Podjetja po vsem svetu poročajo o hekerskem napadu z izsiljevalskim virusom Petrwrap/Petja. Virus zaklene računalnik in zahteva odškodnino.
Najprej so o napadih poročali v Rusiji in Ukrajini, kjer so bile tarče vlada, banke, pa tudi kijevsko letališče in sistem podzemne železnice. Prizadeta je bila tudi nuklearna elektrarna v Černobilu, kjer so ugasnili računalniški sistem in nivoje radioaktivnosti merijo ročno.
Po nekaterih informacijah naj bi okužba vsebovala tudi modul za krajo gesel in drugih avtentikacijskih podatkov, tako da žrtvam okužbe na SI-CERT svetujejo preventivno menjavo vseh gesel, ki bi lahko bila ukradena.
Na spletu je sicer najti informacije, da se zagon virusa lahko ustavi s kreiranjem datoteke c:Windowsperfc, vendar jih na SI-CERT trenutno ne moremo z gotovostjo potrditi in ta ukrep še preverjamo.
Nato se je virus v nekaj urah razširil na zahod Evrope in v ZDA, pa tudi v Avstralijo, kjer so napadli tovarno čokolade Cadbury. Med napadenimi podjetji so med drugim britanski oglaševalski gigant WPP, francosko gradbeno podjetje Saint-Gobain in tudi ruski jeklarski in naftni podjetji Evraz in Rosneft. O napadu poročajo tudi iz danskega podjetja Maersk, španskega prehrambenega podjetja Mondelez, ki med drugim izdeluje piškote Oreo in čokolado Toblerone, med napadeni je tudi ameriško farmacevtsko podjetje Merck.
Prva prijava tudi v Sloveniji, gre za podružnico multinacionalke
Na odzivnem centru Si-CERT so danes okoli 11. ure dobili prvo prijavo okužbe z novim izsiljevalskim virusom.
Doslej edina slovenska prijava okužbe z izsiljevalskim virusom po nedavnem kibernetskem napadu je prišla od slovenske podružnice multinacionalke, je povedal vodja Nacionalnega odzivnega centra za obravnavo incidentov s področja varnosti elektronskih omrežij (Sicert) Gorazd Božič. Podrobnosti napada strokovnjaki še raziskujejo.
Dosedanje ugotovitve po Božičevih besedah kažejo, da se je napad širil pretežno prek omrežij multinacionalk. Podrobnosti glede slovenske prijave napada Božič sicer ni razkril. Domnevno naj bi bil glavni vir prenosa virusa sistem za nadgradnjo računovodske programske opreme, ki jo izdelujejo in prodajajo v Ukrajini. To po Božičevih besedah pojasnjuje tudi navedbe, da se je napad razširil iz Ukrajine.
Okužbe so sicer opazili tudi v podjetjih, ki te programske opreme ne uporabljajo. Tako se je virus najverjetneje širil tudi prek elektronske pošte in nato izkoristil ranljivost notranjih omrežij podjetij, je pojasnil Božič.
Širi se prek e-pošte
Virus Petja je po poročanju tujih medijev skrit v dokumentu, ki se širi prek elektronskih sporočil. Gre za podoben napad, ki ga je svet doživel prejšnji mesec z virusom Wannacry.
''Virus se širi tako po elektronski pošti kot RTF priponka (ime oblike Order-20062017.doc) in izkorišča ranljivost CVE-2017-0199, po okužbi pa skuša okužiti sisteme na lokalnem omrežju preko ranljivosti MS17-010 in z uporabo funkcionalnosti WMI (Windows Management Instrumentation). Po okužbi zašifrira NTFS MFT (Master File Tree) in prepiše Master Boot Record (MBR) in ob ponovnem zagonu računalnika prikaže izsiljevalsko sporočilo,'' so sporočili iz slovenskega odzivnega centra SI-CERT.
Izsiljevalski virus po njihovih navedbah vsebuje funkcionalnost t.i. črva, ki se lahko samodejno širi po omrežju. Virus se širi prek ranljivosti v Windows sistemih, za katere je Microsoft marca letos že izdal popravke, in ki jih je za svoje širjenje izkoriščal tudi virus WannaCry.
''Tokratni virus se poleg izkoriščanja omenjene Windows ranljivosti, širi tudi prek elektronske pošte z okuženimi priponkami ter v lokalnem omrežju z uporabo funkcionalnosti WMIC/PsExec. Če ima okužen računalnik pravice tudi na drugih računalnikih v omrežju, virus zašifrira datoteke tudi tam, čeprav so računalniki redno posodobljeni.''
Virus nato zahteva plačilo odkupnine z virtualno valuto bitcoin. Napadalci zahtevajo 300 dolarjev ali 264 evrov. Elektronski naslov wowsmith123456@posteo.net za komunikacijo z žrtvami je nemški ponudnik Posteo blokiral, kar pomeni, da napadalci do svojega poštenega nabiralnika ne morejo.
Od kod izvira virus, še ni znano, saj je skoraj neizsledljiv, a domneva se, da izvira iz Ukrajine. Rusko antivirusno podjetje Kaspersky Lab je sporočilo, da naj bi bilo okoli 2000 napadov, večina v Ukrajini, Rusiji in na Poljskem. Ameriški urad za nacionalno varnost žrtvam svetuje, naj ne plačujejo odškodnine, saj ni zagotovila, da bodo tako dobili dostop do svojih dokumentov.
Strokovnjak Chris Wysopal iz Veracoda je za BBC dejal, da se tokratni virus širi preko enake luknje v Windowsih, ki jo je izkoriščal že Wannacry. Številne družbe teh lukenj niso zakrpale, ker so Wannacry tako hitro ustavili. Še posebej na udaru so nekatera industrijska podjetja, ki se pogosto z zamudo odzovejo na internetne ranljivosti. To pa predvsem zato, ker pri nekaterih podjetjih sistemi delujejo neprestano.
Pojasnil je, da so kopije virusa že testirali, kako so antivirusni programi uspešni pri njegovem zaznavanju, in le dva sta ga zaznala in ustavila.
KOMENTARJI (79)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.