Badacze z Kaspersky Lab wykryli PetrWrap, nową rodzinę szkodliwego oprogramowania wykorzystującą w sposób nieautoryzowany narzędzie szyfrujące i żądające okupu (ransomware) o nazwie Petya. Takie „podkradanie” szkodliwych narzędzi może świadczyć o rosnącej konkurencji na podziemnym rynku oprogramowania ransomware. W maju 2016 r. badacze z Kaspersky Lab wykryli oprogramowanie ransomware Petya, które nie tylko szyfruje dane przechowywane
na komputerze, ale również nadpisuje główny rekord rozruchowy (MDR) dysku twardego, przez co zainfekowane komputery nie są w stanie uruchomić systemu operacyjnego. Szkodnik ten jest przykładem modelu ransomware-jako-usługa, w którym twórcy oprogramowania wyłudzającego okup oferują swoje szkodniki „na żądanie”, rozprzestrzeniając je za pośrednictwem różnych dystrybutorów i zachowując dla siebie część zysków. Aby zabezpieczyć swój udział w zyskach, twórcy szkodnika Petya wyposażyli go w pewne mechanizmy ochrony, które uniemożliwiają nieautoryzowane wykorzystywanie jego kodu. Autorzy trojana PetrWrap, których działania wykryto po raz pierwszy na początku 2017 r., zdołali obejść te mechanizmy i znaleźli sposób na wykorzystywanie szkodnika Petya, nie płacąc jego autorom ani grosza.
Na razie nie wiadomo, w jaki sposób PetrWrap jest rozprzestrzeniany. Po infekcji uruchamia on szkodnika Petya, aby ten zaszyfrował dane ofiary, a następnie żąda okupu. Autorzy PetrWrapa wykorzystują własne prywatne i publiczne klucze szyfrowania zamiast tych dostępnych dla „powszechnych” wersji narzędzia Petya. To oznacza, że nie potrzebują prywatnego klucza od operatorów, aby odszyfrować maszynę ofiary, w przypadku zapłacenia przez nią okupu.
Wszystko wskazuje na to, że twórcy PetrWrapa nie wybrali szkodnika Petya do swoich działań przez przypadek: ta rodzina ransomware posiada obecnie raczej bezbłędny, trudny do złamania algorytm kryptograficzny — najistotniejszy komponent każdego szyfrującego oprogramowania ransomware. W przeszłości miały miejsce przypadki, gdy błędy w kryptografii pozwoliły badaczom bezpieczeństwa znaleźć sposób na odszyfrowanie plików i pokrzyżowanie wszystkich wysiłków, jakie przestępcy włożyli w swoje kampanie. Taka sytuacja miała miejsce z wcześniejszymi wersjami narzędzia Petya, jednak od tego czasu autorzy szkodnika naprawili niemal wszystkie błędy. W efekcie maszyna, która została zaatakowana przy użyciu najnowszych wersji narzędzia Petya, jest solidnie zaszyfrowana — co wyjaśnia, dlaczego przestępcy stojący za szkodnikiem PetrWrap zdecydowali się wykorzystać tę technologię w swoich działaniach. Co więcej, wyświetlany ofiarom PetrWrapa ekran blokady nie zawiera żadnych wzmianek dotyczących szkodnika Petya, co utrudnia ekspertom ds. bezpieczeństwa ocenę sytuacji i szybką identyfikację, z jaką rodziną oprogramowania ransomware mają do czynienia.
– Obecnie można zauważyć, że cyberprzestępcy zaczynają się wzajemnie niszczyć. Z naszego punktu widzenia świadczy to o coraz większej konkurencji między gangami stosującymi ransomware. Teoretycznie jest to korzystne, ponieważ im więcej czasu cyberprzestępcy będą przeznaczali na zwalczanie i zwodzenie się nawzajem, tym mniej będą zorganizowani i tym mniej skuteczne będą ich kampanie. Niepokojące w tym wszystkim jest to, że PetrWrap jest wykorzystywany w atakach ukierunkowanych. Nie jest to pierwszy przypadek takich ataków z wykorzystaniem oprogramowania ransomware i — niestety — prawdopodobnie nie ostatni. Zachęcamy firmy, aby zwracały jak największą uwagę na ochronę swoich sieci przed tego rodzaju zagrożeniami, ponieważ ich konsekwencje mogą być katastrofalne — powiedział Anton Iwanow, starszy badacz ds. bezpieczeństwa, dział zwalczania oprogramowania ransomware, Kaspersky Lab.
Porady bezpieczeństwa
Aby zabezpieczyć zasoby firmowe przed takimi atakami, eksperci ds. bezpieczeństwa z Kaspersky Lab zalecają następujące działania:
- Regularne wykonywanie kopii zapasowych swoich danych w celu wykorzystania ich do przywrócenia oryginalnych plików w przypadku utracenia informacji lub dostępu do komputerów.
- Wykorzystywanie rozwiązania bezpieczeństwa zawierającego technologie wykrywania w oparciu o zachowanie aplikacji w systemie. Technologie te mogą wykrywać szkodliwe oprogramowanie, w tym ransomware, poprzez obserwowanie jego działania w zaatakowanym systemie. Takie podejście pozwala także na wykrywanie nowych i nieznanych dotąd próbek ransomware.
- Przeprowadzanie oceny bezpieczeństwa sieci (tj. audytu bezpieczeństwa, testów penetracyjnych, analizy luk w zabezpieczeniach) w celu zidentyfikowania i usunięcia wszelkich błędów w zabezpieczeniach.
- Przegląd polityk bezpieczeństwa zewnętrznych dostawców i partnerów, którzy mają dostęp do sieci firmy.
- Zamówienie zewnętrznej analizy zagrożeń: analiza zagrożeń przeprowadzona przez renomowanych producentów pomaga organizacjom przewidzieć przyszłe ataki.
- Szkolenie pracowników ze szczególnym naciskiem na personel operacyjny i inżynieryjny oraz ich świadomość w zakresie najnowszych zagrożeń i ataków.
- Zapewnienie ochrony wewnątrz sieci i poza nią. Właściwa strategia bezpieczeństwa powinna obejmować zasoby na wykrywanie ataków i reagowanie na nie, aby umożliwić zablokowanie ataku, zanim uderzy w obiekty o znaczeniu krytycznym.