Výskumníci bezpečnostnej spoločnosti ESET identifikovali príčinu počiatku ďalšieho masívneho kybernetického útoku, ktorý začal na Ukrajine. Je ním trojanizovaná aktualizácia účtovného softvéru M. E. Doc, ktorý je populárny vo viacerých segmentoch na Ukrajine, vrátane finančného.
„Viacero z firiem spustilo škodlivú aktualizáciu tohto softvéru, ktorá útočníkom umožnila začať masívnu ransomware kampaň, ktorá sa v utorok popoludní rozšírila po celej Ukrajine a do ďalších krajín,“ vysvetľuje výskumník škodlivého kódu zo spoločnosti ESET Róbert Lipovský. M. E. Doc svojich používateľov ešte v utorok varoval na svojej stránke pred touto aktualizáciou, ku ktorej útočníci pridali škodlivý komponent.
I teraz je ransomware typom škodlivého kódu, ktorý napáda počítače v tejto vlne útoku. Po infekcii zašifruje alebo zablokuje obsah infikovaného zariadenia a za odšifrovanie alebo odblokovanie požaduje od jeho majiteľa finančné výkupné. V prípade tohto ransomwaru sa zjavne jedná o verziu staršieho škodlivého kódu s názvom Petya. „Ak úspešne infikuje Master boot record zariadenia, zašifruje kompletne celý disk. Ak nie, šifruje postupne všetky súbory na zariadení, podobne ako známy ransomware Mischa,“ opisuje Lipovský.
Podobne ako ransomware WannaCry aj tento škodlivý kód zjavne zneužíva na úspešné preniknutie do siete zraniteľnosť EternalBlue, na ktorú vydala spoločnosť Microsoft záplatu ešte v marci 2017. Následne sa v sieti šíri cez legitímny nástroj PsExec. „Táto nebezpečná kombinácia môže byť dôvodom, prečo sa tento ransomware začal šíriť tak rýchlo aj napriek tomu, že po poslednom útoku škodlivým kódom WannaCry prispeli médiá k tomu, aby si používatelia a firmy zaktualizovali svoje zariadenia. Na to, aby sa nová verzia Petye dostala do firemnej siete jej stačí len jeden jediný neaktualizovaný počítač, škodlivý kód vie následne získať administratívne práva a rozšíriť sa do ďalších zariadení,“ varuje Lipovský.
ESET v priebehu utorka na Slovensku nezaznamenal žiadne infikované zariadenia a ani pokus o ich infekciu. Medzi najviac zasiahnuté krajiny patrí suverénne Ukrajina, tam mal škodlivý kód napadnúť napríklad finančný a energetický sektor. Tento škodlivý kód sa však šíri napríklad aj v Taliansku a v Izraeli.
Podobne ako pri ransomwari WannaCry, ESET chránil pred týmto škodlivým kódom ešte pred jeho vzniknutím na sieťovej úrovni tak, že blokoval hrozby zneužívajúce zraniteľnosť EternalBlue. Túto konkrétnu hrozbu deteguje pod názvom Win32/Diskcoder.C.
Pred ransomwarom sa dá účinne chrániť týmito opatreniami:
- Neotvárajte prílohy správ od neznámych adresátov prípadne také, ktoré ste vôbec nečakali.
- Varujte kolegov na oddeleniach, ktoré najčastejšie dostávajú e-mailové správy z externého prostredia – napríklad personálne a finančné. Firmy by mali zamestnancov o podobných hrozbách pravidelne školiť, práve cez nich totiž vystavujú svoje systémy nebezpečenstvu.
- Pravidelne zálohujte obsah svojho zariadenia. Aj v prípade úspešnej infekcie sa týmto spôsobom budete môcť dostať k vašim dátam. Externý disk alebo iné úložisko však nemôžu byť neustále pripojené k zariadeniu, inak bude jeho obsah tiež zašifrovaný. V prípade firiem a organizácii by malo byť testované, či a ako rýchlo sa vie firma k zálohe dostať.
- Pravidelne aktualizujte operačný systém a ostatné programy, ktoré na zariadení používate. Ak stále používate už nepodporovaný operačný systém Windows XP, seriózne zvážte prechod na novšiu verziu Windowsu.
- Bezpečnostný softvér používajte nie len s najnovšími aktualizáciami ale ideálne aj jeho najnovšiu verziu. Výrobcovia do novších verzií totiž pridávajú mnoho dodatočných bezpečnostných funkcií. Ak používate bezpečnostný softvér od ESETu, majte zapnutý ESET LiveGrid. Ten totiž lepšie blokuje procesy ransomwaru. Na malware dokáže reagovať skôr, než najnovšia vírusová databáza.
