Petya Wielki… Problem

Cyberatak Petya mocno zmącił wodę w stawie pełnym leniwych karpii. Mimo, iż od ataku WannaCry minęło dopiero kilka tygodni, nie wszystkie rządy, a tym bardziej firmy wyciągnęły z poprzedniej lekcji właściwe wnioski. Nawet jeśli ransomware stają się coraz bardziej wyrafinowane, najsłabszym ogniwem i tak pozostaje czynnik ludzki.

Fot: IDGNS, Michael Kan

Wtorek 27 czerwca zaczął się jak w dobrym filmie akcji. Ukraińskie banki zaczęły komunikować klientom o problemach z systemem i uniedogodnieniami związanymi z ograniczoną możliwością wypłat w bankomatach, stanęły strony administracji państwowej Ukrainy, ukraińska sieć energetyczna zaczęła mieć problemy z systemem kontroli. A dalej zadziałał efekt śnieżnej kuli, wciągając po drodze inne państwa, w tym i Polskę. Dobę później wiemy nieco więcej o tym, co się stało. Do pełni wiedzy jednak jest jeszcze daleko.

300

Wczorajszy dzień przyniósł serię ataków cybernetycznych na globalną skalę. Oprogramowaniem ransomware o nazwie Petya (Pietia) zainfekowane zostały systemy informatyczne m.in. na Ukrainie, w Danii, Rosji i Wielkiej Brytanii. Ataki spowodowały poważne zakłócenia w działalności wielu firm i instytucji publicznych. Najbardziej ucierpiała Ukraina, gdzie skierowano ok 60 proc wszystkich ataków Petya.

Zobacz również:

Redakcja Computerworlda skontaktowała się ze znanym na Ukrainie ekspertem i trenerem z zakresu cyberbezpieczeństwa, Mykołą Kostynianem. „Wczoraj bardzo wiele dużych firm, w tym państwowych, odkryło, że ich komputery zostały zaszyfrowane poprzez ransomware. Sprawcy tego ataku zażądali za odszyfrowanie każdego komputera wpłaty 300 dolarów na rachunek Bitcoin. Już około godziny 15.00 wiele instytucji zostało zamkniętych, zarządzono wyłączenie komputerów i zamknięcie sieci” – opowiada Mykoła Kostynian. „W ciągu kilku godzin Ukraińcy na własnej skórze przekonali się, że cyberbezpieczeństwo to pojęcie realne, a nie hasło znane tylko z mediów” – dodał.

„Wzrost liczby ataków ransomware oraz zaskakująca różnorodność wariantów tego oprogramowania przyjęły przez ostatni rok niespotykaną dotąd skalę. Z początku mieliśmy do czynienia z atakami na konkretne, wcześniej wybrane organizacje i szyfrowaniem ich danych. Następnie pojawiły się ransomware blokujące działanie usług świadczonych klientom atakowanych firm – przykładem tego typu kampanii jest Mirai, który w zeszłym roku masowo sparaliżował działanie urządzeń IoT. Kolejnym etapem tej ewolucji był RaaS, czyli ransomware jako usługa, dzięki któremu cyberprzestępcy zarabiali na udostępnieniu gotowych narzędzi do przeprowadzania ataków wymuszających okup” – zauważa Aamir Lakhani, ekspert ds. cyberbezpieczeństwa z zespołu FortiGuard Labs firmy Fortinet.

PCWorld

PCWorld

Petya o niebo lepszy…

W maju zaatakował WannaCry, ransomware. Nie był to jednak dobrze przygotowany atak, a – jak wskazują analizy – skala uderzenia przerosła samych hakerów…

„Jeśli chodzi o skalę ataku, to mamy właściwie powtórkę, z tego, co obserwowaliśmy półtora miesiąca temu w związku z atakiem WannaCry, z taką różnicą, że teraz oprogramowanie było staranniej przygotowane od strony technicznej. W WannaCry mieliśmy tzw killswitch, jeśli oprogramowanie widziało pewien obiekt w sieci, to po prostu się nie uruchamiało. To miało prawdopodobnie na celu omijanie systemów zabezpieczeń, ale pozwoliło również wyłączyć ransomware. Tego typu systemu bezpieczeństwa w Petya nie było. Być może w przypadku WannaCry ten killswitch był intencjonalnie umieszczony, by wyłączyć ransomware, natomiast spekulacje ze strony ekspertów bezpieczeństwa raczej są takie, że to był mechanizm mający na celu omijanie systemów zabezpieczeń” – wyjaśniał Computerworldowi Marek Krauze, ekspert ds. cyberbezpieczeństwa Trend Micro.

