© Valentyn Ogirenko, Reuters
Украйна беше най-силно засегната от кибератаката - спряха да работят банки, държавни предприятия и дори системи в АЕЦ "Чернобил". Анализатори обаче смятат, че нападението е по-слабо от извършеното с WannaCry в началото на миналия месец.
Рекетьорската програма, ударила хиляди устройства в Европа и извършила атаки в някои части на Азия и САЩ, може да не е свързана с вируса Petya и да е от нов, все още неизследван от експертите за сигурност тип. Същевременно той се е възползвал от софтуерни уязвимости, чрез които бе осъществена атаката с WannaCry миналия месец и които много от засегнатите компании не са имали време или не са счели за нужно да премахнат.
Около тези твърдения се обединяват експерти по онлайн сигурност от различни компании, след като в голяма част от Русия и Украйна и в редица европейски държави бяха ударени системи на промишлеността, услугите и държавната администрация. Анализаторите същевременно обявиха, че атаката вероятно ще е в значително по-малък мащаб от тази през май.
Според няколко създатели на антивирусни програми, включително "Касперски", вирусът вероятно е бил разпространен с фалшив ъпдейт на украинската счетоводна програма МЕДок - теза, зад която застана и украинската киберполиция. Фалшивият ъпдейт е бил разпратен около 10.30 ч. местно време (7.30 ч. вчера сутринта) и е заразил компютрите неизвестен брой организации в страната. След това програмата, искаща плащане на откуп в замяна на връщане на контрола над компютъра, се е разпространила и към други компютри.
Компанията МЕДок заяви във "Фейсбук", че е била хакната, но не е разпространявала вируса. Украинската киберполиция подчерта, че не обвинява фирмата, предава БТА.
"Петя" или "НеПетя"
От компанията за онлайн сигурност "Касперски" обявиха в анализа си след атаката, че става дума за "нова програма за откуп, невиждана досега" въпреки приликите си с Petya. Компанията дори нарече вируса NotPetya и предупреди, че в него се наблюдават и някои незабелязвани преди параметри. Непосредствено след атаката анализатор на "Касперски" каза, че вирусът вероятно е версия на Petya, изградена на 18 юни, като предполага, че зловредната програма е в интернет от близо 10 дни. В анализа от сряда "Касперски" отбеляза, че с вируса са били извършени около 2000 атаки, повечето в Украйна, Русия и Полша.
"В началото изглеждаше като вариант на програма за откуп, която се появи миналата година. Вирусът беше наречен Petya, а имаше и обновена версия - Petrwrap. Сега обаче това не изглежда толкова ясно", обяви проф. Алън Удуърд, експерт по онлайн сигурност, цитиран от Би Би Си.
"Ваксина"
От друга компания за сигурност, "Симантек", междувременно публикуваха препоръки за защита на компютрите от Petya -за целта трябва да се симулира ситуация, при която компютърът е заразен. Необходимо е да се създаде файл C:\Windows\perfc - който зловредната програма създава на съответното устройство - и ако го види, тя приключва работа, без да засегна машината. При отваряне на електронно съобщение в пощата, идващо от непознат източник, се активира вирусът, който рестартира компютъра, кодира достъпа до твърдия диск и на екрана се изписва съобщение с искане на 300 долара под формата на биткойн валута, за да бъде отключен достъпът. При наличие на въпросния файл обаче вирусът "подминава" системата.
Сайтът Bleeping Computer, който публикува новини за киберсигурността, даде подробни инструкции как да се добави файлът. Единственият проблем е във факта, че методът защитава само конкретната машина, но не и мрежата, в която се намира - т.е. устройството остава "преносител на заразата" и от него тя би могла да се прехвърли към други машини в мрежата.
Уязвимости на "Майкрософт"
Серията от кибератаки използва уязвимости на операционната система "Уиндоус", за която фирмата вече е публикувала пач, съобщи фирмата, цитирана от цитирана от "Франс прес" и БТА.
