Войти
 ASCII art из череп и скрещенные кости отображаются как часть полезной нагрузки в исходной версии Petya. | |
| Псевдонимы | GoldenEye. NotPetya |
|---|---|
| Классификация | Троянский конь |
| Тип | Вредоносное ПО |
| Подтип | Криптовирус |
| Операционные системы затронутые | Windows |
(Balogh) Petya - это семейство шифрующих вредоносных программ, которые были впервые обнаружено в 2016 году. Вредоносная программа нацелена на системы на базе Microsoft Windows, заражая главную загрузочную запись для выполнения полезной нагрузки, которая шифрует файл жесткого диска. system и предотвращает загрузку Windows. Впоследствии он требует, чтобы пользователь совершил платеж в биткойнах, чтобы восстановить доступ к системе. Вредоносная программа Petya заразила миллионы людей за первый год своего выпуска. Создатель вредоносной программы Petya был оштрафован и арестован.
Варианты Petya впервые были замечены в марте 2016 года и распространялись через зараженные вложения электронной почты. В июне 2017 года новый вариант Petya был использован для глобальной кибератаки, в первую очередь на Украину. Новый вариант распространяется через эксплойт EternalBlue, который, как принято считать, был разработан U.S. Агентство национальной безопасности (АНБ), и ранее в этом году использовался вымогателем WannaCry. Лаборатория Касперского назвала эту новую версию NotPetya, чтобы отличать ее от вариантов 2016 года из-за этих различий в работе. Кроме того, несмотря на то, что он якобы является программой-вымогателем, этот вариант был изменен так, что он не может фактически отменить свои собственные изменения. В атаках NotPetya обвиняют российское правительство, в частности хакерскую группу Sandworm в составе российской военной разведки ГРУ, исследователи в области безопасности, Google и некоторые правительства.
Petya был обнаружен в марте 2016 г.; Check Point отметила, что, хотя в начале 2016 г. было зарегистрировано меньше заражений, чем другими программами-вымогателями, такими как и CryptoWall, он содержал заметные различия в работе, из-за которых он был «немедленно отмечен как следующий шаг в развитии программ-вымогателей». Другой вариант Petya, обнаруженный в мае 2016 года, содержал дополнительную полезную нагрузку, используемую, если вредоносная программа не может получить доступ на уровне администратора.
Имя «Petya» является отсылкой на 1995 James Фильм о Бонде GoldenEye, в котором Петя - один из двух советских спутников, на которых установлен «Золотой глаз» - атомная бомба, взорвавшаяся на низкой околоземной орбите, чтобы произвести электромагнитный импульс. Учетная запись Twitter, которую Heise предположил, возможно, принадлежала автору вредоносной программы, названной "Janus Cybercrime Solutions" в честь преступной группы Алека Тревельяна в GoldenEye, имел аватар с изображением персонажа GoldenEye Бориса Грищенко, русского хакера и антагониста в фильме, которого играет шотландский актер Алан Камминг.
30 августа 2018 г. районный суд в Никополе в Днепропетровская область Украины приговорила неназванного гражданина Украины к одному году тюремного заключения за то, что он признал себя виновным в распространении версии Petya в Интернете.
Записка с требованием выкупа NotPetya была размещена на скомпрометированном system 27 июня 2017 года началась крупная глобальная кибератака (украинские компании были одними из первых, кто заявил о своей атаке) с использованием нового варианта Petya. В тот день «Лаборатория Касперского» сообщила об инфекциях во Франции, Германии, Италии, Польше, Великобритании и США, но большинство заражений было нацелено на Россию и Украину, где первоначально находились более 80 компаний. атаковали, в том числе Национальный банк Украины. ESET оценил 28 июня 2017 года, что 80% всех заражений приходятся на Украину, на втором месте - Германия с примерно 9%. Пресс-секретарь президента России Владимира Путина, Дмитрий Песков, заявил, что теракт не причинил серьезного ущерба России. Эксперты считали, что это политически мотивированная атака на Украину, поскольку она произошла накануне украинского праздника День Конституции.
. Касперский назвал этот вариант «NotPetya», так как он существенно отличается от предыдущего. Инженер McAfee Кристиан Бик заявил, что этот вариант был разработан для быстрого распространения и был нацелен на «энергетические компании в целом, электросеть, автобусные станции, автозаправочные станции, аэропорт и банки ».
