Néhány érdekesség a PetrWrap zsarolóvírusról
Az először Petya, majd PetrWrap néven elhíresült zsarolóvírusról sokan azt hiszik, hogy egy szuperfejlett kártevő, ami azért terjedt nagyon hatékonyan, mert soha nem látott technológiákat alkalmaz.
A PetrWrap 2017. június 27-én került be a köztudatba, amikor számos ukrán intézmény informatikai infrastruktúráját fertőzte meg és titkosította le, hasonlóan a májusban bekövetkezett WannaCry-katasztrófához. A PetrWrap nagyon hasonló a WannaCry-hoz – szintén az amerikai NSA Equation Grouptól kiszivárgott EternalBlue exploitot használja, kiegészítve néhány saját megoldással; szintén nagyon gyorsan terjedt; szintén bekerült a médiába.
Ugyanakkor a híradók és a hírportálok úgy állították be az esetet, mintha a PetrWrap (és a WannaCry is) egy rendkívül fejlett, önálló zsarolóvírus lenne, ami gond nélkül áthatolt a nagy cégek védelmi vonalain és úgy általában az emberiség esélytelen ellene. A valóság ezzel szemben az, hogy a PetrWrapben nincs semmi extra, szinte átlagos kártevőnek tekinthető. Persze ahhoz kétség sem férhet, hogy nem amatőr munkáról van szó, de a kibertörténelemben már voltak sokkal fejlettebb kártevők.
Így persze felvetődik a kérdés, hogy a két említett ransomware-eknek hogyan sikerült mégis bejutniuk köztudatba, ha a fejlettebb kártevők maximum a szakmai ismertségig jutottak? Hogyan terjedtek el ennyire hatékonyan?
A PetrWrap és a WannaCry nem terjeszti magát szervezetek között.
A kódvizsgálatok kimutatták, hogy ezek a zsarolóvírusok kizárólag a belső hálózatokon terjednek, nem szabadulnak ki egy lokális hálózat keretei közül. Nem terjesztik magukat e-mailben és nem térítenek el felhasználói fiókokat sem, ráadásul a fejlettebb védelmi megoldások gond nélkül megállítják. A kérdés továbbra is fennáll. Hogyan terjedtek el ennyire hatékonyan?
A választ persze letudhatnánk azzal, hogy az áldozatok egyszerűen nem tanultak a WannaCry pusztításából – nem indítottak laikusok számára is érthető kiberbiztonsági oktatásokat és nem invesztáltak hatékony védelmi megoldásokba. De hát mi ellen is védekeznének, ha ezek a zsarolóvírusok csupán egy (másik) cég lokális hálózatában tarolnak?
Nos, a kártevők fejlesztőinek nem kellett intelligens önreprodukciós megoldások fejlesztésével foglalkozniuk, ugyanis ezen ransomware-celebek köré önkéntes terjesztőcsapatok szerveződtek, százalékos részesedésért cserébe. A csapattagok feladata, hogy minél több emberhez eljuttassák a fertőzött e-mailt. Tekintettel arra, hogy az internet tele van publikusan elérhető, több százezer e-mail címet tartalmazó email-listákkal, csupán egy kis lelkesedés kérdése, hogy minden korábbinál több áldozatot szedő támadások jöjjenek létre, komolyabb technikai felkészültség nélkül.
Összességében tehát nem egy szuperfejlett zsarolóvírussal van (és lesz a jövőben) dolgunk, hanem minden korábbinál nagyobb kiberbűnözői körökkel, amik szinte nulla fejlesztéssel és szinte nulla egy főre jutó erőforrás-befektetéssel támadhatnak meg sok millió potenciális áldozatot. Ebből kifolyólag nem foghatjuk a pusztítás eredményeit a kártevők fejlettségére, hiszen egyszerű e-mail küldözgetésről beszélünk, amik ellen oktatásokkal, megfelelő védelemmel, biztonsági mentésekkel és rendszeres karbantartással bőven lehet védekezni.
Frissítés
Biztonsági kutatók újabb érdekességekre bukkantak a PetrWrap/NotPetya kártevő kódanalízise közben. A zsarolóvírusnak hitt malware ugyanis csupán viselkedésében tűnik zsarolóvírusnak. Titkosítja a tárhelyeken elérhető fájlokat, váltságdíjat követel a visszaállításukért, ugyanakkor az áldozatokkal történő kommunikációra szánt e-mail fiók egy közismert (és felelősen viselkedő) szolgáltatónál volt regisztrálva, az alkalmazott titkosítás pedig a gyakorlatban visszaállíthatatlan, függetlenül attól, hogy az áldozatok fizetnek-e vagy sem. Ez az „üzletpolitika” viszont azonnali lebukáshoz vezet, tehát az elkövetők nem is számíthattak meggazdagodásra.
Ez arra enged következtetni, hogy a PetrWrap valójában nem a WannaCry zsarolóvírus kisöccse, hanem egy olyan kártevő, amit kifejezetten pusztításra terveztek, a ransomware tevékenység csupán álca volt. Mivel a támadások eleinte kizárólag Ukrajnára korlátozódtak, többen azt feltételezik, hogy valójában az ország ellen indított, célzott támadásról van szó, a többi már csak körítés. Azon feltételezések, miszerint a támadás mögött Oroszország áll, még nem került bizonyításra.
A cikk másodközlése kizárólag kattintható forrásmegjelöléssel engedélyezett!
További cikkek