσότερο, ενώ έχουν σημειωθεί αρκετές επιθέσεις στην Πολωνία, την Ιταλία, το Ηνωμένο Βασίλειο, τη Γερμανία, τη Γαλλία, τις Ηνωμένες Πολιτείες και σε πολλές άλλες χώρες.
Από την πλευρά της ESET αναφέρεται ότι οι έρευνές της για το ransomware συνεχίζονται, ενώ μέχρι στιγμής έχουν μέχρι στιγμής έχουν εντοπιστεί χιλιάδες απόπειρες επίθεσης και σε μοναδικούς χρήστες, με την Ελλάδα να βρίσκεται μεταξύ των πρώτων 10 χωρών που έχουν καταγραφεί κρούσματα.
Συγκεκριμένα, η Ελλάδα βρίσκεται στην 5η θέση με το ποσοστό το μολυσμένων υπολογιστών να φτάνει στο 1,39%. Προηγούνται η Ουκρανία με 75,24%, η Γερμανία με 9,06%, η Πολωνία με 5,81% και η Σερβία με 2,87%.
Άμεση ήταν η κινητοποίηση της Europol, ενώ το υπουργείο Εσωτερικών των ΗΠΑ ανακοίνωσε ότι παρακολουθεί τις εξελίξεις και συνεργάζεται με τους εταίρους του στο εσωτερικό και το εξωτερικό, για να λυθεί το πρόβλημα.
Ο σύμβουλος του υπουργείου Εσωτερικών της Ουκρανίας, Αντόν Γκερασένκο ανέφερε ότι η νέα μαζική κυβερνοεπίθεση «είχε ως στόχο της την αποσταθεροποίηση», ενώ η γερμανική ομοσπονδιακή υπηρεσία ασφάλειας του κυβερνοχώρου (BSI), ανακοίνωσε ότι ορισμένες γερμανικές εταιρίες έπεσαν θύματα κακόβουλου λογισμικού που εξαπλώνεται ταχύτατα.
Ο πρόεδρος της ομοσπονδιακής υπηρεσίας Άρνε Σένμπομ, κάλεσε τις εταιρείες να αρνηθούν να καταβάλουν λύτρα στους κυβερνοπειρατές. Σύμφωνα με τον Σένμπομ, μία ενημέρωση ασφαλείας που διαθέτει η Microsoft θα μπορούσε να αποτρέψει τη «μόλυνση» από τους ιούς σε πολλές περιπτώσεις.
Ο Σένμπομ έδωσε τη λύση, αφήνοντας να εννοηθεί ότι υπάρχουν κωδικοί ασφαλείας τους οποίους θα πρέπει να προμηθευτούν οι εταιρείες.
Οι κυβερνοεπιθέσεις έπληξαν μεταξύ άλλων πετρελαϊκές εταιρείες και ρωσικές τράπεζες. Ωστόσο, σύμφωνα με δηλώσεις του εκπροσώπου Τύπου της Τράπεζας της Ρωσίας, δεν παρατηρήθηκαν δυσλειτουργίες στα συστήματα των τραπεζών και στα σημεία εξυπηρέτησης των πελατών.
Οι επιθέσεις έπληξαν εκτός από τις πετρελαικές εταιρείες Rosneft Basneft, τις εταιρείες Mars, Nivea, Mondelez Inetrnational (παράγει τη σοκολάτα alpen Gold).
Ο τρόπος δράσης του ιού
Ο ιός “κλειδώνει” τους υπολογιστές και εν συνεχεία ζητά λύτρα σε Bitcoin. Σύμφωνα με την εταιρεία “Group- IB” μεταδίδεται με τον ίδιο τρόπο που εξαπλώνεται ο ιός “WannaCry”.
Η τελευταία μεγάλη κυβερνοεπίθεση εναντίον ρωσικών εταιρειών και κρατικών οργανισμών, έγινε με τον ιό “WannCry” στις 12 Μαίου.
Η κυβερνοεπίθεση τότε είχε γίνει στο πλαίσιο μιας παγκόσμιας επιχείρησης αγνώστου ταυτότητας χάκερ, ο οποίος επιτέθηκε με τον ιό “WannaCry” σε υπολογιστές με λειτουργικά συστήματα Windows σε 74 χώρες. Σε όλο τον κόσμο πραγματοποιήθηκαν 45 χιλιάδες κυβερνοεπιθέσεις με τις περισσότερες απόπειρες επιθέσεων να καταγράφονται στη Ρωσία.
Τότε, από το κάθε θύμα της επίθεσης ζητούσαν 600 δολάρια σε Bitcoin. Oι χάκερ είχαν χρησιμοποιήσει ένα πρόγραμμα κατασκοπείας που χρησιμοποιεί η Υπηρεσία Εθνικής Ασφαλείας των ΗΠΑ. Βρετανοί ειδικοί είχαν ανακοινώσει ότι πίσω από τον WannaCry βρίσκονταν βορειοκορεάτες της διαβόητης ομάδας χάκερς “Lazarus”.
