Эпидемия нового шифровальшика, похожего на Petya, обещает быть хуже, чем Wannacry
Злоумышленники, стоящие за вчерашней глобальной атакой трояна-шифровальщика, распространяют зловред с использованием эксплойта EternalBlue, опубликованного среди утекших из АНБ файлов, и двух утилит для Windows. Этот набор позволяет зловреду горизонтально перемещаться по локальной сети. По уровню сложности эта атака вскоре может затмить WannaCry, несмотря на все его масштабы.
В отличие от WannaCry, в новом образце шифровальщика нет «рубильника», и он прокладывает себе путь через корпоративные сети и рабочие станции, вынуждая сотрудников в некоторых компаниях отключать компьютеры от Интернета
Атака, начавшаяся вчера утром в России и Украине, и затем перекинувшаяся в Европу, затронула некоторые важные отрасли промышленности и сервисы, в том числе станцию, измеряющую уровень радиации на Чернобыльской АЭС, и фармацевтического гиганта Merck and Co. В число пострадавших также вошел датский логистический гигант Maersk, аэропорт Борисполь в Киеве и десятки других жертв, в том числе SaintGobain, крупная промышленная организация во Франции, а также российская нефтяная компания Роснефть и металлургический гигант Евраз.
Ситуацию усугубило то, что немецкий почтовый сервис Posteo, который обслуживает адрес электронной почты wowsmith123456@posteo[.]net, указанный в уведомлении от злоумышленников с требованием выкупа, отключил этот аккаунт. Пострадавшим советуют не платить выкуп, поскольку мошенники не смогут прислать ключ для расшифровки, даже если перевести им требуемые $300 в биткоин-эквиваленте.
Шифровальщик ведет себя похоже на то, как действовал зловред годичной давности по имени Petya, который шифровал главную файловую таблицу (MFT) на жестком диске компьютера, а заодно и отдельные типы файлов. Мнения экспертов разделились: они утверждают, что это «Петя», вариант «Пети» или вообще отдельный вид, использовавший часть идей из «Пети», но пострадавшим по всему миру от этого не легче.
«Это сложная атака с несколькими способами распространения» – сообщает «Лаборатория Касперского в своем заявлении. Компания опубликовала пост с собственным анализом атаки вчера вечером.
Серьезность проблемы возрастает из-за того, что даже серверы с установленными патчами, закрывающими уязвимость в SMBv1, могут быть атакованы, если в локальной сети есть хотя бы один сервер на Windows, уязвимый к атаке, от которой защищал мартовский патч MS17-010.
Злоумышленники разработали способ заражать пропатченные компьютеры в локальной сети с использованием утилиты PSEXEC из пакета Windows SysInternals. Некоторые исследователи также описывают использование интерфейса Windows Management Instrumentation (WMIC) для локального распространения зловреда. Организациям советуют заблокировать возможность использовать обе утилиты и установить патч MS17-010, если они этого до сих пор не сделали.
«Если я запускаю атаку на своем компьютере и я при этом являюсь администратором домена, то она использует мою учетную запись для того, чтобы авторизоваться на остальных компьютерах в сети, – говорит Мэтью Хики (Matthew Hickey), основатель My Hacker House. – В корпоративной среде, если зловред добирается до одного пользователя с высоким уровнем доступа, одного доменного администратора, он распространится по всей сети, в том числе и на пропатченные компьютеры.»
В отличие от WannaCry, в этой атаке не предусмотрен компонент, пытающийся заражать другие машины через Интернет, – этот зловред ограничивается тем, что сканирует локальные подсети в поисках новых компьютеров, которые он мог бы инфицировать.
«Я думаю, что это хуже, чем WannaCry, хотя бы только из-за этого», – считает Джейк Вильямс (Jake Williams), основатель Rendition Infosec. Он утверждает, что использованная в зловреде версия EternalBlue была «почищена», и что это не прямое копирование того эксплойта, который был опубликован в утечке от ShadowBrokers в апреле. Как только сервер оказывается скомпрометирован при помощи EternalBlue, атакующий получает возможность проникнуть в систему как полноценный пользователь.
«Вы, по сути, можете делать что угодно на этом компьютере», – говорит Вильямс, – «Дальше вы можете взять учетную запись локального администратора и использовать PSEXEC, чтобы зайти на другой компьютер, если для него также работает эта учетная запись (которая, скорее всего, настроена администратором). Если данные совпадают – вы сможете зайти. Дальше атака может двигаться по сети, заражая в том числе пропатченные устройства.»
Исследователи из Cisco также обнаружили, что потенциальным вектором атаки может быть эксплуатация уязвимости в украинском пакете бухгалтерских программ MeDoc, что было также подтверждено экспертами «Лаборатории Касперского». Исследователи обеих компаний говорят, что часть случаев инфекции связана с атакой, нацеленной на систему обновления MeDoc. Одни из первых отчетов также указывали на то, что в некоторых случаях заразу распространяли с помощью фишинговых писем, эксплуатируя уязвимость CVE-2017-0199 в Microsoft Office/WordPad, которая позволяет удаленно исполнять код на компьютере.
Исследователей с самого начала беспокоила возможность такой эпидемии, использующей EternalBlue и не предусматривающей «рубильника» вроде того, что был обнаружен в WannaCry. Мэтью Хики утверждает, что образец зловреда, который он изучал, попал к нему в виде зашифрованного DLL-файла, в котором в том числе были использованы средства против обнаружения. Джейк Вильямс это подтверждает.
«Как только я увидел патч MS17-010, я начал активно убеждать людей в возможности именно таких инцидентов, – говорит Хики. – «Пусть даже уязвимость закрыли, достаточно одного непропатченного сервера, который становится ахиллесовой пятой сети.»
Вице-президент Avecto Эндрю Аванесян (Andrew Avanessian) утверждает, что в ближайшем будущем могут появиться другие подобные зловреды.
«Киберпреступники берут уже существующий образец зловреда и меняют часть вредоносной нагрузки, которую он несет. С тех пор как были опубликованы различные техники взлома от АНБ, инструменты, которые раньше были доступны только государственным структурам, теперь попали в руки злоумышленников», – комментирует Аванесян.