onlinebiznis.sk ako podnikať online
Výskumníci bezpečnostnej spoločnosti ESET identifikovali príčinu počiatku ďalšieho masívneho kybernetického útoku, ktorý začal na Ukrajine. Je ním trojanizovaná aktualizácia účtovného softvéru M. E. Doc, ktorý je populárny vo viacerých segmentoch na Ukrajine, vrátane finančného.
„Viacero z firiem spustilo škodlivú aktualizáciu tohto softvéru, ktorá útočníkom umožnila začať masívnu ransomware kampaň, ktorá sa v utorok popoludní rozšírila po celej Ukrajine a do ďalších krajín,“
vysvetľuje výskumník škodlivého kódu zo spoločnosti ESET Róbert Lipovský. M. E. Doc svojich používateľov ešte v utorok varoval na svojej stránke pred touto aktualizáciou, ku ktorej útočníci pridali škodlivý komponent.
I teraz je ransomware typom škodlivého kódu, ktorý napáda počítače v tejto vlne útoku. Po infekcii zašifruje alebo zablokuje obsah infikovaného zariadenia a za odšifrovanie alebo odblokovanie požaduje od jeho majiteľa finančné výkupné. V prípade tohto ransomwaru sa zjavne jedná o verziu staršieho škodlivého kódu s názvom Petya.
„Ak úspešne infikuje Master boot record zariadenia, zašifruje kompletne celý disk. Ak nie, šifruje postupne všetky súbory na zariadení, podobne ako známy ransomware Mischa,“
opisuje Lipovský.
Podobne ako ransomware WannaCry aj tento škodlivý kód zjavne zneužíva na úspešné preniknutie do siete zraniteľnosť EternalBlue, na ktorú vydala spoločnosť Microsoft záplatu ešte v marci 2017. Následne sa v sieti šíri cez legitímny nástroj PsExec.
„Táto nebezpečná kombinácia môže byť dôvodom, prečo sa tento ransomware začal šíriť tak rýchlo aj napriek tomu, že po poslednom útoku škodlivým kódom WannaCry prispeli médiá k tomu, aby si používatelia a firmy zaktualizovali svoje zariadenia. Na to, aby sa nová verzia Petye dostala do firemnej siete jej stačí len jeden jediný neaktualizovaný počítač, škodlivý kód vie následne získať administratívne práva a rozšíriť sa do ďalších zariadení,“
varuje Lipovský.
ESET v priebehu utorka na Slovensku nezaznamenal žiadne infikované zariadenia a ani pokus o ich infekciu. Medzi najviac zasiahnuté krajiny patrí suverénne Ukrajina, tam mal škodlivý kód napadnúť napríklad finančný sektor. Tento škodlivý kód sa však šíri napríklad aj v Taliansku a v Izraeli.
Podobne ako pri ransomwari WannaCry, ESET chránil pred týmto škodlivým kódom ešte pred jeho vzniknutím na sieťovej úrovni tak, že blokoval hrozby zneužívajúce zraniteľnosť EternalBlue. Túto konkrétnu hrozbu deteguje pod názvom Win32/Diskcoder.C.
