Ekran wyświetlający komunikat ransomware Petya

CHIP: ataków w stylu Petya i WannaCry będzie więcej

"Petya rozpowszechnia się przez maile phishingowe. Większość tego typu zagrożeń przychodzi ze Wschodu. Silną bronią firm antywirusowych staje się teraz tzw. logika predyktywna" - wywiad Krzysztofa Bogackiego z Leszkiem Tasiemskim z poznańskiego R&D and Rapid Detection Center F-Secure Corporation.

Krzysztof Bogacki, CHIP: Dlaczego Petya jest tak groźny? Co odróżnia go od wcześniejszych, podobnych ataków?

Leszek Tasiemski, F-Secure: Postać ataku jest podobna – pierwszy użytkownik w danej organizacji musi kliknąć w mail phishingowy, bądź w inny sposób uruchomić złośliwe oprogramowanie. Najgroźniejsze jest to, co się dzieje potem. Przez kilkadziesiąt minut Petya próbuje infekować pozostałe komputery w sieci lokalnej za pomocą haseł, wydobytych z pamięci zainfekowanego komputera. Jeśli dotrze do hasła administratora domeny, to skala ataku w danej organizacji jest nieograniczona. Co ważne, infekowane są również w pełni „załatane” maszyny Windows.

Wszystko wskazuje na ukraińskie pochodzenie tego wirusa. Co sprawia, że tak wiele podobnych zagrożeń ma źródło w krajach byłego ZSRR?

Z pochodzeniem złośliwego oprogramowania musimy być ostrożni. Nigdy tak do końca nie wiadomo. Prawdą jest jednak, że zdecydowana większość ataków, które obserwujemy, pochodzi zza naszej wschodniej granicy. Winić tu możemy słabo zabezpieczoną infrastrukturę i niską skuteczność tamtejszych organów ścigania w tropieniu cybergangów. Z Rosji pochodzi ok. 90 proc. ruchu obserwowanego przez sensory F-Secure.

Jak najskuteczniej bronić się przed Petyą?

Ogólna internetowa „higiena”, czyli ostrożność w otwieraniu wszelkich linków i załączników oraz przyzwoite oprogramowanie antywirusowe ochronią nas przed pierwszymi formami ataku. Aktualizacje oprogramowania, restrykcyjnie skonfigurowany firewall oraz wyłączenie starych protokołów, jak SMBv1 pomogą zabezpieczyć się także przed kolejnymi falami.

Między przestępcami piszącymi wirusy a specjalistami od zabezpieczeń trwa niekończąca się rywalizacja. Wybuch Petyi to oznaka, że „źli” hakerzy są teraz górą?

Niekoniecznie. Wiele rozwiązań, w tym nasze, wyłapywało Petyę od razu. Obecnie firmy, specjalizujące się w zabezpieczeniach, pracują intensywnie nad tzw. logiką predyktywną. Rozwiązanie polega na tym, że, patrząc na zachowanie kodu i jego nietypowość dla danej organizacji czy nawet pojedynczego komputera, możemy wyłapywać podejrzane działania, nawet jeśli jeszcze ich nie znamy. To duży krok naprzód w porównaniu z tradycyjną heurystyką programów antywirusowych.

Jakich zagrożeń powinniśmy spodziewać się w najbliższej przyszłości? W jakim kierunku rozwija się złośliwe oprogramowanie?

Takich ataków jak niedawny WannaCry i obecny Petya będziemy obserwować więcej. Przestępcy w końcu znaleźli bardzo skuteczny sposób na zarabianie na swojej działalności i ten trend trudno będzie zatrzymać. Możemy się spodziewać rozszerzenia fali sabotażu za okup również na urządzenia IoT, jak telewizory, systemy sterowania domem inteligentnym czy nasze samochody. Nie bez wpływu są też wycieki, jak niedawny Vault7 z NSA, gdzie do podziemia wydostają się informacje o tzw. 0 days, nieujawnionych podatnościach w oprogramowaniu, które to słabości są następnie „uzbrajane” przez przestępców i wykorzystywane jako wektor infekcji. To miało miejsce w przypadku exploita EternalBlue, wykorzystanego w ataku WannaCry i w zmodyfikowanej wersji także w Petyi. | CHIP

Źródło: chip