Một ransomware mới có tên "Petya" Nó đã tấn công một số trang web của các công ty lớn. Trong những tháng trước đó, wannaCry attack Nó đã gây ra sự hỗn loạn trên hơn 300,000 máy tính trên toàn thế giới; Petya được cho là có liên quan đến sự kiện này. loại công cụ hack mà WannaCry sử dụng và có chung các vectơ lan truyền.
Petya đã chiếm giữ hàng nghìn máy tính, gây ảnh hưởng đến các công ty và cơ sở hạ tầng của họ, từ... Ukraine với Hoa Kỳ và Ấn ĐộĐiều này đã ảnh hưởng đến Sân bay quốc tế Ukrainađến các công ty vận tải đa quốc gia, các công ty luật và quảng cáo, và dẫn đến việc ngừng hoạt động các hệ thống giám sát bức xạ tại các cơ sở hạt nhân. Chernobyl, chứng minh tác động toàn cầu lớn Loại mã độc tống tiền này nhắm vào cơ sở hạ tầng trọng yếu và các dịch vụ thiết yếu.
Phạm vi và tầm ảnh hưởng toàn cầu của Petya
Nhiều công ty trên toàn thế giới đã bị ảnh hưởng bởi điều này. cuộc tấn công ransomware Đó là lỗi ảnh hưởng đến máy tính chạy hệ điều hành Windows và thường cần đến biện pháp khắc phục sự cố. bitcoins để cố gắng khôi phục quyền truy cập. Các quốc gia bị ảnh hưởng nặng nề nhất bao gồm: Ukraina, Nga, Vương quốc Anh và Ấn ĐộMặc dù các vụ việc tương tự cũng được báo cáo ở Tây Ban Nha và nhiều khu vực khác nhau của Bắc Mỹ, Nam Mỹ và châu Á.
Các chuyên gia an ninh đã xác định các biến thể liên quan đến Petya (còn được gọi là Petrwrap), trong khi các công ty như Kaspersky và các nhà cung cấp khác đã xác định một biến thể được gọi là NotpyetyaĐược nhiều chuyên gia coi là một loại phần mềm tống tiền giả mạo. Mục tiêu chính là gây hại. và không nhất thiết phải nhằm mục đích gây quỹ.
Trong lĩnh vực doanh nghiệp, Petya đã gây ảnh hưởng. các nhóm quảng cáo lớn, công ty cơ sở hạ tầng, sức mạnh, dược phẩmcũng như các văn phòng chính phủ và các cơ quan hành chính công. Chi phí thực sự không chỉ giới hạn ở gói cứu trợ: nó bao gồm mất mát hoặc đánh cắp thông tinSự gián đoạn hoạt động kéo dài, thiệt hại về uy tín, và các chi phí kỹ thuật và pháp lý. Trong nhiều trường hợp, hệ thống thanh toán tiền chuộc bị vô hiệu hóa hoặc không cung cấp được khóa giải mã, củng cố giả thuyết rằng trong nhiều trường hợp, mục đích là... phá hủy dữ liệu và gây ra sự bất ổn..
Phản hồi từ các tổ chức quốc tế và cơ quan thực thi pháp luật
Europol Ông không thể cung cấp dữ liệu hoạt động liên quan đến vụ tấn công trong giai đoạn đầu; người phát ngôn của ông cho biết. Tine hollevoet Ông cho biết họ đang cố gắng "có được bức tranh toàn diện về vụ tấn công" bằng cách hợp tác với ngành công nghiệp và các đối tác thực thi pháp luật. Vụ Petya "là minh chứng cho thấy tội phạm mạng có thể phát triển và lan rộng như thế nào, và một lần nữa, nó nhắc nhở chúng ta về tầm quan trọng của doanh nghiệp và an ninh." an ninh mạng"Vị CEO tuyên bố. Europol, Rob Wainwright.
Ngoài Europol, các đội từ Ứng phó sự cố Nhiều nhà cung cấp (như Check Point, Cisco và các hãng khác) đã phát hiện các biến thể của Petya đang lây lan theo chiều ngang trong hệ thống. mạng công tyNhiều báo cáo đều nhất trí rằng cuộc tấn công bắt đầu với cường độ đặc biệt cao ở Ukraine, gây ra sự gián đoạn lớn đối với cơ sở hạ tầng trọng yếu trước khi lan rộng ra phần còn lại của châu Âu và các lục địa khác.
