Sophos. Παραλλαγές του Petya πίσω από το πρόσφατο ξέσπασμα ransomware
Η SophosLabs διαπίστωσε πως νέες παραλλαγές του ransomware, Petya (γνωστού και ως GoldenEye) βρίσκονται πίσω από την πρόσφατη μαζική επιδημία που εξαπλώθηκε σε ολόκληρη την Ευρώπη, στην Ρωσία, στην Ουκρανία και αλλού (π.χ Ηνωμένες Πολιτείες). Κάποιες άλλες εταιρείες από την βιομηχανία της ασφάλειας το ονομάζουν PetrWrap.
Αυτό που καθιστά τη νέα αυτή απειλή διαφορετική είναι ότι τώρα συμπεριλαμβάνει το exploit με την ονομασία EternalBlue (ή και κάποια τροποποιημένη μορφή του) ως ένα τρόπο διάδοσής του στο εσωτερικό του δικτύου που αποτελεί τον στόχο. Το exploit επιτίθεται στην υπηρεσία Windows Server Message Block (SMB) που χρησιμοποιείται για τον διαμοιρασμό αρχείων και εκτυπωτών κατά μήκος τοπικών δικτύων. Η Microsoft όπως είναι γνωστό έχει ασχοληθεί με το ζήτημα και το έχει τακτοποιήσει (προσφέροντας τα απαραίτητα patches) με το bulletin MS17-010 από τον περασμένο Μάρτιο, ωστόσο ακριβώς το ίδιο exploit ήταν που αποδείχτηκε καθοριστικής σημασίας για την τρομακτική διάδοση του WannaCry τον περασμένο μήνα.
Το Petya επίσης επιχειρεί να εξαπλωθεί εσωτερικά σε ένα δίκτυο “σπάζοντας” κωδικούς πρόσβασης με δικαιώματα διαχειριστή και μολύνει άλλους υπολογιστές στο δίκτυο χρησιμοποιώντας εργαλεία απομακρυσμένης διαχείρισης. Επίσης μπορεί να διαδοθεί εσωτερικά με το να μολύνει διαμοιραζόμενα/ κοινόχρηστα στοιχεία δικτύου σε άλλους υπολογιστές. Και το καταφέρνει με το να τρέχει κώδικα κλοπής διαπιστευτηρίων για να “σπάει” κωδικούς πρόσβασης από λογαριασμούς χρηστών προτού εξαπολύσει το ransomware. Για να μολύνει απομακρυσμένους υπολογιστές, συνοδεύεται και από ένα νόμιμο εργαλείο απομακρυσμένης διαχείρισης με την ονομασία PsExec από τη σουίτα SysInternals της Microsoft.
Προστασία από τη Sophos
Όσοι πελάτες χρησιμοποιούν το Sophos Endpoint Protection προστατεύονται από όλες τις τελευταίες παραλλαγές αυτού του ransomware. Για πρώτη φορά δημοσιεύτηκε η προστασία στις 27 Ιουνίου και από τότε η εταιρεία έχει προσφέρει αρκετές ενημερώσεις για την περαιτέρω προστασία από τυχόν μελλοντικές παραλλαγές του. Επιπλέον, οι πελάτες που χρησιμοποιούν το Sophos Intercept X προστατεύονται προληπτικά χωρίς κρυπτογραφημένα δεδομένα από τη στιγμή που εμφανίστηκε αυτή η νέα παραλλαγή ransomware.
Επιπλέον, οι πελάτες μπορούν να επιλέξουν να περιορίσουν τη χρήση του PsExec και άλλων διπλής χρήσης εργαλείων διαχείρισης στο δίκτυό τους. Το Sophos Endpoint Protection παρέχει ανίχνευση PUA για psexec και άλλα προγράμματα απομακρυσμένης διαχείρισης που δεν είναι απαραίτητο να βρίσκονται και να είναι διαθέσιμα σε κάθε υπολογιστή και σε κάθε χρήστη του δικτύου.
