Kalendarz SECURITY

Lipiec 2017
P W Ś C Pt S N
26 27 28 29 30 1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31 1 2 3 4 5 6

Partnerzy portalu

slide2 slide3 slide4

Login Form

Redaktor naczelny

piotr blaszczecPiotr Błaszczeć- specjalista ds. bezpieczeństwa IT, audytor systemów IT, Lead auditor ISO 27001, 20000, 22301 jednostki certyfikacyjnej CIs CERT i Quality Austria, biegły sądowy z zakresu przestępst przy użyciu sieci komputerowych, Administrator Bezpieczeństwa informacji w kilku podmiotach sektora prywatnego i publicznego, członek ISACA, ISSA, IIC, IIS, SABI.
e-mail:
www.blaszczec.pl

ransomware petyaWiele firm do dnia dziesiejszego jeszcze nie podniosła się po ostatnich atakach. Poniżej prezentujemy kilka kolejnych komentarzy eskperckich poszczególnych firm zajmujących się bezpieczeństwem.

Aamir Lakhani, ekspert ds. cyberbezpieczeństwa, Fortinet

Oprogramowanie Petya wykorzystuje te same podatności, co te użyte przy ataku WannaCry w maju. Jest to tzw. „ransomworm” – ten wariant zamiast atakowania pojedynczej organizacji, wykorzystując robaka infekuje każde urządzenie, które napotka na swojej drodze.

Wygląda na to, że ten atak rozpoczął się od rozesłania pliku Excel, który wykorzystuje znaną lukę w pakiecie Microsoft Office. Efektem udanego ataku jest zaszyfrowanie plików w komputerze, a cyberprzestępcy żądają okupu w wysokości 300 dolarów w walucie Bitcoin za ich ponowne udostępnienie. Dodatkowo ostrzegają, że wyłączenie komputera skutkować będzie całkowitą utratą systemu – czym Petya wyróżnia się od większości dotychczasowych ransomware.

Niestety pomimo nagłośnienia istnienia wielu luk w systemach Microsoft i udostępnienia odpowiednich łat oraz globalnej skali drugiej fali ataku WannaCry, nadal tysiące organizacji, w tym zarządzających infrastrukturą krytyczną, nie zdołały usprawnić swoich zabezpieczeń. Ponieważ Petya wykorzystuje dodatkowe wektory ataku, sama aktualizacja systemu operacyjnego nie wystarcza do całkowitej ochrony. Oznacza to, że oprócz aktualizowania oprogramowania konieczne są odpowiednie praktyki i narzędzia zabezpieczające. Nasi klienci są chronieni, ponieważ wszystkie wektory tego ataku zostały wykryte i zablokowane przez nasze rozwiązania ATP, IPS oraz NGFW.

Z finansowej perspektywy WannaCry nie był szczególnie udany, ponieważ nie wygenerował dużych zysków dla jego twórców. Powodem tego było stosunkowo szybkie odnalezienie recepty na zneutralizowanie ataku. Z kolei Petya jest bardziej zaawansowaną wersją, jednak dopiero się okaże czy przestępcom uda się na niej więcej zarobić.
--

Leszek Tasiemski – ekspert ds. cyberbezpieczeństwa w firmie F-Secure
(VP, Rapid Detection Center, R&D Radar & RDS w firmie F-Secure)

Petya jest nowszym i skuteczniejszym odpowiednikiem niedawnego ataku ransomware o nazwie WannaCry. W odróżnieniu od niego, infekuje również w pełni zaktualizowane systemy. Atak przebiega w dwóch fazach – szerzenia infekcji oraz zaszyfrowania dostępu do danych na komputerze ofiary. Petya rozprzestrzenia się po sieci lokalnej próbując infekować sąsiednie komputery przy użyciu nazwy użytkownika i hasła wydobytego z komputera pierwszej ofiary. Po kilkudziesięciu minutach infekowania innych komputerów następuje automatyczny restart, po czym oprogramowanie szyfruje dostęp do plików i wyświetla ekran z żądaniem okupu.

Myślę, że możemy się spodziewać jeszcze wielu tego typu ataków, za każdym razem bardziej wyrafinowanych i skutecznych w rozprzestrzenianiu się. Żyjemy w czasach, kiedy złośliwe oprogramowanie będzie regularnie zakłócać funkcjonowanie nie tylko indywidualnych użytkowników, ale nawet największych instytucji oraz firm.
--
Sean Sullivan, doradca ds. cyberbezpieczeństwa w firmie F-Secure

Cyberprzestępcom wykorzystującym ostatnio WannaCry nie udało się wyłudzić dużej sumy, ponieważ nie byli w stanie poradzić sobie z liczbą ofiar dotkniętych przez złośliwe oprogramowanie, które rozprzestrzeniło się na niespotykaną skalę. Wygląda na to, że cyberatak przy użyciu ransomware o nazwie Petya jest bardziej „przemyślanym” działaniem nastawionym na zysk. Skończyły się czasy, w których globalne cyberataki mające na celu wyłudzanie okupów są przeprowadzane przez amatorów.

--
Dla przypomnienia:

Petya próbuje odzyskać hasła z pamięci systemu Windows, a następnie usiłuje odnaleźć i zainfekować wszystkie urządzenia w sieci lokalnej (z użyciem portów tcp/445 i tcp/139, a także mechanizmów WMI oraz PSexec). Oznacza to tyle, że pierwotny wektor ataku jest klasyczny – w praktyce ktoś w coś musi kliknąć. Jednak, kiedy już infekcja nastąpi, to o ile na zainfekowanym komputerze znajdują się jeszcze ślady logowania administratora domeny, Petya może zainfekować wszystkie pozostałe komputery w sieci. Po infekcji oprogramowanie modyfikuje sektor startowy dysku (MBR), instalując na nim oprogramowanie szyfrujące. Następnie przez kilkadziesiąt (30-40) minut próbuje infekować inne maszyny w sposób opisany powyżej, po czym następuje restart maszyny i jej uruchomienie do programu szyfrującego (w trybie terminala tekstowego), który jednocześnie wyświetla informację o żądanym okupie. Szyfrowanie odbywa się przy pomocy silnego algorytmu AES-128, co oznacza nikłe szanse na odszyfrowanie zawartości bez zapłacenia okupu. Opłata za odblokowanie danych tradycyjnie odbywa się w kryptowalucie BitCoin – aktualnie jest to ekwiwalent 300 dolarów.

[źródło: informacja prasowa]