Néhány érdekesség a PetrWrap zsarolóvírusról

Az először Petya, majd PetrWrap néven elhíresült zsarolóvírusról sokan azt hiszik, hogy egy szuperfejlett kártevő, ami azért terjedt nagyon hatékonyan, mert soha nem látott technológiákat alkalmaz.

A PetrWrap 2017. június 27-én került be a köztudatba, amikor számos ukrán intézmény informatikai infrastruktúráját fertőzte meg és titkosította le, hasonlóan a májusban bekövetkezett WannaCry-katasztrófához. A PetrWrap nagyon hasonló a WannaCry-hoz – szintén az amerikai NSA Equation Grouptól kiszivárgott EternalBlue exploitot használja, kiegészítve néhány saját megoldással; szintén nagyon gyorsan terjedt; szintén bekerült a médiába.

Ugyanakkor a híradók és a hírportálok úgy állították be az esetet, mintha a PetrWrap (és a WannaCry is) egy rendkívül fejlett, önálló zsarolóvírus lenne, ami gond nélkül áthatolt a nagy cégek védelmi vonalain és úgy általában az emberiség esélytelen ellene. A valóság ezzel szemben az, hogy a PetrWrapben nincs semmi extra, szinte átlagos kártevőnek tekinthető. Persze ahhoz kétség sem férhet, hogy nem amatőr munkáról van szó, de a kibertörténelemben már voltak sokkal fejlettebb kártevők.

Így persze felvetődik a kérdés, hogy a két említett ransomware-eknek hogyan sikerült mégis bejutniuk köztudatba, ha a fejlettebb kártevők maximum a szakmai ismertségig jutottak? Hogyan terjedtek el ennyire hatékonyan?

A PetrWrap és a WannaCry nem terjeszti magát szervezetek között.

A kódvizsgálatok kimutatták, hogy ezek a zsarolóvírusok kizárólag a belső hálózatokon terjednek, nem szabadulnak ki egy lokális hálózat keretei közül. Nem terjesztik magukat e-mailben és nem térítenek el felhasználói fiókokat sem, ráadásul a fejlettebb védelmi megoldások gond nélkül megállítják. A kérdés továbbra is fennáll. Hogyan terjedtek el ennyire hatékonyan?

A választ persze letudhatnánk azzal, hogy az áldozatok egyszerűen nem tanultak a WannaCry pusztításából – nem indítottak laikusok számára is érthető kiberbiztonsági oktatásokat és nem invesztáltak hatékony védelmi megoldásokba. De hát mi ellen is védekeznének, ha ezek a zsarolóvírusok csupán egy (másik) cég lokális hálózatában tarolnak?

PetrWrap

Nos, a kártevők fejlesztőinek nem kellett intelligens önreprodukciós megoldások fejlesztésével foglalkozniuk, ugyanis ezen ransomware-celebek köré önkéntes terjesztőcsapatok szerveződtek, százalékos részesedésért cserébe. A csapattagok feladata, hogy minél több emberhez eljuttassák a fertőzött e-mailt. Tekintettel arra, hogy az internet tele van publikusan elérhető, több százezer e-mail címet tartalmazó email-listákkal, csupán egy kis lelkesedés kérdése, hogy minden korábbinál több áldozatot szedő támadások jöjjenek létre, komolyabb technikai felkészültség nélkül.

Összességében tehát nem egy szuperfejlett zsarolóvírussal van (és lesz a jövőben) dolgunk, hanem minden korábbinál nagyobb kiberbűnözői körökkel, amik szinte nulla fejlesztéssel és szinte nulla egy főre jutó erőforrás-befektetéssel támadhatnak meg sok millió potenciális áldozatot. Ebből kifolyólag nem foghatjuk a pusztítás eredményeit a kártevők fejlettségére, hiszen egyszerű e-mail küldözgetésről beszélünk, amik ellen oktatásokkal, megfelelő védelemmel, biztonsági mentésekkel és rendszeres karbantartással bőven lehet védekezni.

Frissítés

Biztonsági kutatók újabb érdekességekre bukkantak a PetrWrap/NotPetya kártevő kódanalízise közben. A zsarolóvírusnak hitt malware ugyanis csupán viselkedésében tűnik zsarolóvírusnak. Titkosítja a tárhelyeken elérhető fájlokat, váltságdíjat követel a visszaállításukért, ugyanakkor az áldozatokkal történő kommunikációra szánt e-mail fiók egy közismert (és felelősen viselkedő) szolgáltatónál volt regisztrálva, az alkalmazott titkosítás pedig a gyakorlatban visszaállíthatatlan, függetlenül attól, hogy az áldozatok fizetnek-e vagy sem. Ez az „üzletpolitika” viszont azonnali lebukáshoz vezet, tehát az elkövetők nem is számíthattak meggazdagodásra.

Ez arra enged következtetni, hogy a PetrWrap valójában nem a WannaCry zsarolóvírus kisöccse, hanem egy olyan kártevő, amit kifejezetten pusztításra terveztek, a ransomware tevékenység csupán álca volt. Mivel a támadások eleinte kizárólag Ukrajnára korlátozódtak, többen azt feltételezik, hogy valójában az ország ellen indított, célzott támadásról van szó, a többi már csak körítés. Azon feltételezések, miszerint a támadás mögött Oroszország áll, még nem került bizonyításra.


A cikk másodközlése kizárólag kattintható forrásmegjelöléssel engedélyezett!

További cikkek

Webes és hálózati sérülékenységvizsgálat

Zsarolóvírusok eltávolítása és adat-visszaállítás

Cyber Threat Intelligence
riasztások

Incidensvizsgálat és nyomelemzés

DoS, DDoS támadás, terhelésteszt

Social engineering, biztonságtudatosság

Fájlok visszaállítása és végleges törlése

Hackertámadás elleni védelem

IT biztonsági tanácsadás és oktatás

Védelmi és vizsgálati termékek

Fájlok és adattárolók „törhetetlen” titkosítása

Antivírus megoldások PC-re és mobil eszközökre

Kibersuli gyerekeknek
az internet veszélyeiről

Általános kiberbiztonsági fogalomtár

Webes és hálózati sérülékenységvizsgálat

Incidensvizsgálat és nyomelemzés

Zsarolóvírusok eltávolítása és adat-visszaállítás

Cyber Threat Intelligence
riasztások

DoS, DDoS támadás, terhelésteszt

Social engineering, biztonságtudatosság

Hackertámadás elleni védelem

Megosztás