» »

O virusu NotPetya še manj jasnega

O virusu NotPetya še manj jasnega

Slo-Tech - Pisci zadnjega virusa, ki je v Ukrajini in številnih ostalih državah povzročilo obilico škode in zmede, so ponovno premešali karte in sedaj zahtevajo odkupnino. Sprva je kazalo, da je virus še en v vrsti izsiljevalskih virusov, a je kasneje postalo jasno, da je to zgolj krinka in da virus v glavnem uničuje podatke - odtod tudi najnovejše poimenovanje NotPetya. Čeprav je virus zahteval odkupnino, plačilo žrtvam ni pomagalo. V Ukrajini se medtem klobčič odvija in kaže na veliko malomarnost piscev legitimnega računovodskega programa, ki so ga hekerji uporabili kot vektor za širjenje napada.

Nekaj denarja se je napadalcem vseeno nabralo, saj so pisci virusa iz denarnice, kamor so pričakovali vplačala, uspeli prestaviti za 10.000 dolarjev bitcoinov in manjši del nakazati DeepPaste in Pastebinu. Tik pred tem pa so na DeepPaste (dosegljiva izključno prek Tora) in Pastebinu objavili sporočilo, v katerem so spet zahtevali odkupnino v zameno za izročitev zasebnega ključa. Zahtevali so 100 bitcoinov, kar je približno 250.000 dolarjev, v zameno pa bi izročili ključ, s katerim bi lahko odklenili vse zašifrirane datoteke.

Okuženih računalnikov s tem sicer ne bi mogli spraviti v delujoče stanje, ker je virus prepisal zagonske sektorje, lahko pa bi rešili posamezne datoteke. Ni še mogoče reči, ali je bila ponudba avtentična, ker ni vsebovala denarnice za nakazilo bitcoinov, temveč le usmeritev na pogovor v darknetu, kjer bi se dogovorili o podrobnostih. Tam so dejansko odgovarjali ljudje, ki so trdili, da stojijo za NotPetyo. Ker pa niso mogli (ali želeli) odšifrirati datoteke, ki so jim jo posredovali novinarji Motheboarda, so njihove trditve na trhlih nogah. Še vedno ostaja neodgovorjeno glavno vprašanje - ali je bil namen virusa ohromiti Ukrajino ali zaslužiti kaj denarja?

Medtem pa se v Ukrajini borijo še z enim napadom, kar tehtnico nagiba v smer razlage, da gre poizkuse destabilizacije države. Ukrajinsko podjetje, ki izdeluje računovodski program, prek katerega se je razširila NotPetya, so sporočili, da so računalniki na istem omrežju kot katerikoli računalnik, ki uporablja njihovo programsko opremo M.E.Doc, spet ranljivi za napad. M.E.Doc uporablja več kot 80 odstotkov ukrajinskih podjetij, tako da je nameščen na milijonu računalnikov. Policija je dejala, da so drugi napad za zdaj uspešno preprečili. Kot kaže, strežniki, kamor se povezuje M.E.Doc, niso bili posodobljeni že od leta 2013, program pa je poln hroščev in lukenj. Napadalci so pridobili dostop do strežnikov in izvorne kode programa in vanj podtaknili stranska vrata, ki so jih izrabili za napad.

Ukrajinska policija je ta teden preiskala prostore proizvajalcev M.E.Doc in vsem priporočila, da programa ne uporabljajo več. Odgovornim v podjetju grozi pregon, ker so vedeli, da so njihovi strežniki nezaščiteni, a niso ukrepali.

5 komentarjev

AndY1 ::

Ampak, ampak... A niso krivi rusi?

http://www.rtvslo.si/svet/ukrajinska-va...

Tr0n ::

Kot kaže, strežniki, kamor se povezuje M.E.Doc, niso bili posodobljeni že od leta 2013

Ocitno je student ali zaposlen, ki je vcasih skrbel za te streznike, naredil slabo predajo oz. so ga odpustili in potem so vsi pozabli, da se sploh obstajajo. :)

harmony ::

Odgovornim v podjetju grozi pregon, ker so vedeli, da so njihovi strežniki nezaščiteni, a niso ukrepali.

Se bodo opravicevali...neee nam nihce tega ni sporocil...kot vedno v vsaki taki jebeni firmi. IT resnicno potrebuje eno hudo reformacijo.

poweroff ::

Odgovornim v Ajpesu... aja ne, to je Ukrajina. :))
sudo poweroff

SeMiNeSanja ::

Takih podjetij z varnostjo na psu je vsepovsod po svetu kolikor jih hočeš.
Posebnost tega Ukrainskega je zgolj v tem, da so izredno uspešno tržili svojo računovodsko aplikacijo, ki se je naselila v skoraj vsako Ukrainsko podjetje.

Potem pa rabiš samo še malenkost šalabajzerstva, da ti kompromitirajo autoupdate servis in že je 80% Ukrainskih podjetij izpostavljenih resni grožnji, preko njih pa še vsa druga podjetja po svetu, katera imajo z njimi vzpostavljene VPN povezave brez resnejšega filtriranja prometa.

Najbolj žalostno pri vsem tem je to, da pri vsem deanrju, ki so ga pokasirali za svoje računovodske programe, niso bili sposobni update proceduro izpeljati tako, da nebi mogel kdo nepooblaščen podtakniti neke svoje kode v popravke. Očitno je njihov računovodski program 'prebavil' karkoli si mu podtaknil, ne da bi preverjal kakšno checksumo, certifikat,.... kar tako malo po domače vse skupaj.

Tu se potem resno sprašuješ, kako je tem mandeljcem uspelo tako skrpucalo prodati v 80% podjetij v državi. Očitno so bili bistveno boljši prodajalci, kot programerji.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Na pol milijona ukrajinskih usmerjevalnikov nastaja botnet nejasnega namena

Oddelek: Novice / Varnost
259337 (4995) Ales
»

Po Ukrajini in Rusiji pustoši BadRabbit

Oddelek: Novice / Kriptovalute
158733 (6927) MrStein
»

Avtorji stare Petye objavili šifrirne ključe

Oddelek: Novice / Varnost
4113300 (10887) poweroff
»

V Ukrajini ogromne težave zaradi izsiljevalskega virusa, ki se že širi na Zahod (strani: 1 2 )

Oddelek: Novice / Kriptovalute
5326826 (22967) SeMiNeSanja
»

Petya prizadela vsaj 65 držav

Oddelek: Novice / Kriptovalute
1911604 (9868) opeter

Več podobnih tem