„Obecnie twórcy ransomware zaczęli stosować dwie nowe drogi wykorzystania luk w oprogramowaniu. W przypadku WannaCry cyberprzestępcy po raz pierwszy połączyli oprogramowanie ransomware z robakiem, by przyspieszyć infekowanie nowych urządzeń i osiągnąć znacznie szerszą skalę ataku – ten wariant określamy jako „ransomworm”. Petya jest jeszcze bardziej zaawansowaną formą tego typu, która uderza w Master Boot Record, by zwiększyć konsekwencje nieopłacenia okupu z utraty danych, po potencjalną utratę całego systemu” – zauważa Aamir Lakhani z Fortinet.

Podobne spostrzeżenia ma Marek Krauze. „Dlaczego teraz tak szybko rozprzestrzeniał się wirus Petya? Ponieważ były w nim zaimplementowane te same mechanizmy, które przypominają „starodawne” robaki internetowe, wykorzystujące niezałataną podatność w systemach teleinformatycznych, związaną z tzw wyciekiem Shadow Brockers (wyciekły exploity z NSA, jeden z nich był wykorzystany zarówno w WannaCry jak i Petya – przyp. Red.), ale okazuje się, że nie tylko zostały użyte exploity, ale też narzędzia, z którego korzystają hackerzy i administratorzy na całym świecie, pozwalające na wykonanie poleceń na zdalnym komputerze, o ile się przejęło, czy też ma – w przypadku administratora - kontrolę nad jednym komputerem w sieci. To już jest narzędzie generyczne, znacznie trudniej jest się ustrzec przed tego typu działaniami. Wszystko zależy w jaki sposób, jak bardzo restrykcyjnie jest skonfigurowany system w organizacji. Tego typu narzędzia jest bardzo trudno zablokować” – stwierdza ekspert z Trend Micro.

Jedno jest pewne, dziś atak Petya (o ile jest to Petya – np. eksperci z firmy Kaspersky uważają, że to zupełnie nowy typ ransomware, który nie ma nic wspólnego z Petya, znanym tak naprawdę już rok temu – o czym informowała niemiecka firma heise Security) jest nazywany największym cyberatakiem w historii Internetu. I chyba największym wyzwaniem dla Microsoftu – to jego Windows, nawet najnowsza „dziesiątka” został zainfekowany. Przynajmniej nie odnotowano skutecznych ataków na inne systemy…

Polski ślad

Cyberatak odczuła również Polska. Dokładniej zaś firmy, które posiadają na Ukrainie swoje oddziały. W mediach pojawiły się nazwy konkretnych organizacji, które stały się ofiarą Petya, większość z nich nie chciała rozmawiać z redakcją Computerworlda, bądź też nie miała zbytnio czasu, w związku z sytuacją, w jakiej się znalazła. Udało się nam porozmawiać z Robertem Kucharczykiem, CIO Inter Cars, jego firma posiada między innymi oddział na Ukrainie. Szef IT tej spółki wyjaśnił nam, że atak na Inter Cars nie dotyczył tylko ukraińskiej części biznesu firmy, ale wirus rozpropagował się szerzej. Dziś spółka usilnie pracowała nad odtworzeniem zasobów z backupu, zaś sama działalność firmy była prowadzona na systemach rezerwowych. Jak zaznaczył CIO Inter Cars, zaskoczeniem dla firmy było to, że „pod ostrzał” trafił średni biznes. Zakłada jednak, że był to rodzaj rykoszetu, nie zaś specjalnie skierowany na spółkę atak.

IDGNS

IDGNS

Dwie drogi

Marek Krauze, ekspert z Trend Micro zauważa, że Petya uderzył niekoniecznie tylko w te firmy, które powiązane są biznesowo ze wschodnimi sąsiadami (przypomnijmy, że ok 30 proc ataku Petya było zrealizowanych na terenie Rosji). „Nie mamy dowodów, słyszeliśmy jedynie doniesienia prasowe, że zostały tym atakiem dotknięte również małe firmy w Polsce, które nie mają żadnych powiązań z ukraińskimi sieciami, więc bardzo możliwe, że wektorem ataku jest na przykład poczta elektroniczna, jak to bywa w 99 proc przypadków takich ataków. Być może jest to jeszcze inny mechanizm, ale nie mamy potwierdzonej informacji” – zaznacza Marek Krauze.