Според първите анализи на "Майкрософт" вирусът използва няколко техники, за да се разпространява. Една от тях се блокира от пача MS17-010. Той е достъпен за всички варианти на Windows, от Windows XP, до последния Windows 10, съобщи говорител на компанията. Той добави, че компанията продължава да разследва и ще вземе необходимите мерки за защита на клиентите си, но ги подкани да проявяват предпазливост при отваряне на непознати файлове.
Още при атаката с вируса WannaCry през месец май "Майкрософт" беше подканила клиентите си да инсталират пача MS17-010. Уязвимостта на системата и начините за използването й бяха описани в документи, откраднати от американската Агенция за национална сигурност и това подтикна ръководството на компанията да обвини правителствата за зачестяващите глобални кибератаки.
Неотстранени уязвимости
Няколко специалисти по киберсигурност посочват, че става дума за проблема с ЕternalBlue, особено в по-стари и необновена сигурност версии на операционната програма Windows. От същия недостатък се възползва криптовирусът WannaCry, плъзнал в такива мащаби през май, че се превърна в световна новина. Атаката обаче може да е и по-опасна от досегашните рекетьорски кибернападения, тъй като прави невъзможно рестартирането на компютрите, обяви в блога си компанията Juniper Networks.
Фирмата за киберсигурност Veracode отчита, че зловредният инструмент използа някои от същите пропуски в системата на Windows, които помогнаха за разпространението на WannaCry. Тя отбелязва и че много компании така и не са си осигурили пач за уязвимостите, тъй като WannaCry беше овладян много бързо. Другият проблем е, че много от засегнатите потребители от индустрията, услугите и държавния сектор обикновено не могат бързо да се справят със софтуерни уязвимости за много машини, тъй като ако много компютри не работят по едно и също време, това би създало проблеми в работата.
Постъпленията на рекетьорите
Вирусът криптира хард дисковете, рестартира машините и изписва съобщение с искане за откуп в размер на 300 долара, преведени чрез биткойн. Дванайсет часа след атаката едва 30 души са платили, използвайки свързвания с атаката акаунт, според сайтове, които следят плащанията. Държавният департамент на САЩ призова жертви на атаката да не плащат откупа, защото нямат гаранции, че достъпът им ще бъде възстановен, ако го направят. Според Би Би Си свързаният с атаката портфейл за плащане с "Биткойн" към 9 ч. българско време е съдържал около $8670.
Те също така вероятно нямат достъп до мейла, указан на екрана, който се появява при успешна атака, тъй като той е бил закрит часове след началото на нападението.
Засегнати машини и в Азия
След атаките в Украйна и Русия дойдоха съобщения за парализирани компютри дойдоха и от различни части на Европа, включително Русия, Великобритания, Холандия, Дания, Норвегия и Индия. Сред засегнатите се оказа и американска компания - фармацевтичната компания Merck.
В Пенсилвания системи за управление на лечебни заведения (Heritage Valley Health System) обявиха срив на мрежата си, без обаче да потвърдят дали инцидентът е свързан с атаката.
Новата вирусна атака стигна и до Австралия - първата компания, станала негова жертва, беше фабриката за шоколад "Кедбъри". Производството във фабриката на остров Тасмания беше спряно след блокиране на компютърните системи. Фабриката "Кедбъри" произвежда около 50 000 тона шоколад годишно.
Сензорите на "Чернобил" на ръчно управление
Все пак Украйна е най-силно поразена от атаката досега - засегнати са банки, големи компании - включително държавното електроразпределително предприятие - столичното летище, сайтът на правителството и производителят на самолети "Антонов". Куриерската компания "Новая почта" потвърди, че "чрез масирана атака с вируса "Петя" срещу информационните ни системи поделенията и центърът за обслужване на клиенти временно не работят". Не работи и сайтът на пощите "Укрпоща" и на "Укртелеком". Засегнати бяха и редица медии. Пострадаха дори компютрите, управляващи работата на радиационните сензори на ядрената централа "Чернобил", които бяха подложени на атаката.
Украински представители съзряха "руска слeда" в атаката непосредствено след първите съобщения за нея. И в съседната на Украйна Русия обаче имаше поразени системи, включително тези на петролните компании "Роснефт" и "Башнефт", както и стоманодобивната "Евраз".