Cơ chế hoạt động của Petya và lý do tại sao nó lại nguy hiểm đến vậy.
Petya đặc biệt nguy hiểm vì, không giống như ransomware mã hóa từng tập tin một, nó có thể... khóa toàn bộ ổ đĩaNhiều biến thể mã hóa Bản ghi khởi động chính (MBR) và các phân vùng quan trọng của đĩa, và hiển thị một thông báo mô phỏng “sửa chữa hệ thống tập tin” trong khi thực tế họ đang mã hóa thiết bị.
Khác với WannaCry, đòn tấn công của Petya không bao gồm... “công tắc tắt”Theo Europol và các phân tích trong ngành, điều này khiến việc vô hiệu hóa nó trở nên khó khăn một khi nó đã lây lan. Trong một số trường hợp, phần mềm độc hại chờ khoảng một giờ sau khi lây nhiễm trước khi khởi động lại hệ thống và hiển thị cảnh báo mã hóa, trong thời gian đó nó có thể tiếp tục lây lan trên mạng.
El Đội ứng phó khẩn cấp máy tính Hoa Kỳ (US-CERT) và các trung tâm ứng phó khác bắt đầu nhận được nhiều báo cáo về các ca nhiễm bệnh và nhận thấy rằng biến thể này đang gây ra Nhật ký Windows và khai thác các lỗ hổng trong dịch vụ nhắn tin SMB. Những lỗi này cho phép các hệ thống chưa được vá lỗi bị xâm nhập ngay cả khi chúng có các biện pháp bảo vệ cơ bản.
Tệp được xác định là RAMSON_PETYA.SMA Nó bao gồm nhiều biến thể và vectơ lây nhiễm khác nhau, một số trong đó cũng đã được sử dụng trong... wannaCry attackCác kỹ thuật lan truyền kết hợp khai thác SMBv1 “EternalBlue”các công cụ quản trị từ xa như PsExec để di chuyển ngang và các chiến dịch của Lừa đảo có tệp đính kèm hoặc liên kết độc hại.
Các chiến lược phòng ngừa: cần làm gì trước, trong và sau khi bị tấn công
Cách bảo vệ tốt nhất chống lại Petya là... chiến lược phòng ngừa toàn diệnCác chuyên gia khuyến nghị các biện pháp được thực hiện theo ba giai đoạn: trước khi tấn công, trong quá trình lây nhiễm và sau sự cố, kết hợp kiểm soát kỹ thuật với quản lý yếu tố con người.
Trước khi tấn công: duy trì sao lưu thường xuyên và được xác minh thông qua các mô phỏng phục hồi; áp dụng các bản vá lỗi và cập nhật của hệ điều hành và ứng dụng; vô hiệu hóa các giao thức không an toàn như SMBv1 nếu có thể; triển khai các giải pháp ngăn chặn mối đe dọa và thực hiện đào tạo an ninh mạng cho người dùng.
Trong quá trình tấn công: ngắt kết nối thiết bị bị ảnh hưởng khỏi mạng để ngăn chặn sự lây lan, thông báo cho các cơ quan chức năng và đội phản ứng, đánh giá phạm vi bằng cách sử dụng thông tin tình báo về mối đe dọa, và phối hợp phản ứng với sự hỗ trợ pháp lý và kỹ thuật chuyên biệt.
Sau khi kiểm soát được tình hình: thực hiện một đánh giá an ninh chuyên sâuLoại bỏ các lỗ hổng bảo mật và dấu vết còn sót lại, thực hiện phân tích pháp y chuỗi sự kiện và củng cố... nhận thức của người dùngViệc triển khai các kiến trúc bảo mật ưu tiên phòng ngừa và phân đoạn mạng có thể giảm thiểu đáng kể tác động của các sự cố trong tương lai.
Trường hợp của Petya và các biến thể của nó cho thấy rằng mã độc tống tiền đã chuyển từ một vấn đề nhỏ sang một vấn đề nghiêm trọng. mối đe dọa chiến lược Đối với doanh nghiệp, chính phủ và người dân, việc rút kinh nghiệm từ các vụ tấn công này và thực hiện các biện pháp chủ động là cách duy nhất để giảm thiểu tác động của các vụ bùng phát trong tương lai.