Groźny atak ransomware GoldenEye / Petya na skalę światową

 

Klienci korzystający z oprogramowania marki Bitdefender są chronieni.

>Pobierz darmowe narzędzie do rozpoznawania zagrożenia ransomware<

 

Na bieżąco aktualizujemy nowe informacje:

 

Aktualizacja 28.06 (godz. 15.30)

Nasza wewnętrzne badania  wskazują, że niektóre infekcje #GoldenEye zostały wywołane przez zhakowaną aktualizację oprogramowania do obsługi księgowości  MeDOC. Wielu naszych klientów na Ukrainie, gdzie nasze rozwiązania przechwyciły atak, wyraźnie pokazuje, że explorer.exe uruchamia ezvit.exe, które z kolei wykonują rundll32.exe z ransomware DLL.

Możemy więc potwierdzić, że  wektorem infekcji jest aktualizacja MeDOC . Ukraina stała się pierwszą ofiarą ataku, i to właśnie stamtąd infekcja rozprzestrzeniła się przez sieci VPN do centrali firm i ich biur przedstawicielskich.

Zalecamy wszystkim firmom, które mają biura na Ukrainie, aby na bieżąco monitorowały połączenia VPN z innymi oddziałami.

Oprócz aktualizacji MeDOC, istnieją inne wektory infekcji, które sprawdzamy na bieżąco.

 

Aktualizacja 28.06 (godz. 07:00)

Coraz więcej dowodów wskazuje na to, że kampania #GoldenEye / #Petya ransomware nie miała na celu zysków majątkowych, a raczej zniszczenie danych

  • Wybór zwykłego, zawodnego dostawcy poczty elektronicznej, która miała pełnić rolę kanału do komunikacji, jest pod względem prowadzenia działalności gospodarczej chybioną decyzją.
  • Brak automatyzacji procesu płatności i odzyskiwania klucza sprawia, że atakujący nie są w stanie dotrzymać obietnicy.
  • Potwierdzenie płatności jest kompletnie niefunkcjonalne: użytkownik musi ręcznie wpisać bardzo długi, złożony z małych i wielkich liter ‘’personalny klucz instalacyjny’’ + „portfel” , który jak łatwo się domyśleć – jest on bardzo podatny na literówki

 

Aktualizacja 28.06 (godz. 05:00)

Adres poczty elektronicznej wykorzystywanej przez podmioty zagrażające do otrzymywania  potwierdzeń płatności został zawieszony przez Posteo. Oznacza to, że wszystkie płatności dokonywane nocą nie będą mogły zostać zweryfikowane, a zatem na pewno nie otrzymasz klucza odszyfrowywania.  Nie, że kiedykolwiek doradziliśmy inaczej, ale jeśli planujesz zapłacić okup – natychmiast o tym zapomnij. I tak stracisz dane,  a dodatkowo przyczynisz się jeszcze do finansowania nowego złośliwego oprogramowania.  Po zawieszeniu adresu email dokonano jeszcze 15 płatności. Zawartość  portfela  wynosi obecnie 3.64053686 BTC z 40 płatności,  a ich wartość netto to 9000 USD.

 

Aktualizacja 27.06 (godz. 20:30)

Kilka głosów w branży spekulowało, że pierwotny wektor ataku stanowiła kompromisowa aktualizacja narzędzia do zarządzania rachunkowością M.E. Doc, wykorzystywanego przez wszystkie dotknięte zagrożeniem  firmy. Potwierdziliśmy też naruszenia w firmach, które nie korzystały ze wspomnianego oprogramowania. Ponadto w artykule na profilu Fabebook firmy sprzedawca zaprzecza zarzutom [ukraiński].

 

Aktualizacja 27.06 (godz. 19:18)

Jak dotąd, kilka firm potwierdziło, że padły ofiarą GoldenEye / Petya ransomware. Są wśród nich system monitorowania promieniowania elektrowni  w Czarnobylu, kancelaria DLA Piper, firma farmaceutyczna Merck, banki, lotnisko, metro w Kijowie, duńska firma zajmująca się żeglugą i energią Maersk, brytyjski reklamodawca WPP i rosyjska firma przemysłu naftowego Rosnoft. Ataki rozprzestrzeniły się na Ukrainie,  dotykając Ukrenergo –  państwowego dystrybutora energii,  i kilka krajowych banków.

 

Aktualizacja 27.06 (godz. 17:45)

Operatorzy GoldenEye / Petya otrzymali już 13 płatności w ciągu niespełna dwóch godzin. Wynoszą one 3500 USD w cyfrowej walucie.

 

Aktualizacja 27.06 (godz. 17:30)

Bitdefender Labs potwierdza, że ransomware GoldenEye / Petya wykorzystuje exploity EternalBlue do rozprzestrzeniania się z jednego komputera na inny. Inne exploity są również wykorzystywane do rozprzestrzeniania. Szczegóły wkrótce.

 

Tło historii:

Bitdefender zidentyfikował groźny atak ransomware, który osiąga obecnie zasięg ogólnoświatowy. Wstępne informacje pokazują, że próbka złośliwego oprogramowania odpowiedzialna za zakażenie jest prawie identycznym klonem rodziny ransomware GoldenEye. W chwili pisania tej wiadomości,  nie ma informacji na temat sposobu rozmnażania się tego zagrożenia, ale zakładamy, że jest on przenoszony przez zainfekowany komponent.

W przeciwieństwie do większości ramsonware, nowy wariant GoldenEye ma dwie warstwy szyfrowania: szyfrowanie plików docelowych na komputerze oraz szyfrowanie struktur NTFS. To podejście uniemożliwia ofiarom uruchamianie komputerów w środowisku systemu operacyjnego  i odzyskanie zapisanych informacji lub próbek.

Podobnie jak Petya, GoldenEye szyfruje cały dysk twardy i odmawia użytkownikowi dostępu do komputera. Jednak w przeciwieństwie do Petyi, nie ma obejścia, aby pomóc ofiarom w odzyskaniu kluczy deszyfrowania z komputera.

Co więcej,  po zakończeniu procesu szyfrowania,  ransomware ma specjalistyczną komendę, która powoduje awarię komputera prowadzącą do ponownego uruchomienia, co czyni komputer bezużytecznym do momentu zapłaty okupu w wysokości 300 USD.

 

Bitdefender blokuje aktualnie znane próbki nowego wariantu GoldenEye. Jeśli korzystasz z rozwiązania antywirusowego Bitdefender dla klientów indywidualnych lub biznesowych,  Twoje komputery nie są zagrożone.

 

>>Co to jest ransomware i jak chroni przed nim Bitdefender? Dowiedz się więcej o tym zagrożeniu na bitdefender.pl<<

 

Bitdefender GravityZone posiada wielowarstwową zaawansowaną architekturę do wykrywania, zwalczania i eliminowania zagrożeń, która jest dostępna z poziomu jednej wygodnej platformy.

 

Bitdefender promocja GravityZone Bitdefender promocja Family Pack

 

Informację można dowolnie wykorzystać podając markę Bitdefender jako źródło.

Marken Systemy Antywirusowe – oficjalny przedstawiciel marki Bitdefender w Polsce.

 

 

Źródło: Bitdefender Labs

Comments

comments

Pin It