Οι ερευνητές της ESET διερευνούν από χθες μια παγκόσμια καμπάνια εξάπλωσης ransomware και έχουν εντοπίσει το σημείο από το οποίο ξεκίνησε. Οι κυβερνοεγκληματίες που βρίσκονται πίσω από την επίθεση έχουν καταφέρει να παραβιάσουν το M.E.Doc, ένα πολύ δημοφιλές λογισμικό για λογιστική χρήση που χρησιμοποιείται σε διάφορους τομείς στην Ουκρανία, μεταξύ των οποίων και σε χρηματοπιστωτικά ιδρύματα. Αρκετά από αυτά τα ιδρύματα είχαν εκτελέσει μία «trojanized» ενημέρωση του M.E.Doc, που έδωσε την ευκαιρία στους κυβερνοεγκληματίες να ξεκινήσουν την εξάπλωση της εκστρατείας ransomware, και αυτή μετά να διαδοθεί σε ολόκληρη τη χώρα και στη συνέχεια σε ολόκληρο τον κόσμο. Η κατασκευάστρια εταιρία του M.E.Doc εξέδωσε σχετική προειδοποίηση στην ιστοσελίδα της.
Τα αποτελέσματα της έρευνας της ESET δείχνουν ότι η επίθεση ξεκίνησε στις πρωινές ώρες της 27ης Ιουνίου, ώρα Ουκρανίας. Το ransomware φαίνεται να είναι μια έκδοση του Petya. Εάν μολύνει επιτυχώς το MBR, θα κρυπτογραφήσει ολόκληρη τη μονάδα δίσκου. Διαφορετικά, κρυπτογραφεί όλα τα αρχεία, όπως κάνει το trojan Mischa. Για την εξάπλωσή του, φαίνεται ότι χρησιμοποιεί ένα συνδυασμό του SMB exploit (EternalBlue), όπως είχε κάνει και το WannaCry για να μπει στο δίκτυο, και στη συνέχεια εξαπλώνεται μέσω του PsExec. Αυτός ο επικίνδυνος συνδυασμός πιθανά να είναι ο λόγος για τον οποίο η εκστρατεία αυτή έχει εξαπλωθεί σε παγκόσμιο επίπεδο και τόσο γρήγορα, παρόλο που από τα προηγούμενα κρούσματα των εκστρατειών WannaCry και XData/AES-NI, είχε προκύψει τόσο μεγάλη δημοσιότητα που οι περισσότερες ευπάθειες θα έπρεπε να είχαν επιδιορθωθεί. Αρκεί μόνο ένας υπολογιστής χωρίς patches για να εισχωρήσει στο δίκτυο το κακόβουλο λογισμικό και μετά μπορεί να αποκτήσει δικαιώματα διαχειριστή και να εξαπλωθεί σε άλλους υπολογιστές.
Η καμπάνια ξεκίνησε στην Ουκρανία – όπου και οι ερευνητές της ESET έχουν αναγνωρίσει τον «Patient Zero». Αναφορές δείχνουν ότι έχουν πληγεί ο χρηματοπιστωτικός, ο ενεργειακός καθώς και πολλοί άλλοι τομείς. Το εύρος των ζημιών που προκλήθηκαν στον ενεργειακό τομέα δεν έχει ακόμη επιβεβαιωθεί και δεν υπήρξαν αναφορές για διακοπή ρεύματος – όπως είχε συμβεί με το malware Industroyer.
Το Petya ανιχνεύεται από την ESET σαν Win32/Diskcoder.C Trojan. Οι χρήστες που διαθέτουν μία ενημερωμένη και σε τελευταία έκδοση λύση της ESET, είναι προστατευμένοι από αυτήν την απειλή. Επιπλέον, οποιαδήποτε λύση ESET διαθέτει λειτουργία ανίχνευσης δικτύου προστατεύει προληπτικά από τον μηχανισμό εξάπλωσης SMB – EternalBlue.
Αναλυτικές πληροφορίες σχετικά με το malware βρίσκονται στο σχετικό άρθρο στο blog της ESET, WeLiveSecurity.com.