Считалось, что механизм обновления программного обеспечения из [uk ] - украинская программа подготовки налогов, которая, согласно F -Безопасный аналитик Микко Хиппёнен, «по-видимому, де-факто» среди компаний, ведущих бизнес в стране, - был скомпрометирован для распространения вредоносного ПО. Анализ, проведенный ESET, показал, что бэкдор присутствовал в системе обновлений не менее шести недель до атаки, описывая его как «тщательно спланированную и хорошо выполненную операцию. ". Разработчики MEDoc отрицали, что они несут полную ответственность за кибератаку, заявив, что они тоже были жертвами.
4 июля 2017 года украинское подразделение по борьбе с киберпреступностью захватило серверы компании после обнаружения «новой активности», которая, по его мнению, могла привести к «неконтролируемому распространению» вредоносных программ. Полиция Украины посоветовала пользователям M.E.Doc прекратить использование программного обеспечения, поскольку предполагала, что бэкдор все еще присутствует. Анализ изъятых серверов показал, что обновления программного обеспечения не применялись с 2013 года, имелись свидетельства присутствия в России, а учетная запись сотрудника на серверах была взломана; Глава подразделения предупредил, что MEDoc может быть признан уголовно ответственным за организацию атаки из-за халатного отношения к обеспечению безопасности своих серверов.
Полезная нагрузка Пети заражает основная загрузочная запись (MBR), перезаписывает загрузчик Windows и запускает перезагрузку. При запуске полезная нагрузка шифрует главную таблицу файлов файловой системы NTFS , а затем отображает сообщение о выкупе с требованием оплаты, произведенной в биткойнах. Между тем, на экране компьютера отображается текст, предположительно выведенный chkdsk, сканером файловой системы Windows, что указывает на то, что секторы жесткого диска восстанавливаются.
Исходная полезная нагрузка требовала от пользователя прав администратора привилегии; один вариант Petya был связан со второй полезной нагрузкой, Mischa, которая активировалась, если Petya не смог установить. Mischa - это более обычная полезная нагрузка программы-вымогателя, которая шифрует пользовательские документы, а также исполняемые файлы и не требует прав администратора для выполнения. Ранние версии Petya маскировали свои полезные данные как файл PDF, вложенный в электронное письмо. Группа реагирования на компьютерные чрезвычайные ситуации США (US-CERT) и Национальный центр интеграции кибербезопасности и коммуникаций (NCCIC) выпустили отчет о первоначальных результатах обнаружения вредоносного ПО (MIFR) в отношении Petya 30 июня 2017 года.
Вариант NotPetya, используемый в В атаке 2017 используется EternalBlue, эксплойт, который использует уязвимость в протоколе Server Message Block (SMB) Windows. Считается, что EternalBlue был разработан Агентством национальной безопасности США (АНБ); он просочился в апреле 2017 года и также использовался WannaCry. Вредоносная программа собирает пароли (используя модифицированную сборку Mimikatz с открытым исходным кодом) и использует другие методы для распространения на другие компьютеры в той же сети, а также использует эти пароли вместе с PSExec для запуска кода на других локальных компьютерах. Кроме того, несмотря на то, что он по-прежнему считается программой-вымогателем, процедура шифрования была изменена таким образом, чтобы вредоносная программа не могла технически отменить свои изменения. Эта характеристика, наряду с другими необычными признаками по сравнению с WannaCry (включая относительно низкую плату за разблокировку в 300 долларов США и использование единого фиксированного биткойн-кошелька для сбора выкупных платежей, а не создания уникального идентификатора для каждой конкретной инфекции в целях отслеживания), Это побудило исследователей предположить, что эта атака была задумана не для того, чтобы приносить прибыль, а для быстрого повреждения устройств и избавиться от внимания средств массовой информации, которое WannaCry привлекла к себе, назвав себя программой-вымогателем.
Было обнаружено, что можно остановить процесс шифрования, если зараженный компьютер будет немедленно выключен при появлении фиктивного экрана chkdsk, и аналитик безопасности предложил создать только для чтения файлы с именами perf.cи / или perfc.datв каталоге установки Windows могут помешать выполнению полезной нагрузки текущего напряжения. Адрес электронной почты, указанный на экране с требованием выкупа, был заблокирован поставщиком, Posteo, за нарушение его условий использования. В результате зараженные пользователи не могли отправить злоумышленнику требуемое подтверждение платежа. Кроме того, если файловая система компьютера была основана на FAT, последовательность шифрования MFT пропускалась, и отображалось только сообщение вымогателя, что позволяло тривиально восстановить данные.