Πάντως, και οι δύο ιοί έχουν πολλές ομοιότητες. Εξαπλώθηκαν ταχύτατα και χτύπησαν υψηλούς στόχους, όπως πολυεθνικές εταιρείες.
Ωστόσο το χθεσινό χτύπημα ήταν πιο αποτελεσματικό, όπως επισημαίνουν οι ειδικοί, μολύνοντας δύο χιλιάδες στόχους, ανάμεσά τους ο ναυτιλιακός γίγαντας στη Δανία “Maersk”, η αμερικάνικη φαρμακευτική εταιρεία Merck και δεκάδες ιδιωτικούς και δημόσιους φορείς στην Ουκρανία.
Σύμφωνα με την Kaspersky, αυτή η επίθεση φαίνεται να είναι αρκετά πολύπλοκη αφού περιλαμβάνει διάφορους φορείς έκθεσης σε κίνδυνο.
Μπορούμε, αναφέρουν οι ειδικοί της εταιρείας, να επιβεβαιώσουμε πως χρησιμοποιούνται τροποποιημένα τα exploits “EternalBlue” και “EternalRomance” από τους εγκληματίες για τη διάδοση δεδομένων μέσα από εταιρικά δίκτυα.
Ειδικότερα, η Kaspersky Lab ανιχνεύει τις απειλές ως:
* UDS:DangerousObject.Multi.Generic
* Trojan-Ransom.Win32.ExPetr.a
* HEUR:Trojan-Ransom.Win32.ExPetr.gen
Επιπλέον, η μηχανή ανίχνευσης ύποπτης συμπεριφοράς SystemWatcher που διαθέτει η ίδια εταιρεία ασφαλείας, ανιχνεύει τις απειλές ως:
* PDM:Trojan.Win32.Generic
* PDM:Exploit.Win32.Generic
Στις περισσότερες περιπτώσεις μέχρι τώρα, η Kaspersky Lab προληπτικά ανίχνευε τον αρχικό φορέα μόλυνσης μέσα από τη μηχανή ανίχνευσης ύποπτης συμπεριφοράς System Watcher.
Η εταιρεία προσπάθησε να βελτιώσει την ανίχνευση ύποπτης συμπεριφοράς των anti-ransomware, ούτως ώστε να μπορέσει προληπτικά να εντοπίζει τις μελλοντικές παραλλαγές-εκδοχές του.
Σε κάθε περίπτωση, οι ειδικοί της Kaspersky συμβουλεύουν όλες τις εταιρείες να ενημερώσουν το λογισμικό των Windows. Οι χρήστες των Windows XP και Windows 7, μπορούν να προστατευτούν μόνο στην περίπτωση που κατεβάσουν το patch ασφαλείας MS17-010.
Επίσης, συμβουλεύουν όλους τους οργανισμούς να επιβεβαιώσουν ότι έχουν αντίγραφα, επικαιροποιημένα και σωστά. Σκοπός είναι ανά πάσα στιγμή να μπορούν να χρησιμοποιηθούν για την επαναφορά των πρωτότυπων αρχείων μετά από την απώλεια των δεδομένων.
Σε ό,τι αφορά ειδικά τους εταιρικούς πελάτες, οι βασικές συμβουλές της Kaspersky, είναι:
* Να ελέγχετε ότι όλοι οι μηχανισμοί προστασίας είναι ενεργοί, αλλά και πως τα στοιχεία KSN και System Watcher (που είναι ενεργά από την αρχή) δεν είναι απενεργοποιημένα.
* Ένα πρόσθετο μέτρο για εταιρικούς πελάτες, είναι η χρήση της εφαρμογής Privilege Control για την άρνηση οποιαδήποτε πρόσβασης (και συνεπώς δυνατότητα αλληλεπίδρασης ή εκτέλεσης) σε όλες τις ομάδες εφαρμογών των αρχείων με το όνομα “perfc.dat” και στο βοηθητικό πρόγραμμα PSexec (τμήμα της Sysinternals Suite).
* Να διαμορφώσετε και να ενεργοποιήσετε τη λειτουργεία Default Deny της εφαρμογής Startup Control, για να ενδυναμώσετε την προληπτική άμυνα ενάντια σε αυτή και άλλες επιθέσεις.
* Χρησιμοποιήστε την εφαρμογή AppLocker των Windows OS για να απενεργοποιήσετε την εκτέλεση από οποιοδήποτε φάκελο που έχει το όνομα «perfc.dat» όπως και το PSExec utility από τη Sysinternals Suite.