Recordmenul pagubelor produse în urma unui atac cibernetic masiv este "viermele" ExPetr sau NotPetya (o variantă a virusului Petya), cel care s-a propagat, în 2017, cu repeziciune sub formă de ransomware prin adresele de e-mail ale companiilor din întreaga lume. Ţinta predilectă a celor care au creat acest virus au fost companiile din Ucraina, dar nu au scăpat de surprize neplăcute nici Belgia, Olanda, Germania şi chiar Australia sau Statele Unite ale Americii.

Tipologia unui ransomware deghizat în "ştergător"

NotPetya a intrat în acţiune în vara anului 2017, sub forma unui ransomware şi a vizat în special companiile din Ucraina. Analizele celor de la Kaspersky pe acest subiect au arătat că, de fapt, era vorba despre un "wiper" (ştergător, n.r.) deghizat într-un ransomware, iar scopul principal era acela să facă sistemul de operare infectat inaccesibil.  Alţi experţi în securitate cibernetică susţin că malware-ul a fost doar un test iniţial pentru a încerca blocarea infrastructurii IT a întregii ţări şi că, în viitor, vor mai fi lansate şi alte atacuri. 

De asemenea, unii cercetători au sugerat ideea că ar fi vorba despre o variaţiune a ransomware-ului Petya, dar concluzia echipei Kaspersky a fost că este o altă familie malware. În variantă de test sau în versiune plină, ExPetr sau NotPetya este considerat cel mai costisitor atac informatic cunoscut până în prezent, cu pagube în rândul companiilor globale de 10 miliarde de dolari.

Modul de acţiune al virusului se derula printr-un 'Supply Chain Attack", în timp ce unul dintre vectorii iniţiali de propagare a fost prin intermediului softului financiar MeDoc. În acest fel, atacatorii au reuşit să controleze serverul de actualizări MeDoc, iar clienţii primeau malware-ul sub forma unei actualizări. În cadrul acestui atac, exploit-urile folosite au fost EternalBlue şi EternalRomance.

ExPetr s-a propagat ca un malware de tip "vierme', criptând în mod ireversibil tot ce întâlnea în cale. Analizând modul în care s-a făcut criptarea, cercetătorii Kaspersky au constatat că nici măcar atacatorii nu mai puteau decripta discurile victimelor, pentru că nu aveau ID-ul de instalare, necesar pentru a extrage informaţiile pentru decriptare, ceea ce înseamnă că victimele nu îşi mai puteau recupera datele.

Aceeaşi echipă de experţi a constatat că furnizorul german de servicii de e-mail, Posteo, a decis închiderea adresei de poştă electronică la care victimele ar fi trebuit să-i contacteze pe infractori pentru a trimite monede bitcoin şi de la care urmau să primească "cheile" de decriptare, prin urmare plata răscumpărării era perfect inutilă şi din acest punct de vedere.

Pe urmele lăsate de ExPetr/NotPetya

La jumătatea anului 2017, Kaspersky anunţa că investighează indiciile unei posibile legături dintre ExPetr şi BlackEnergy, această ultimă grupare fiind studiată timp de mai mulţi ani, după atacurile pe care le-a produs, în 2015 şi 2016, în domeniul industrial. Cercetătorii companiei au colaborat cu cei de la Palo Alto Networks pentru a identifica similarităţi care le-au permis să caute orice posibilă legătură între BlackEnergy şi ExPetr, iar rezultatele au indicat anumite asemănări în designul codului, între cele două familii malware - deşi acest lucru nu poate fi considerată dovada unei conexiuni certe.

Câteva luni mai târziu, tot ruşii de la Kaspersky confirmă, însă, o legătură nouă între ExPetr şi noul atac ransomware Bad Rabbit, în sensul că ambele atacuri au folosit domenii similare şi au încercat să obţină date de autentificare din memoria sistemului şi să se răspândească în reţeaua corporate prin WMIC (Windows Management Instrumentation Command - line).

Specialiştii în securitate cibernetică ai Eset au analizat, la rândul lor, activitatea NotPetya şi au ajuns la concluzia că malware-ul utilizat în cadrul acestui atac a avut capacitatea de a înlocui Master Boot Record (MBR) cu propriul său cod maliţios.

