NotPetya

„Беше слънчев следобед в Копенхаген. Приготвях софтуерен ъпгрейд за компютъра ми, когато се рестартира неочаквано. Докато се ядосвах на системните администратори, видях че три екрана около мен почерняват. После още, и още, и още. Екраните почерняваха един след друг, след което компютрите ни се оказваха необратимо криптирани.“

Историята е на Хенрик Йенсен (името е измислено), един от хилядите служители на логистичния гигант Maersk. Компанията е една от най-тежко засегнатите от криптовируса NotPetya, определен от сп. Wired за „най-опустошителната кибератака в историята на човечеството до момента.

Щетите от заразата, използваща уязвимостта EthernalBlue, достигат до 10 млрд. USD, а сред засегнатите компании са:

• 870 млн. USD, фармацевтичната Merck
• 400 млн. USD, логистичната FedEX (TNT Express в Европа)
• 384 млн. USD, френската строителна компания Saint-Gobain
• 300 млн. USD, логистичната Maersk
• 188 млн. USD, производителят на храни Mondelēz

Започнал като кибервоенно действие, криптовирусът е довел до принудителното спиране на десетки глобални бизнеси. Пълната история на Wired четете тук.

 

 

Криптовирусите са една от водещите заплахи за бизнеса. Въпреки че представляват само малка част от общия обем на малуера, те са предпочитани от компютърните престъпници заради възможността за изкарване на бързи пари.

Размерът на печалбата може да варира от няколкостотин долара (ако е инфектиран отделен потребител) до над милион долара (ако вирусът е криптирал данните на цяла организация).

Бизнесът е основната жертва на рансъмуера, защото данните са от критична важност за фирмите и много от тях предпочитат да платят откуп, за да си върнат достъпа до информацията.

Замирането на криптовирусите е мит

През 2018 г. популярността на криптовирусите е намаляла за сметка на cryptojacking атаките, посочва в свой доклад Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA). Това обаче не означава, че заплахата от криптиране на данните ви намалява.

Много видове рансъмуер продължават да се използват активно. Според ENISA криптовирусите заразяват около 15% от всички фирми в сектори като здравеопазване, финансови услуги, телекоми, шоубизнес, строителство, транспорт и търговия. Агенцията посочва и кои са петте най-опасни вида рансъмуер на базата на честотата, с която атакуват организации.

WannaCry

WannaCry убедително заема първото място с почти 54% дял от всички атаки с рансъмуер. Този криптовирус се разпространява из цялата корпоративна мрежа без необходимостта от човешка намеса.

През май 2017 атака с WannaCry засегна стотици хиляди компютри в 150 страни от цял свят. В друга атака от март 2018 г. пострада гигантът в производството на самолети Boeing. Предполага се, че са платени над 300 откупа от организации, пострадали от WannaCry.

GandCrab

За по-малко от месец след появата си през януари 2018 г. GandCrab засегна над 50 хил. системи. В периода между март и юли 2018 г. това е бил вторият най-често засичан вид рансъмуер в света.

Атаката с GandCrab става чрез макро скрипт, скрит в прикачен файл в имейл съобщение. За разлика от други криптовируси обаче GandCrab иска откупи в даш, а не в биткойн. Засяга предимно бизнеси от скандинавските и англоговорящите страни.

NotPetya

NotPetya се появи през юни 2017 г. и първоначално засегна над 1 млн. компютри в Украйна. Този криптовирус е комбинация от експлойтите EternalBlue и EternalRomance. Поне около 2000 компании само в Украйна бяха засегнати. В повечето случаи рансъмуерът буквално изтриваше данните от твърдите дискове на засегнатите компютри.

SamSam

SamSam е един от най-доходоносните видове рансъмуер. Кодът му е написан с идеята да не оставя следи за дейността си. Жертва на SamSam станаха местните власти в Атланта и Департамента по транспорт на Колорадо. Щетите от вируса се оценяват на милиони.

На толкова се оценяват и печалбите от SamSam – те надхвърлят 6. млн. долара досега според компанията за информационна сигурност Sophos. Това го превръща в една от златните мини в света на компютърните престъпления.

Lokibot

Основната функция на Lokibot всъщност е да краде данни за достъп до онлайн банкирането на засегнатите потребители. Но той се използва и като рансъмуер, защото дава възможност на хакерите да заключват инфектираните смартфони. През първата половина на 2018 г. Lokibot е бил сред трите най-търсени от компютърните престъпници зловредни кодове за мобилни устройства.