Na razie pod uwagę brane są dwie drogi rozprzestrzeniania się wirusa Petya. Jedna została na pewno potwierdzona, zarówno przez Służbę Bezpieczeństwa Ukrainy, jak i zagranicznych ekspertów. To klasyczny phishing, do użytkowników przychodził mail z załącznikiem, którego uruchomienie na jednym firmowym (czy instytucjonalnym) komputerze spowodowało lawinę zdarzeń. Druga możliwość rozprzestrzeniania się wirusa to aktualizacja popularnego na Ukrainie programu finansowego M.E.doc. Tak uważają na przykład eksperci z organizacji badawczej Cisco Talos oraz ukraińska „cyberpolicja”.

„O ile mogę w pełni potwierdzić pierwszy kanał rozprzestrzeniania się wirusa, drugiego nie potwierdzam. Na razie mamy za mało danych, a za duży szum informacyjny” – stwierdził nasz ukraiński ekspert, Mykoła Kostynian. „To nie jest moim zdaniem najważniejsze. O wiele bardziej istotne jest wyciągnięcie w końcu wniosków, które muszą prowadzić do edukacji użytkowników i pracowników organizacji. Tu jest najsłabszy punkt. Ktoś w końcu otwiera te załączniki…” – dodał.

Podobnie twierdzi Marek Krauze z Trend Micro. „Wszystko jednak zaczyna się od pewnego rodzaju ataku socjotechnicznego - dostajemy maila z poczty, od kuriera, z zakładu energetyki. Często ta informacja jest tak sformułowana, że trudno się jest powstrzymać przed kliknięciem, np. rachunek za prąd w wysokości 2000 zł. Z samej ciekawości czy niepokoju klikamy w załącznik czy link. Trzeba więc budować świadomość, ostrzegać ludzi” – zauważył.

Strzał w Infrastrukturę Krytyczną

Na Ukrainie sprawa wirusa Petya musi poczekać do czwartku. Dziś nasi sąsiedzi świętują Dzień Konstytucji, wszystkie urzędy i firmy nie pracują. Zapewne poza działami IT. „Myślę, że cały dzisiejszy dzień trwa przywracanie danych z backupu, o ile organizacje posiadają pełny i aktualny backup. Według mnie to jedyne żelazne zabezpieczenie, które może uratować firmy przed skutkami jakiegokolwiek wirusa szyfrującego. Jutro te firmy, które backup miały, wznowią swoją działalność. Inne będą miały spore zmartwienie…” – powiedział Mykoła Kostynian.

Wczorajszy atak pokazał, jak w ciągu kilku godzin można praktycznie rozłożyć państwo na łopatki.

Rykoszetem dostała też Polska (wstępnie stwierdzono, że jest to trzeci poszkodowany kraj, po Ukrainie i Rosji). Czy powinniśmy zacząć się obawiać nad Wisłą o podobny scenariusz jak ten znad Dniepra?

„Zdecydowanie powinniśmy się obawiać. Nie ma żadnej pewności, że następny taki atak nie będzie nacelowany bezpośrednio w nasz kraj. A nawet i kwestia takich „rykoszetów” potrafi być bardzo bolesna. Firmy, które zostały zaatakowane, praktycznie traciły możliwość dalszego funkcjonowania. Nawet jeżeli były dobrze przygotowane na konieczność odtwarzania działalności – czyli przynajmniej miały aktualne kopie zapasowe, przetestowane i nadające się do odtworzenia, to i tak ten proces w przypadku nawet średniej firmy może trwać godzinami. Scenariusz ukraiński był szczególny też z tego powodu, że zainfekowano potężną ilość instytucji państwowej, w tym obiektów wchodzących w skład Infrastruktury Krytycznej. Tym terminem określa się wszystkie te instalacje, których niewłaściwe funkcjonowanie może mieć bezpośredni negatywny wpływ na funkcjonowanie całej instytucji Państwa i wszystkich obywateli. Nie można niestety wiecznie polegać na szczęściu, konieczne jest podjęcie zdecydowanych działań w zakresie bezpieczeństwa IT tak w administracji publicznej jak i prywatnych przedsiębiorstwach. Bardzo często najwyższe kierownictwo patrzy na aspekty cyberbezpieczeństwa jako na zbędną i zbyt wysoką pozycję kosztów. Niekiedy okazuje się jednak, że udawanie, że jest dobrze i wyświetlanie zielonych arkuszy kalkulacyjnych jest weryfikowane przez życie i straty potrafią być potężne” – wyjaśniał specjalnie dla Computerworlda Jakub Syta, Dyrektor Biura Zarządzanych Usług Bezpieczeństwa Exatel. W podobnym tonie wypowiadał się dziś, o czym donosiła Agencja PAP, Juliusz Brzostek, dyrektor Narodowego Centrum Cyberbezpieczeństwa w NASK, który stwierdził, że nie wyklucza ataku cybernetycznego na Polskę na dużą skalę.

Przyszło nam żyć w ciekawych czasach…