ΧΡΟΝΟΛΟΓΙΟ ΕΙΔΗΣΕΩΝ

Κυριακή, 9 Ιουλίου 2017

Νέα ευρήματα για την προέλευση των παραλλαγών του Petya


H ESET φέρνει στη δημοσιότητα νέα ευρήματα σχετικά με την πιθανή προέλευση των μαζικών κρουσμάτων των παραλλαγών του ransomware Petya.

Σύμφωνα με αποτελέσματα διαχρονικής έρευνας, πολλές από τις εκστρατείες που έχει πραγματοποιήσει η ομάδα κυβερνοεγκληματιών TeleBots στην Ουκρανία, καθώς και κάποια στοιχεία από τα διαρκώς μεταβαλλόμενα εργαλεία τους, που έχουν χρησιμοποιηθεί σε επιθέσεις μεταξύ Δεκεμβρίου 2016 και Μαρτίου 2017, εμφανίζουν ομοιότητες με τα κρούσματα του Diskcoder C (γνωστό και ως Petya) που σημειώθηκαν στις 27 Ιουνίου 2017.

Ο τρόπος που λειτουργεί η ομάδα TeleBots βασίζεται σταθερά στη χρήση του KillDisk για να αντικαταστήσει τα αρχεία με συγκεκριμένες επεκτάσεις στους δίσκους των θυμάτων. Δεν υπήρχαν στοιχεία για να επικοινωνήσει το θύμα με τον άνθρωπο που βρισκόταν πίσω από την επίθεση, παρά εμφανιζόταν μία εικόνα από την τηλεοπτική σειρά Mr. Robot. Συνεπώς, ήταν απίθανο να αποσκοπεί σε λύτρα, καθώς τα αρχεία δεν ήταν κρυπτογραφημένα, αλλά είχαν αντικατασταθεί. Ενώ στις επόμενες επιθέσεις προστέθηκε και η κρυπτογράφηση, τα στοιχεία επικοινωνίας και άλλα χαρακτηριστικά του ransomware, τα περιστατικά εξακολουθούσαν να μη συνδέονται.

Από τον Ιανουάριο ως τον Μάρτιο του 2017, η ομάδα TeleBots παραβίασε μια εταιρεία λογισμικού στην Ουκρανία χρησιμοποιώντας VPN tunnels και απέκτησε πρόσβαση στα δίκτυα αρκετών χρηματοπιστωτικών ιδρυμάτων, αποκαλύπτοντας ένα ενισχυμένο οπλοστάσιο εργαλείων σε κώδικα Python. Κατά τα τελευταία στάδια αυτής της εκστρατείας, το ransomware εξαπλώθηκε με τη χρήση κλεμμένων διαπιστευτηρίων των Windows και εργαλείων PsExec της σουίτας SysInternals. H ESET ανίχνευσε αυτό το νέο ransomware ως Win32/Filecoder.NKH. Ακολούθησε το ransomware για Linux, που ανιχνεύτηκε ως Python/Filecoder.R, το οποίο, όπως μπορεί εύκολα να προβλέψει κανείς, ήταν γραμμένο σε κώδικα Python.

Στη συνέχεια, η ομάδα TeleBots προχώρησε στην εξάπλωση του Win32/Filecoder.AESNI.C (γνωστό ως XData) στις 18 Μαΐου 2017. Διαδόθηκε κυρίως στην Ουκρανία μέσω μιας ενημέρωσης του M.E.Doc, ενός λογισμικού για λογιστική χρήση που χρησιμοποιείται ευρέως στην Ουκρανία. Σύμφωνα με το ESET LiveGrid, το malware δημιουργήθηκε αμέσως μετά την εκτέλεση του λογισμικού, αποκτώντας τη δυνατότητα αυτόματων πλευρικών κινήσεων μέσα στο παραβιασμένο δίκτυο LAN. Η ESET είχε δημοσιεύσει εργαλείο αποκρυπτογράφησης για το Win32/Filecoder.AESNI.

Ωστόσο, στις 27 Ιουνίου, εμφανίστηκαν μαζικά κρούσματα παραλλαγών του malware Petya (Diskcoder.C) – το οποίο έχει παραβιάσει πολλά συστήματα υποδομών ζωτικής σημασίας και επιχειρήσεων στην Ουκρανία και παγκοσμίως – με ικανότητα να αντικαθιστούν το Master Boot Record (MBR) με το δικό τους κακόβουλο κώδικα, τον οποίο είχαν δανειστεί από το ransomware Win32/Diskcoder.Petya.

Οι δημιουργοί του Diskcoder.C έχουν τροποποιήσει τον κώδικα MBR έτσι ώστε η ανάκτηση να μην είναι δυνατή, και κατά την εμφάνιση των οδηγιών πληρωμής, όπως γνωρίζουμε πλέον, οι πληροφορίες είναι άχρηστες. Από τεχνική άποψη, υπάρχουν πολλές βελτιώσεις. Ουσιαστικά, μόλις εκτελεστεί το κακόβουλο λογισμικό, προσπαθεί να εξαπλωθεί χρησιμοποιώντας το περίφημο exploit EternalBlue, εκμεταλλευόμενο τη λειτουργία πυρήνα του backdoor DoublePulsar. Πρόκειται για την ίδια ακριβώς μέθοδο που χρησιμοποιείται στο ransomware WannaCry.

