Technologie i Firma

Szyfrowanie plików przez NotPetya to był tylko „wielki finał”

przeczytasz w 2 min.

Cyberprzestępcy mogli mieć dostęp do komputerów ofiar nawet od dwóch miesięcy. Widocznie chcieli się upewnić, że wszystko pójdzie zgodnie z planem.

Atak NotPetya to drugie po WannaCry tak poważne zdarzenie w tym roku. Początkowo wydawało się, że zagrożenia są do siebie bardzo podobne, ale szybko okazało się, że jest inaczej – przede wszystkim dlatego, że cyberprzestępcy stojący za NotPetya nigdy nie zamierzali odblokowywać zaszyfrowanych plików, ale też z innego powodu.

Okazuje się, że czerwcowe masowe szyfrowanie plików na komputerachfirmach w całej Europie zasługuje na określenie mianem jedynie „grande finale”. Eksperci z ESET przeanalizowali bowiem atak i doszli do wniosku, że cyberprzestępcy mogli kontrolować komputery ofiar już zdecydowanie wcześniej, być może nawet w kwietniu.

Wciąż nieznani sprawcy postanowili wykorzystać popularne wśród ukraińskich firm biurowe oprogramowanie M.E.Doc, aby zaatakować właśnie tamtejsze przedsiębiorstwa. Pierwszym etapem był więc włam do programu i wstrzyknięcie złośliwej zawartości, która następnie w ramach aktualizacji trafiła do firm na terenie Ukrainy (a przy okazji też poza terytorium tego państwa). 

NotPetya skala

Po zainstalowaniu aktualizacji przez firmy, cyberprzespecy zyskali dostęp do sieci i danych ofiar, dzięki czemu mogli skutecznie opracować strategię ataku. Ataku, który zdecydowali się przeprowadzić, gdy było już wiadomo, że wśród zainfekowanych przedsiębiorstw znajduje się mnóstwo ukraińskich celów. 

„Żeby uzmysłowić skalę zagrożenia zaryzykuję analogię. Wyobraźmy sobie sytuację, w której tysiące firm w Polsce pobiera aktualizację któregoś powszechnie używanego programu komputerowego. Tyle, że w tej aktualizacji zawarta jest pułapka – atakujący zyskują dostęp do komputerów ofiar i do zapisanych tam danych” – mówi Paweł Jurek z firmy DAGMA.

„Temat stał się medialny dopiero w momencie, w którym zaatakowane firmy wstrzymały swoją pracę. Być może groźniejsze było jednak to, co działo się wcześniej – kiedy to atakujący mogli błyskawicznie identyfikować swoje ofiary i kiedy to mieli dostęp do ich komputerów i danych na nich zawartych. Otwartym pozostaje pytanie, jak ten dostęp wykorzystywali atakujący zanim zdecydowali się zniszczyć dane?” – dodaje.

Pytanie pozostaje na razie bez odpowiedzi. To wszystko może jednak tłumaczyć, dlaczego atak okazał się skuteczny także na zaktualizowanych systemach – po prostu złośliwe oprogramowanie mogło trafić na komputery przed aktualizacją. Wnioski ekspertów z ESET pokazują też, że twórcy programu M.E.Doc mówili prawdę – w ostatniej aktualizacji nie było żadnej niepokojącej zawartości (ta znajdowała się kilka wydań wstecz). 

Wreszcie, coraz bardziej prawdopodobne jest, że celem ataku wcale nie były pieniądze, lecz w akcji chodziło przede wszystkim o politykę. A jeśli tak, to to może oznaczać początek cyberwojny.

Źródło: DAGMA, ESET. Foto: NeuPaddy/Pixabay (CC0)

Komentarze

2
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    supervisor
    2
    Kij wie ile tego jest w różnorakich programach. I nie tylko ze strony Rosyjskiej, ale też od stanów czy Chin. Wystarczy sobie wyobrazić że twórca jednej z popularnych aplikacji dostaje kontakt od CIA, KGB czy Chińskiego odpowiednika, i pakuje coś podobnego do CCleanera czy czegokolwiek. Potem się wyłga taki twórca że "SHAKOWAŁY". Można założyć że każdy z nas ma coś podobnego już wgrane.
    • avatar
      Massai
      2
      Fakt że blisko 90% zainfekowanych komputerów było na Ukrainie, że inne kraje zarażały się od Ukraińskich filii - wprost wskazuje na źródło problemu. Plus jeszcze to że tak naprawdę szyfrowanie miało zatrzeć ślady po zwykłym szpiegostwie, a przy okazji paraliżowało sporą część gospodarki w sposób oczywisty nakazuje szukać sprawców w Rosji. I to nie grupy hakerskiej, tylko po prostu slłużb wojskowych.

      Witaj!

      Niedługo wyłaczymy stare logowanie.
      Logowanie będzie możliwe tylko przez 1Login.

      Połącz konto już teraz.

      Zaloguj przez 1Login