Прочетете нашия съветник как да се предпазите от рансъмуер.

Хакерите, които през 2015 г. оставиха стотици хиляди в Украйна без електричество, си имат наследник. Новооткритият зловреден код и групировката зад него носят името GreyEnergy. Според продължило три години проучване на компанията за киберсигурност ESET, организацията вероятно се занимава с шпионаж и подготвя нови кибератаки.

GreyEnergy е засечен от анализаторите на ESET при таргетирани атаки срещу организации в Украйна и Полша, които обаче не са нанесли значими щети. Името на заплахата е заигравка с BlackEnergy – зловреден код, който през декември 2015 г. предизвика авария в електроразпределителната мрежа на Украйна и остави 230 хил. души без електричество. „През последните 3 години забелязахме, че GreyEnergy таргетират организации в Украйна и Полша“, коментира Антон Черепанов, който оглавява разследването на ESET срещу хакерската организации.

Прочетете още: GreyEnergy: една от най-големите кибер заплахи се завръща с нов арсенал

Според Черепанов има редица сходства между зловредния код, използван от BlackEnergy и GreyEnergy. И в двата случая той е съставен от модули, целта му са едни и същи ораганизации и следите му са прикрити чрез Tor мрежата.

ESET вече предостави доказателства, че BlackEnergy има връзка с TeleBots, която таргетира организации не само в Украйна, но и по целия свят. През 2017 г. TeleBots влезе в новините заради рансъмуера NotPetya, който парализира дейността на компании в Украйна, Европа, Азия и Америка.

Засега GreyEnergy действа значително по-скрито в сравнение с BlackEnergy и TeleBots. Групата се ограничава основно до шпионаж и разузнаване, без да нанася поражения от мащабите, в които го правят BlackEnergy и TeleBots. Според ESET това означава, че в момента GreyEnergy проучва потенциални цели и се подготвя за бъдещи атаки.

Атаката с рансъмуера NotPetya и кибератаките срещу индустриални системи в Украйна са дело на една и съща група хакери. Това твърди компанията за киберсигурност ESET на базата на множество открити сходства в кодовете, използвани за двете атаки.

„Още когато Industroyer порази електроразпределението в Украйна се появиха спекулации, че има връзка между Industroyer и TeleBots. Но досега нямаше категорични доказателства за това“, коментира пред Welivesecurity Антон Черепанов, анализтор на ESET.

TeleBots са група хакери, която се счита за автор на атаката с NotPetya. Това е рансъмуер, който през юни 2017 г. нанесе значими поражения на организации от целия свят. Основни цели на NotPetya бяха украински банки и други организации, въпреки че рансъмуерът беше засечен и в страни като Германия, Полша, Италия, Великобритания и САЩ.

В края на 2016 г. Украйна пострада от друга мащабна кибератака. Тя беше осъществена с малуера Industroyer, създаден специално, за да таргетира индустриални системи за контрол. Атаката предизвика проблеми с електрозахранването в различни региони на Украйна. Това беше втората голяма атака срещу електроразпределителната мрежа на Украйна. Подобна атака се случи и в края на 2015 г.

Името на TeleBots беше спрягано като организатор на атаката с Industroyer, без да има категорични доказателства за това.

Сега от ESET вярват, че са открили такива. През април компанията е засякла опит на TeleBots да зарази система с бекдор, който който е подобрена версия на кода, използван за заразяване на индустриалните системи с Industroyer през 2015г. „Откритието ни показва, че TeleBots все още са активни и продължават да подобряват инструментите и тактиките, които използват“, коментира Черепаров.

Сравнение: вляво е кодът на използваният бекдор, наречен Exaramel. Вдясно е кодът, използван за активирането на Industroyer през 2015г. 

NotPetya влезе в новините заради мащабa на щетите, които нанесе. Някои от засегнатите компании – като спеидиторската фирма AP Moller-Maersk – съобщиха за загуби от порядъка на стотици милиони като резултат от NotPetya.

Рансъмуерът е една от основните заплахи за бизнеса, тъй като може да доведе до значими загуби на данни и да парализира дейността на цели компании. В края на септември рансъмуер блокира част от административните дейности на пристанището в Сан Диего.

По-рано през 2018 г. рансъмуерът SamSam доведе до блокиране на работата на Колорадския департамент по транспорта. Около месец по-късно същият малуер направи невъзможно за гражданите на Атланта да си плащат задълженията към кметството.