Το malware μπορεί επίσης να εξαπλωθεί με τον ίδιο τρόπο όπως το ransomware Win32/Filecoder.AESNI.C (αλλιώς XData), χρησιμοποιώντας μια πιο ελαφριά έκδοση του Mimikatz για να αποκτήσει κωδικούς πρόσβασης και στη συνέχεια να εκτελέσει το κακόβουλο λογισμικό χρησιμοποιώντας τα εργαλεία PsExec της σουίτας SysInternals. Επιπλέον, οι εισβολείς έχουν χρησιμοποιήσει τρίτη μέθοδο για τη διάδοση με τη χρήση μηχανισμού WMI.

Και οι τρείς μέθοδοι έχουν χρησιμοποιηθεί για τη διάδοση κακόβουλου λογισμικού μέσα σε δίκτυα LAN. Όμως, σε αντίθεση με το κακόβουλο λογισμικό WannaCry, στη συγκεκριμένη περίπτωση το exploit EternalBlue χρησιμοποιείται από το Diskcoder.C μόνο σε υπολογιστές μέσα στον εσωτερικό χώρο διευθύνσεων.

Η συσχέτιση της ομάδας TeleBots με αυτή τη δραστηριότητα συνδέεται επίσης με την κατανόηση του λόγου που υπήρξαν κρούσματα και σε άλλες χώρες, εκτός από την συνήθη προσήλωση στην Ουκρανία. Έχουμε καταλήξει στις συνδέσεις VPN μεταξύ των χρηστών του M.E.Doc, των πελατών τους και των συνεργατών τους παγκοσμίως. Επιπρόσθετα, το M.E.Doc διαθέτει ένα εσωτερικό σύστημα ανταλλαγής μηνυμάτων και εγγράφων, οπότε οι επιτιθέμενοι μπορούσαν να στέλνουν μηνύματα spearphishing στα θύματα. Οι κυβερνοεκληματίες είχαν επίσης αποκτήσει πρόσβαση στον server που έστελνε τις αυθεντικές ενημερώσεις λογισμικού, την οποία αξιοποίησαν για να στείλουν κακόβουλες ενημερώσεις που εκτελούνταν αυτόματα χωρίς να το έχουν επιλέξει οι χρήστες.
« PREV
NEXT »

Δεν υπάρχουν σχόλια

Δημοσίευση σχολίου

Tο unpolitical.gr δημοσιεύει άρθρα της καθημερινότητας και της πολιτικής μέσα από τα οποία ο καθένας έχει το δικαίωμα να εκφράζει ελεύθερα τις απόψεις του.

Kείμενα ή εικόνες (με σχετική σημείωση της πηγής), θεωρούμε ότι είναι δημόσια. Αν υπάρχουν δικαιώματα συγγραφέων, ή ότιάλλο παρακαλούμε ενημερώστε μας στο unpoliticalgr@gmail.com για να τα αφαιρέσουμε. Επίσης σημειώνεται ότι οι απόψεις του ιστολόγιου μπορεί να μην συμπίπτουν με τα περιεχόμενα του άρθρου. Για τα άρθρα που δημοσιεύονται εδώ, ουδεμία ευθύνη εκ του νόμου φέρουμε καθώς απηχούν αποκλειστικά τις απόψεις των συντακτών τους και δεν δεσμεύουν καθ’ οιονδήποτε τρόπο το ιστολόγιο.
Ο διαχειριστής του ιστολόγιου δεν ευθύνεται για τα σχόλια και τους δεσμούς που περιλαμβάνει. Τονίζουμε ότι υφίσταται μετριασμός των σχολίων και παρακαλούμε πριν δημοσιεύσετε το σχόλιό σας, έχετε υπόψιν σας τα ακόλουθα:
● Κάθε γνώμη είναι σεβαστή, αρκεί να αποφεύγονται ύβρεις, ειρωνείες, ασυνάρτητος λόγος και προσβλητικοί χαρακτηρισμοί, πολύ περισσότερο σε προσωπικό επίπεδο, εναντίον των συνομιλητών ή και των συγγραφέων, με υποτιμητικές προσφωνήσεις, ύβρεις, υπονοούμενα, απειλές, ή χυδαιολογίες.
● Μην δημοσιεύετε άσχετα, με το θέμα, σχόλια.
● Ο κάθε σχολιαστής οφείλει να διατηρεί ένα μόνο όνομα ή ψευδώνυμο, το οποίο αποτελεί και την ταυτότητά του σε κάθε συζήτηση.
● Με βάση τα παραπάνω η διαχείριση διατηρεί το δικαίωμα μη δημοσίευσης σχολίων χωρίς καμία άλλη προειδοποίηση.
● Tα σχόλια δημοσιεύονται το συντομότερο δυνατόν, μόλις αυτό καταστεί εφικτό.