Technologie » Internet
PetrWrap: przestępcy kradną kod oprogramowania ransomware od swoich kolegów
Zobacz więcej zdjęć » |
Takie „podkradanie” szkodliwych narzędzi może świadczyć o rosnącej konkurencji na podziemnym rynku oprogramowania ransomware.
Zamów artykuły sponsorowane na serwisie CentrumPR.pl w kilka minut, poprzez platformę Link Buildingu np.:
Przeczytaj również
- Luka w portalu społecznościowym Instagram wykorzystana przez cyberprzestępców
- Badanie Kaspersky Lab: ludzie są skłonni pozbyć się swoich zdjęć i innych danych za niedużą kwotę
- Technologia kontroli aplikacji firmy Kaspersky Lab wygrywa w testach AV-TEST
- Liczba roku: Każdego dnia Kaspersky Lab wykrywa 315 000 nowych szkodliwych plików
W maju 2016 r. badacze z Kaspersky Lab wykryli oprogramowanie ransomware Petya, które nie tylko szyfruje dane przechowywane na komputerze, ale również nadpisuje główny rekord rozruchowy (MDR) dysku twardego, przez co zainfekowane komputery nie są w stanie uruchomić systemu operacyjnego. Szkodnik ten jest przykładem modelu ransomware-jako-usługa, w którym twórcy oprogramowania wyłudzającego okup oferują swoje szkodniki „na żądanie”, rozprzestrzeniając je za pośrednictwem różnych dystrybutorów i zachowując dla siebie część zysków. Aby zabezpieczyć swój udział w zyskach, twórcy szkodnika Petya wyposażyli go w pewne mechanizmy ochrony, które uniemożliwiają nieautoryzowane wykorzystywanie jego kodu. Autorzy trojana PetrWrap, których działania wykryto po raz pierwszy na początku 2017 r., zdołali obejść te mechanizmy i znaleźli sposób na wykorzystywanie szkodnika Petya, nie płacąc jego autorom ani grosza.
Na razie nie wiadomo, w jaki sposób PetrWrap jest rozprzestrzeniany. Po infekcji uruchamia on szkodnika Petya, aby ten zaszyfrował dane ofiary, a następnie żąda okupu. Autorzy PetrWrapa wykorzystują własne prywatne i publiczne klucze szyfrowania zamiast tych dostępnych dla „powszechnych” wersji narzędzia Petya. To oznacza, że nie potrzebują prywatnego klucza od operatorów, aby odszyfrować maszynę ofiary, w przypadku zapłacenia przez nią okupu.
Wszystko wskazuje na to, że twórcy PetrWrapa nie wybrali szkodnika Petya do swoich działań przez przypadek: ta rodzina ransomware posiada obecnie raczej bezbłędny, trudny do złamania algorytm kryptograficzny — najistotniejszy komponent każdego szyfrującego oprogramowania ransomware. W przeszłości miały miejsce przypadki, gdy błędy w kryptografii pozwoliły badaczom bezpieczeństwa znaleźć sposób na odszyfrowanie plików i pokrzyżowanie wszystkich wysiłków, jakie przestępcy włożyli w swoje kampanie. Taka sytuacja miała miejsce z wcześniejszymi wersjami narzędzia Petya, jednak od tego czasu autorzy szkodnika naprawili niemal wszystkie błędy. W efekcie maszyna, która została zaatakowana przy użyciu najnowszych wersji narzędzia Petya, jest solidnie zaszyfrowana — co wyjaśnia, dlaczego przestępcy stojący za szkodnikiem PetrWrap zdecydowali się wykorzystać tę technologię w swoich działaniach. Co więcej, wyświetlany ofiarom PetrWrapa ekran blokady nie zawiera żadnych wzmianek dotyczących szkodnika Petya, co utrudnia ekspertom ds. bezpieczeństwa ocenę sytuacji i szybką identyfikację, z jaką rodziną oprogramowania ransomware mają do czynienia.
Obecnie można zauważyć, że cyberprzestępcy zaczynają się wzajemnie niszczyć. Z naszego punktu widzenia świadczy to o coraz większej konkurencji między gangami stosującymi ransomware. Teoretycznie jest to korzystne, ponieważ im więcej czasu cyberprzestępcy będą przeznaczali na zwalczanie i zwodzenie się nawzajem, tym mniej będą zorganizowani i tym mniej skuteczne będą ich kampanie. Niepokojące w tym wszystkim jest to, że PetrWrap jest wykorzystywany w atakach ukierunkowanych. Nie jest to pierwszy przypadek takich ataków z wykorzystaniem oprogramowania ransomware i — niestety — prawdopodobnie nie ostatni. Zachęcamy firmy, aby zwracały jak największą uwagę na ochronę swoich sieci przed tego rodzaju zagrożeniami, ponieważ ich konsekwencje mogą być katastrofalne — powiedział Anton Iwanow, starszy badacz ds. bezpieczeństwa, dział zwalczania oprogramowania ransomware, Kaspersky Lab.
Porady bezpieczeństwa
Aby zabezpieczyć zasoby firmowe przed takimi atakami, eksperci ds. bezpieczeństwa z Kaspersky Lab zalecają następujące działania:
· Regularne wykonywanie kopii zapasowych swoich danych w celu wykorzystania ich do przywrócenia oryginalnych plików w przypadku utracenia informacji lub dostępu do komputerów.
· Wykorzystywanie rozwiązania bezpieczeństwa zawierającego technologie wykrywania w oparciu o zachowanie aplikacji w systemie. Technologie te mogą wykrywać szkodliwe oprogramowanie, w tym ransomware, poprzez obserwowanie jego działania w zaatakowanym systemie. Takie podejście pozwala także na wykrywanie nowych i nieznanych dotąd próbek ransomware.
· Przeprowadzanie oceny bezpieczeństwa sieci (tj. audytu bezpieczeństwa, testów penetracyjnych, analizy luk w zabezpieczeniach) w celu zidentyfikowania i usunięcia wszelkich błędów w zabezpieczeniach.
· Przegląd polityk bezpieczeństwa zewnętrznych dostawców i partnerów, którzy mają dostęp do sieci firmy.
· Zamówienie zewnętrznej analizy zagrożeń: analiza zagrożeń przeprowadzona przez renomowanych producentów pomaga organizacjom przewidzieć przyszłe ataki.
· Szkolenie pracowników ze szczególnym naciskiem na personel operacyjny i inżynieryjny oraz ich świadomość w zakresie najnowszych zagrożeń i ataków.
· Zapewnienie ochrony wewnątrz sieci i poza nią. Właściwa strategia bezpieczeństwa powinna obejmować zasoby na wykrywanie ataków i reagowanie na nie, aby umożliwić zablokowanie ataku, zanim uderzy w obiekty o znaczeniu krytycznym.
Więcej informacji na temat szkodliwego programu PetrWrap znajduje się na stronie https://kas.pr/5LvD.
Na stronie NoRansom.kaspersky.com dostępne są narzędzia opracowane przez Kaspersky Lab w celu zapewnienia pomocy ofiarom oprogramowania ransomware.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.
Komentarze (0)