K aktuálním útokům ransomwarem, který byl zaznamenán nejprve na Ukrajině a v Rusku, začaly vydávat své komentáře a zjištění také bezpečností firmy.
Eset
Mezi významně postiženými zeměmi je i Itálie, Izrael, Srbsko, ale také země střední a východní Evropy včetně ČR. Ta je momentálně na deváté příčce žebříčku nejvíce zasažených států.
Eset tuto hrozbu detekuje jako Win32/Diskcoder.C Trojan. Nový ransomware připomíná známý škodlivý kód Petya. Když se mu podaří infiltrovat do MBR (Master boot record), hlavního spouštěcího záznamu počítače, zašifruje celý disk. V opačném případě šifruje jednotlivé soubory, stejně jako ransomware Mischa. Tvůrci kódu žádají od obětí platbu 300 dolarů, jinak napadená zařízení neodšifrují.
Nový ransomware se šíří prostřednictvím kombinace SMB exploitu, který využíval i nechvalně známý ransomware WannaCry, jehož útok zasáhl před více než měsícem na 200 milionů počítačů, a programu PsExec, což je nástroj pro vzdálenou instalaci a spouštění libovolných aplikací. Tato nebezpečná kombinace může být důvodem, proč se tato epidemie velmi rychle šíří po celém světě, a to i poté, co předchozí útok WannaCry široce medializoval problematiku ransomware a většina zranitelností již byla záplatována.
Škodlivému kódu stačí, aby infikoval jediný počítač a dostal se tak do firemní sítě, kde pak malware může získat administrátorská práva a šíří se do dalších počítačů.
Eset zatím nezaznamenal žádné zprávy o výpadcích dodávek elektrické energie, jako tomu bylo dříve u nechvalně proslulého malware Industroyer.
Útok se ale rozhodně nesoustředí jen na několik vybraných zemí, postiženo je i Španělsko, Indie a velké potíže hlásí dánská námořní společnosti Maersk či britská reklamní společnost WPP.
Avast
Aktuální masivní kyberútok, který zasáhl ukrajinské banky, energetické firmy, dopravní služby, ale i tamní vládu, je pravděpodobně způsoben odvozenou modfikací ransomwaru Petya, který byl poprvé identifikován v roce 2016. Před několika měsíci jsme zaznamenali modifikaci ransomwaru Petya, který se šířil jako odlišný kmen s názvem PetrWrap. Zdá se, že útoky se šíří rychle i mimo Ukrajinu a stále přibývají případy z Ruska, Indie, Francie, Španělska a Nizozemí.
…
Zatím nevíme, kdo jsou vyděrači, kteří stojí za modifikací ransomwaru Petya. Jeho tvůrci ho nabízejí na darknetu za pomoci finančního modelu, který případným šiřitelům tohoto škodlivého softwaru nabízí 85 % ze získaného výkupného, zatímco tvůrcům zůstane 15 %.
Check Point
Check Point zjistil zapojení bota Loki, který byl použit ke krádežím přihlašovacích údajů.
Kaspersky Lab
Zdá se, že se jedná o komplexní útok, na kterém se podílí několik aktérů. Můžeme potvrdit, že pro šíření útoku přinejmenším v rámci podnikové sítě je využíván upravený exploit EternalBlue a EternalRomance.
Dle našich informací nebyly k napadení obětí použity žádné exploity. Místo toho se návštěvníkům webu stáhl infikovaný soubor, který se tvářil jako aktualizace systému Windows.
Cisco Talos
Malware Nyetya je po WannaCry teprve druhý ransomware, který se šíří jako virus typu červ (tzn. v celé síti, nikoliv pouze do infikovaného zařízení). Jakmile ransomware pronikne do systému, šíří se třemi způsoby. Jedním z nich je využití exploit kitu EternalBlue, podobně jako ransomware WannaCry. Mezi další mechanismy šíření patří využití legitimního administrátorského nástroje pro Windows zvaného Psexec a legitimního komponentu pro Windows s názvem WMI (Windows Management Instrumentation).
