„Petya“ – didelio masto programinės įrangos ataka


Print
Kibernetinis saugumas

Nacionalinis kibernetinio saugumo centras informavo, kad birželio 27-ąją dieną užfiksuota nauja labai didelio masto žalingos programinės įrangos ataką „Petya“. Svarbu pabrėžti tai, kad „Petya“ išnaudoja tuos pačius operacinės sistemos pažeidžiamumus, kaip ir visai neseniai puolęs „WannaCry“.

Nacionalinis kibernetinio saugumo centras atidžiai stebi situaciją, o įvykus incidentui ragina nedelsiant informuoti centrą. Šiuo metu stebimas „Petya“ išpirkos reikalaujančio viruso (angl. Ransomware) plitimas pasauliniu mastu. Nacionalinis kibernetinio saugumo centras šiuo metu neturi duomenų apie paveiktas Lietuvos viešojo sektoriaus institucijas ar ypatingos svarbos informacinės infrastruktūros atstovus.

Pradiniai pranešimai apie viruso plitimą gauti iš Ukrainos ir Rusijos organizacijų, kurių kompiuterių tinklai tapo pirmosiomis aukomis. Tinklo kompiuteriai užkrečiami naudojantis atrastu SMB pažeidžiamumu „Microsoft Windows“ operacinėse sistemose („Windows“ operacinės sistemos spraga užtaisoma atnaujinimo paketu MS17-010), naudotojų duomenys yra užšifruojami, o tada reikalaujama išpirkos.

Kenksmingas kodas „Petya“, patekęs į sistemą, stengiasi paplisti tinkle, prieš tai atlikęs tinklo įrenginių numeraciją ir įvertinęs pažeidžiamų sistemų kiekį.

Kenksmingo kodo plitimui tikriausiai naudojami keli plitimo vektoriai:

pažeistame kompiuteryje perimama administratoriaus paskyros prieiga (naudojami įrankiai panašūs į Mimikatz, kurie perima duomenis iš lsass.exe proceso), kuri vėliau panaudojama kodo platinimui tinkle (PSEXEC ir WMI pagalba);

nauja EternalBlue įrankio versija (ankstesnė versija buvo naudojama WannaCry);

nuotolinis kodo vykdymas pasinaudojant pažeidžiamomis Windows sistemomis (prievadai 445 ir 139);

ataka per trečių šalių programinės įrangos atnaujinimo mechanizmus (pvz.: Ukrainos programinės įrangos gamintojo produktas MeDoc);

elektroniniai laiškai su priedais, kuriuos atidaręs naudotojas užkrečia savo sistemą.

Nacionalinio kibernetinio saugumo centro rekomendacijos:

visiems tinkle esantiems ir ypač prie interneto prijungusiems įrenginiams būtina ištaisyti SMB pažeidžiamumą, kuris yra prieinamas įdiegiant „Microsoft“ saugumo atnaujinimą MS17-010. Atnaujinimai turi būti įdiegti nedelsiant;

taip pat iš nežinomų siuntėjų gautuose laiškuose neatidarinėti prisegtų bylų bei nespaudyti nuorodų;

įdiegti „Windows“ atnaujinimus MS17-010 (https://technet.microsoft.com/&/libr&/security/ms17-010.aspx), jei to dar nebuvo padaryta;

naudoti naujausias ir atnaujintas antivirusines programas;

daryti svarbių duomenų rezervines kopijas.

Informacijos šaltinis – ELTA

2017.06.29; 09:00