Μέτρα άμυνας
- Βεβαιωθείτε ότι τα συστήματα έχουν τις τελευταίες ενημερωμένες εκδόσεις κώδικα, συμπεριλαμβανομένου και του patch MS17-010 της Microsoft.
- Εξετάστε το ενδεχόμενο να εμποδίσετε την εκτέλεση του εργαλείου PsExec της Microsoft σε υπολογιστές χρηστών. Μια έκδοση αυτού του εργαλείου επιστρατεύεται σε μία από τις τεχνικές που χρησιμοποιεί το ransomware Petya για να εξαπλώνεται αυτόματα. Μπορείτε να το αποκλείσετε χρησιμοποιώντας ένα προϊόν όπως το Sophos Endpoint Protection.
- Να δημιουργείτε αντίγραφα ασφαλείας τακτικά. Κρατήστε επίσης ένα πρόσφατο αντίγραφο ασφαλείας εκτός δικτύου/ Internet (off site). Υπάρχουν δεκάδες άλλοι τρόποι –και χωρίς απαραίτητα να είναι δουλειά κάποιου ransomware – για να εξαφανιστούν τα πολύτιμα αρχεία της επιχείρησης σας ξαφνικά, όπως είναι μία φυσική καταστροφή (μία πυρκαγιά ή πλημμύρα), η κλοπή, κάποιος χαμένος φορητός υπολογιστής ή ακόμα και μία διαγραφή κατά λάθος. Κρυπτογραφήστε στη συνέχεια το αντίγραφο ασφαλείας και δεν θα χρειαστεί να ανησυχείτε μήπως η συσκευή που περιέχει το αντίγραφο ασφαλείας (φορητός υπολογιστής, εξωτερικός σκληρός δίσκος, NAS κ.ά) πέσει σε λάθος χέρια.
- Αποφύγετε να ανοίγετε συνημμένα σε μηνύματα ηλεκτρονικού ταχυδρομείου από παραλήπτες που δεν γνωρίζετε, ακόμα κι αν εργάζεστε στο τμήμα Ανθρωπίνων Πόρων ή με λογαριασμούς και χρησιμοποιείτε πολλά συνημμένα στη δουλειά σας.
- Κατεβάστε την δωρεάν δοκιμαστική έκδοση του Sophos Intercept X, ενώ οι χρήστες στο σπίτι (που δεν βρίσκονται σε κάποια επιχείρηση) μπορείτε να εγγραφείτε για να αποκτήσετε δωρεάν το Sophos Home Premium Beta, το οποίο εμποδίζει το ransomware, αποκλείοντας την μη εξουσιοδοτημένη κρυπτογράφηση αρχείων και sectors του σκληρού σας δίσκου.
Για να αποφύγετε κυβερνοεπιθέσεις που χρησιμοποιούν το ηλεκτρονικό ταχυδρομείο:
- Για να αμυνθείτε γενικώς απέναντι στο ransomware δείτε το άρθρο: Πώς να παραμείνετε προστατευμένοι απέναντι στο ransomware
- Για να μάθετε περισσότερα για το phishing, διαβάστε αυτό το άρθρο-οδηγό
- Για να προστατευτείτε από συνημμένα JavaScript, ενημερώστε τον Explorer ώστε να ανοίγει τα αρχεία .JS με το Notepad (Σημειωματάριο)
- Για να προστατευτείτε από παραπλανητικά ονόματα αρχείων, ενημερώστε τον Explorer ώστε να εμφανίζει τις επεκτάσεις αρχείων
- Για να μάθετε περισσότερα σχετικά με το ransomware, ακούστε το podcast Techknow
- Για να προστατέψετε τους φίλους και την οικογένειά σας από το ransomware, δοκιμάστε δωρεάν το Sophos Home για Windows και Mac
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.