Siirry sisältöön

Ajankohtaisia teemoja

Petya-kiristysohjelma on ammattilaisten toteuttama WannaCry

Simo Ristolainen

28.06.17 2 min. lukuaika

Erityisen häijy haittaohjelmaperhe tekee tuhojaan ympäri maapalloa. Vaikka tämänkertaisessa hyökkäyksessä on samankaltaisuuksia WannaCry-epidemian kanssa, tietoturva-asiantuntijat varoittavat, että tämänhetkinen hyökkäys on paljon ammattimaisempi ja todennäköisesti huomattavasti pahempi yrityksille.

F-Secure Labs on vahvistanut, että tällä kertaa käytetty haittaohjelma on  Petya-haittaohjelmaperhe, joka käyttäytyy kuten verkkomato, levittäytyen saman SMB-haavoittuvuuden kautta  (hyödyntäen NSA:n kehittämää EternalBlue-haavoittuvuutta) kuten WannaCry.

F-Secure Labs’in Jarkko kuvaili Petyaa ilkeitä piirteitä sisältäväksi kiristysohjelmaksi vuoden 2016 blogipostauksessaan.  Haittaohjelma ei ainoastaan salaa tiedostoja, vaan lukitsee koko levyn tehden siitä käyttökelvottoman, kunnes virus on poistettu.
Petya-viruksen onneton uhri näkee todennäköisesti jotakin tällaista:

 

Haittaohjelman tartuntamekanismi on vielä tuntematon, mutta lopputulos on käytännössä sama.

Suurin osa kiristysohjelmaperheistä tähtää ja salaa tiedostoja uhrien kovalevyiltä. Tämä tarkoittaa, että uhrit eivät saa yhteyttä tiedostohinsa, mutta voivat käyttää käyttöjärjestelmäänsä. Petya tekee asian vielä pahemmaksi salaamalla osia kovalevystä, jolloin on mahdotonta päästä käsiksi mihinkään levyasemalla, mukaanlukien Windows.

Teknisesti katsoen tapahtuu seuraavaa:

  • Saastunut ohjelma käynnistetään.
  • Saastunut kone käynnistetään aikataulutetusti tunnin kuluttua (näyttää käyttäjästä)
  • Odotellessaan uudelleenkäynnistystä, Petya etsii verkosta lisää koneita levittäytyäkseen.
  • Kerättyään IP-osoitteet, joihin tunkeutua, Petya hyödyntää SMB-haavoittuvuutta ja jättää kopion itsestään kohteeseen.
  • Uudelleenkäynnistyksen jälkeen alkaa salaus ja kiristysohjelman viesti näkyy näytöllä.

Haittaohjelma on iskenyt organisaatioihin ympäri maailman, mukaanlukien Ranska, Intia, Espanja, Yhdysvallat, Iso-Britannia, Venäjä ja muut.  Ja aivan kuten WannaCry, se ottaa haltuunsa järjestelmiä, joihin uhrit luottavat, kuten raha-automaatit Ukrainassa.

Vaikka fiksu tietoturvatutkija osasi hyödyntää hyökkääjien tekemän virheen WannaCryn suhteen, F-Securen tietoturvaneuvonantaja Sean Sullivan ei usko sen tapahtuvan uudestaan.

“WannaCryn hyökkääjät epäonnistuvat, koska he eivät kyenneet käsittelemään aikaansaamiensa uhrien määrää. Petya puolestaan vaikuttaa huomattavasti ammattimaisemmalta ja rahastukseen valmiilta jo ensimmäisellä kierroksellaan”, sanoo Sean. “Amatöörien aika on totisesti ohi globaalien kiristyohjelmahyökkäyksien suhteen.”

Lunnaat ovat noin 300 dollarin arvosta bitcoineja. Lähes 30 uhria on maksanut hyökkääjille saadakseen laitteensa auki (ei ole vahvistettu, onko se toiminut). Ilmeisesti hyökkääjien sähköpostiosoitteet on estetty palveluntarjoajan toimesta, mutta Sean sanoo, että on useita syitä joiden vuoksi sähköpostien palveluntarjoajat saattavat kääntää päätöksensä.

Organisaatioiden on siis oltava varuillaan lähipäivät välttyäkseen Petyalta. Pitkälti samat tietoturvaneuvot kuin WannaCryn kanssa toimivat: päivitä Windows, konfiguroi palomuuri estämään portin 445 kautta tuleva liikenne, mikäli mahdollista ja käytä päätelaitteen suojausta. F-Securen tuotteilla on monta sisäänrakennettua keinoa auttaa suojaamaan asiakkaita Petyalta ja muilta kiristysohjelmilta.

Tilanteen kehittyessä päivitämme tätä blogia ja F-Securen Business Security Insideria. Voit myös seurata F-Securen tutkimusjohtajan Mikko Hyppösen twiittejä täältä reaaliajassa.

Simo Ristolainen

28.06.17 2 min. lukuaika

Korostettu artikkeli

Aiheeseen liittyvät julkaisut

Newsletter modal

Kiitos kiinnostuksestasi uutiskirjettämme kohtaan. Saat piakkoin sähköpostin, jotta voit vahvistaa uutiskirjeen tilauksesi.

Gated Content modal

Onneksi olkoon – voit nyt tutustua sisältöön klikkaamalla alla olevaa painiketta.