Z poskytnutých vyjádření jsme vybrali hlavní zjištění a níže je publikujeme ve chronologickém pořadí tak, jak dorazily do redakce ChannelWorldu.
Eset: Svět ohrožuje nová epidemie ransomware
27. 6. 2017, 20:03: Nová vlna útoků ransomwaru postihla dnes v odpoledních hodinách Ukrajinu a začala se šířit do dalších zemí včetně České republiky.
Ukrajina hlásí mimořádné výpadky IT v bankovním sektoru, energetických rozvodných sítích a poštovních společnostech.
Mezi významně postiženými zeměmi jsou podle Esetu i Itálie, Izrael, Srbsko, ale také země střední a východní Evropy. ČR je momentálně na deváté příčce žebříčku nejvíce zasažených států, hláail Eset.
Ten hrozbu detekuje jako Win32/Diskcoder.C Trojan. „Nový ransomware připomíná známý škodlivý kód Petya. Když se mu podaří infiltrovat do MBR (Master boot record), hlavního spouštěcího záznamu počítače, zašifruje celý disk. V opačném případě šifruje jednotlivé soubory, stejně jako ransomware Mischa,“ uvedl Robert Lipovský, analytik společnosti Eset.
Tvůrci kódu žádají od obětí platbu 300 dolarů, jinak napadená zařízení neodšifrují.
Nový ransomware se podle Esetu šíří prostřednictvím kombinace SMB exploitu, který využíval i ransomware WannaCry, a programu PsExec, což je nástroj pro vzdálenou instalaci a spouštění libovolných aplikací.
Celosvětová epidemie vypukla pravděpodobně na Ukrajině. Eset zatím nezaznamenal žádné zprávy o výpadcích dodávek elektrické energie, jako tomu bylo dříve malwaru Industroyer.
Eset dále informuje, že postiženo je i Španělsko, Indie a velké potíže hlásí dánská námořní společnosti Maersk či britská reklamní společnost WPP.
Check Point Software Technologies: Masivní ransomwarový útok
27. 6. 2017, 20:43: Dnes došlo k masivnímu celosvětovému kyberútoku, který zatím zasáhl především Ukrajinu, včetně ukrajinské centrální banky, vládních úřadů a soukromých společností, informoval Check Point.
O variantě ransomwaru si také ještě nebyl jistý. „Zatím není jisté, o jaký malware se přesně jedná, ale spekuluje se o variantě ransomwaru Petya, který namísto šifrování jednotlivých souborů rovnou zašifruje celý pevný disk. Check Point zjistil zapojení bota Loki, který byl použit ke krádežím přihlašovacích údajů. Naše analýza také ukazuje, že ransomware zneužíval pro své šíření SMB zranitelností,“ uvedl Daniel Šafář, country manager pro Českou republiku a region CZR ve společnosti Check Point Software Technologies, která další informace publikovala na blogu.
Kaspersky Lab: Nová vlna ransomwaru
28. 6. 2017, 10:40: Třetí zpráva následujícího dne již vyvrací předchozí domněnky, že jde o ransomware Petya.
„Naše předběžná zjištění poukazují na to, že se nejedná o ransomware Petya, jak bylo již v průběhu dne (27. 6. 2017) uveřejněno. S největší pravděpodobností se jedná o nový ransomware, se kterým jsme se doposud nesetkali. Z tohoto důvodu jsme ho nazvali ExPetr,“ uvedl David Emm, hlavní bezpečnostní analytik týmu GReAT společnosti Kaspersky Lab.
Výrobce dodal, že jeho telemetrická data doposud zaznamenala okolo 2 000 napadených uživatelů, z toho nejvíce obětí na území Ruska a Ukrajiny, ale mezi dalšími napadenými i instituce z Polska, Itálie, Velké Británie, Německa, Francie, Spojených států a dalších zemí.
Kaspersky Lab se také domnívá, že na rozdíl od nedávného ransomwaru WannaCry tato technika bude fungovat, protože útočníci po svých obětech vyžadují zaslání čísel svých bitcoinových peněženek e-mailem na adresu wowsmith123456@posteo.net, čímž potvrdí svou transakci.