Microsoft уже выпустила исправления для поддерживаемых версий Windows в марте 2017 г. для устранения уязвимости EternalBlue. За этим последовали исправления для неподдерживаемых версий Windows (таких как Windows XP ) в мае 2017 года сразу после WannaCry. Wired считает, что «судя по размеру ущерба, нанесенного Petya, многие компании откладывают установку исправлений, несмотря на очевидную и потенциально разрушительную угрозу распространения подобного вымогателя». Некоторые предприятия могут посчитать установку обновлений в определенных системах слишком сложной из-за возможного простоя или проблем совместимости, что может быть проблематичным в некоторых средах.
В отчете, опубликованном Wired, по оценке Белого дома, общий ущерб, нанесенный NotPetya, составил более 10 миллиардов долларов. Это подтвердил бывший советник по национальной безопасности Том Боссерт, который на момент атаки был самым высокопоставленным чиновником правительства США, занимающимся вопросами кибербезопасности.
Во время атаки, инициированной 27 июня 2017 года, система радиационного контроля в Украинская Чернобыльская АЭС вышла из строя. Также пострадали несколько украинских министерств, банков и метро. Говорят, что это была самая разрушительная кибератака в истории.
Среди тех, кто пострадал в других местах, были британская рекламная компания WPP, Maersk Line, американская фармацевтическая компания Merck Co., российская нефтяная компания Роснефть (нефтедобыча не пострадала), международная юридическая фирма DLA Piper, французская строительная компания Saint-Gobain и свои розничные и дочерние магазины в Эстонии, британская компания по производству потребительских товаров Reckitt Benckiser, немецкая компания по уходу за телом Beiersdorf, немецкая логистическая компания DHL, продуктовая компания в США Mondelez International и оператор американской больницы Heritage Valley Health System. Шоколадная фабрика Кэдбери в Хобарте, Тасмания, является первой компанией в Австралии, на которую повлиял Петя. По сообщениям, 28 июня 2017 года пострадал JNPT, крупнейший контейнерный порт Индии, и все операции были остановлены. Общественная больница Принстона в сельской местности Западной Вирджинии будет утилизировать и заменять всю свою компьютерную сеть на своем пути к выздоровлению.
Прекращение деятельности Maersk, крупнейшего в мире оператора контейнеровозов и судов снабжения, оценивается в сумму от 200 до 300 долларов. млн потерянных доходов.
Согласно годовому отчету компании за 2019 год, влияние на бизнес FedEx оценивается в 400 млн долларов.
Йенс Столтенберг, НАТО секретарь - Генерал потребовал от альянса усилить свою киберзащиту, заявив, что кибератака может привести к срабатыванию принципа коллективной защиты по статье 5.
Страховая компания Mondelez International Zurich American Insurance Company отказалась для выплаты претензии по устранению ущерба, нанесенного инфекцией Notpetya, на том основании, что Notpetya является «актом войны», на который не распространяется действие полиса. Mondelez подает в суд на Zurich American на 100 миллионов долларов.
Европол заявила, что знает о кибератаках в государствах-членах Европейского Союза и срочно реагирует на них.. Министерство внутренней безопасности США принимало участие и координировало свои действия со своими международными и местными партнерами. В письме в АНБ конгрессмен-демократ Тед Лью попросил агентство более активно сотрудничать с технологическими компаниями, чтобы уведомлять их об уязвимостях программного обеспечения и помогать им предотвращать будущие атаки, основанные на вредоносном ПО, созданном АНБ. 15 февраля 2018 года администрация Трампа обвинила в нападении Россию и предупредила, что будут «международные последствия». Соединенное Королевство и правительство Австралии также выступили с аналогичными заявлениями.
В октябре 2020 года Министерство юстиции США назвало других сотрудников ГРУ в обвинительном заключении. В то же время правительство Великобритании обвинило Sandworm ГРУ также в атаках на Летние игры 2020 года.
Юридический портал 
Интернет-портал 