"Acest cod a fost împrumutat de la ransomware-ul Win32/Diskcoder.Petya. De aceea, unii cercetători malware au numit această ameninţare ca ExPetr, PetrWrap, Petya sau NotPetya. Cu toate acestea, spre deosebire de originalul ransomware Petya, autorii Diskcoder.C au modificat codul MBR astfel încât recuperarea să nu poată fi posibilă. Mai exact, atacatorul nu poate furniza o cheie de decriptare, iar cheia de decriptare nu poate fi tastată în ecranul de răscumpărare, deoarece cheia generată conţine caractere inacceptabile", notează cei de la Eset.

Aceştia mai susţin că, prin accesul la server, atacatorii au lansat o actualizare maliţioasă care a fost aplicată automat fără interacţiunea cu utilizatorul.

Ancheta experţilor de la Eset a arătat că au fost afectate şi companii din alte state, în afară de Ucraina, pentru că acestea au avut conexiuni VPN la sucursalele lor sau la partenerii de afaceri din acea ţară.

Acuzaţiile Occidentului la adresa Rusiei

Repercusiunile la nivel internaţional ale atacurilor ExPetr/NotPetya, atribuite Rusiei de către oficiali din Marea Britanie, nu s-au lăsat prea mult aşteptate. După ce Londra a acuzat, în 15 februarie 2018, Moscova că se află la originea atacului cibernetic NotPetya din iunie 2017, pornit din Ucraina şi din Rusia înainte de a se răspândi în restul lumii, afectând câteva mii de computere, Casa Albă a ameninţat Rusia cu "consecinţe internaţionale" pentru acest atac cibernetic global.

Ulterior, ţări ca Australia, Estonia, Danemarca şi Lituania au emis declaraţii prin care au atribuit Rusiei atacul NotPetya.

Cu o lună înainte de acuzaţiile apărute din partea celor două state, publicaţia The Washington Post scria - citând surse apropiate de serviciile secrete americane - că CIA are informaţii conform cărora virusul NotPetya ar putea, "cu o mare probabilitate", să fi fost creat în laboratoarele Direcţiei Generale de pe lângă Statul Major al armatei ruse (Serviciul de informaţii al armatei ruse GRU).

Răspunsul Moscovei la şirul de acuzaţii nu a întârziat să apară... Astfel, Kremlin-ul a dezminţit 'categoric' faptul că Moscova s-ar afla la originea atacului cibernetic NotPetya. Informaţiile vehiculate sunt considerate de către autorităţile ruse "lipsite de probe şi nefondate", nefiind vorba decât despre "continuarea unei campanii rusofobe" dusă în unele ţări occidentale.

Atacul informatic de tip 'ransomware' ExPetr/NotPetya a contaminat mii de calculatoare din lumea întreagă şi a perturbat entităţi multinaţionale şi infrastructuri critice, cum ar fi sistemul de control al sitului unde a avut loc accidentul nuclear de la Cernobâl, precum şi porturile din Mumbai şi Amsterdam. Printre companiile afectate figurează gigantul petrolier rusesc Rosneft, transportatorul maritim danez Maersk, gigantul farmaceutic american Merck, specialistul francez în materiale de construcţie Saint-Gobain şi agenţia de publicitate britanică WPP.

În Ucraina, care a suferit cel mai mult în urma virusului informatic, au fost afectate operaţiunile bancare, în timp ce autorităţile au invocat un atac cibernetic fără precedent.

În total, atacul a afectat companii şi instituţii din 64 de ţări, printre care: Belgia, India, Olanda, Australia, Brazilia, Germania, Ucraina şi SUA.

Analizând modul de operare al atacatorilor din spatele NotPetya, concluzia care se desprinde este că aceştia au reuşit să atingă un nivel de competenţă aproape de perfecţiune. Infiltrarea în computerele unor companii din domeniul industrial şi, mai ales, capacitatea de a nu-i lăsa pe ce afectaţi să activeze cheile de decriptare pentru a-şi recupera informaţiile sensibile au demonstrat pregătirea hackerilor.

Dacă ne amintim şi de scandalul creat la nivel internaţional, cu acuzaţii la ţintă directă către Moscova, avem în prim-plan un tablou în care autorul s-a semnat cu scopul de a fi cunoscut de toată lumea. AGERPRES/(AS - autor: Daniel Badea, editor: Andreea Marinescu, editor online: Adrian Dãdârlat)