V době vydání tohoto komentáře se v bitcoinové peněžence nashromáždilo 24 transakcí v celkové hodnotě 2,54 BTC (ekvivalent necelých 6 000 dolarů).
Kaspersky Lab se domnívá, že jde o komplexní útok, na kterém se podílí několik aktérů. Společnost díle potvrdila, že pro šíření útoku přinejmenším v rámci podnikové sítě je využíván upravený exploit EternalBlue a EternalRomance.
Kaspersky Lab detekuje tuto hrozbu jako UDS:DangeroundObject.Multi.Generic, Trojan-Ransom.Win32.ExPetr.a, HEUR:Trojan-Ransom.Win32.ExPetr.gen.
Kaspersky Lab všem společnostem doporučila aktualizaci Windows a uživatelům Win XP a 7 pak nainstalovat záplatu MS17-010. Další informace zveřejnila v příspěvku na blogu Securelist.com.
O den později, 29. 6. 2017, 7:39 Kaspersky Lab zaslal aktualizaci komentáře:
„Prozatím nejvýznamnějším zjištěním je, že hackeři k šíření ransomwaru využili webové stránky ukrajinského regionu Bachmut. Návštěvníkům tohoto webu se samovolně stáhl škodlivý soubor,“ informoval David Emm.
Soubor se měl chovat jako aktualizace Windows. Poté se šířil do dalších zařízení. Dle informací Check Pointu nebyly k napadení obětí použity žádné exploity.
Aktualizace 29. 6. 2017, 18:07:
Analýzou kódu Kaspersky Lab zjistil, že po zašifrování disku nemohli tvůrci ransomwaru tyto disky opět dešifrovat. Aby bylo možné dešifrovat disk napadených uživatelů, potřebují tvůrci ransomwaru znát ID instalace. Napadení uživatelé tak podle výrobce v podstatě nemají šanci získat svá data zpět.
Dalším zjištění je, že vlna útoků ransomwarem ExPetr cílila z velké části (50 %) na průmyslové podniky.
Obr: Snímek obazovky systému zasaženého ransomwarem Nyetya (dle Cisco)
Zdroj: Cisco
Cisco: Globální útok ransomwaru Nyetya pravděpodobně začal po aktualizaci účetnického softwaru
28. 6. 2017, 19:20: Bezpečnostní tým Cisco Talos mezitím útok ransomwaru pojmenoval jako Nyetya. Podle něj pravděpodobně začal na Ukrajině po aktualizaci softwaru na ukrajinské daňové účetnictví zvané MeDoc, která používají organizace a obchodníci napříč obory.
Také Cisco potvrdilo rozsah zasažených států. Jeho bezpečnostní tým dále potvrdil předchozí informace, že se ransomware po průniku do systému šíří se třemi způsoby:
Využitím exploit kitu EternalBlue, podobně jako ransomware WannaCry, využitím legitimního administrátorského nástroje pro Windows zvaného Psexec a využitím WMI (Windows Management Instrumentation) – legitimní komponenty pro Windows.
Další podrobnosti společnost zveřejnila na blogu Talos.
Bitdefender: Masivní útok ransomware #GoldenEye/#Petya
28. 6. 2017, 22:32: Poslední informace zaslala společnost Bitdefender. Ta se podle předběžných informací domnívá, že vzorek škodlivého softwaru, který je odpovědný za infekci, je téměř identickým klonem řady GoldenEye.
Na rozdíl od většiny ransomwaru nová verze #GoldenEye/#Petya má dvě vrstvy šifrování: první, která jednotlivě šifruje cílové soubory v počítači a další, která šifruje struktury NTFS, dodává Bitdefender.
Podle něj tento přístup zabraňuje tomu, aby počítač oběti naběhl do prostředí operačního systému a aby uchovával uložené informace nebo vzorky.
„Navíc po dokončení procesu šifrování ransomware speciálním procesem poškodí operační systém a spustí jeho restart, čímž přivede počítač do nepoužitelného stavu a zároveň zobrazí informaci o zaplacení výkupného ve výši 300 dolarů,“ dodává výrobce bezpečnostního řešení a další informace uvádí na webu Bitdefender Labs.
Zdroj: Bitdefender, Cisco, Check Point Software Technologies, Eset software, Kaspersky Lab