28.06.2017 | 08:06

Adam Haertle

Atak ransomware na polskie firmy przypadkowym odpryskiem ataku na Ukrainę

Dociera do nas coraz więcej sygnałów wskazujących, że atak ransomware który poważnie sparaliżował pracę kilku polskich i zagranicznych firm był skierowany wyłącznie na ofiary w Ukrainie a pozostałe infekcje są wynikiem zbiegu okoliczności.

Od wczoraj opisujemy bardzo poważny atak ransomware na firmy na całym świecie. Ofiary zlokalizowane są w wielu krajach, w tym także w Polsce. Wszystko jednak wskazuje nam, że jedynym prawdziwym celem ataku była Ukraina, a pozostałe ofiary dostały rykoszetem. Wyjaśniamy poniżej.

Jak dostała Ukraina

Jeśli nie czytaliście naszego wczorajszego opisu wydarzeń na Ukrainie, to przypominamy: ktoś przejął serwer firmy produkującej oprogramowanie wymagane do raportowania finansowego do ukraińskich urzędów. Oprogramowanie to samo się aktualizowało na komputerach, na których było zainstalowane. Wczoraj ok. 10:30 lokalnego czasu ktoś podmienił plik z aktualizacją na złośliwy i automatycznie zainfekował setki ukraińskich firm i instytucji. Jak jednak mogło dojść do infekcji firm poza terenem Ukrainy?

Jak dostali pozostali

Widzimy dwa możliwe scenariusze ataku na firmy w innych krajach – oba przypadkowe. Pierwszy to skutek działania robaka. Jego pierwsza faza agresywnie skanuje komputery znajdujące się w tej samej sieci. Wystarczy, że firmy spoza Ukrainy były połączone na warstwie sieciowej ze swoimi biurami na Ukrainie a ruch między filiami nie był odpowiednio filtrowany i szkodnik mógł łatwo przeskoczyć z jednego biura do drugiego, siejąc zamęt i zniszczenie. Druga opcja to pojawiająca się w sieci informacja, że zainfekowane ukraińskie oprogramowanie M.E.doc musiało być podobno używane przez każdą firmę, która na Ukrainie płaci podatki i jest szansa, że jego kopie były używane także w biurach firm w innych krajach.

Jakie mamy dowody

Bez nagranych rozmów atakujących opracowujących plan ataku nie sposób udowodnić tego na 100%, ale naszym zdaniem argumentów za takim przebiegiem wydarzeń nie brakuje:

  • pierwsze raporty o infekcji zaczęły napływać ok. 13:30 z Ukrainy i przez pierwszą godzinę nie słyszeliśmy o ofiarach spoza jej terytorium,
  • liczba ofiar na Ukrainie jest ogromna, dotknięte zostały setki firm, podczas kiedy liczba ofiar poza Ukrainą jest niewielka, mowa o pojedynczych przypadkach,
  • ofiary z krajów innych niż Polska, Rosja czy Ukraina to najczęściej globalne koncerny, które mają biura na Ukrainie,
  • potwierdzają to statystyki Kaspersky Lab,
  • wszystkie firmy, których infekcję w Polsce udało się nam potwierdzić, mają biura lub fabryki na Ukrainie,
  • nie natrafiliśmy na żaden przypadek infekcji firmy bez placówki na Ukrainie.

Jak się bronić

W sieci pojawia się wiele informacji o tym, jak bronić się przed opisywaną infekcją. Wszystkie są do niczego, bo do infekcji już doszło. Jeśli nie widzicie czerwonego ekranu, to w tej edycji już go nie zobaczycie. Do tego wszyscy ostrzegają przed złośliwymi załącznikami – są one dużym ryzykiem, ale prawdopodobnie nie były użyte w tej kampanii. Zamiast zatem tworzyć śmieszne foldery skupcie się na dobrych kopiach bezpieczeństwa i wykrywaniu znanych od lat narzędzi przestępców i ich aktywności w Waszej sieci.

Powrót

Komentarze

  • 2017.06.28 08:15 Andrzej

    Dobrze pisać po fakcie, o ile jest już po fakcie.
    Zrobienie takiego pliku to chwila, a jeśli miało pomóc bo nie wiadomo co atakuje to czemu nie.

    Odpowiedz
    • 2017.06.28 09:59 Adam

      Ale wiadomo co atakuje a daje fałszywe poczucie bezpieczeństwa – podczas kiedy nie daje bezpieczeństwa.

      Odpowiedz
      • 2017.06.28 10:08 b

        tak samo jak w pełni zaktualizowane systemy, które też zostały zainfekowane? nie rozumiem krytyki rozwiązania, które po prostu zabezpiecza przed infekcją tego konkretnego szkodnika

        Odpowiedz
      • 2017.07.02 11:24 ert

        A jeśli w przyszłości ktoś użyje kodu tego wirusa? Przecież dużo teraz klonów jednego i tego samego kodu. To te „śmieszne foldery” dalej będą chronić. A skoro nie wnoszą nic negatywnego to czemu nie ich nie użyć?

        Odpowiedz
        • 2017.07.02 13:41 Adam

          Lepiej poświęcić ten czas na opracowanie procedur tworzenia kopii bezpieczeństwa, które zabezpieczą przed 100% incydentów, a nie przed 0,00001%.

          Odpowiedz
  • 2017.06.28 08:23 Piotr

    „pierwsze raporty o infekcji zaczęły napływać ok. 13:30 z Ukrainy i przez pierwszą godzinę nie słyszeliśmy o ofiarach spoza jej terytorium”

    Dokładnie o tej samej godzinie dostałem informację, że duża firma pod Krakowem na dokładnie ten sam problem. O ile mi wiadomo, nie mają oficjalnych powiązań handlowych z Ukrainą.

    Odpowiedz
  • 2017.06.28 08:49 Seba

    No i pod żadnym pozorem nie płaćcie okupu! (jak „radzi” pewien portal z „nie” z przodu!)
    To tylko napędza ten interes!

    Odpowiedz
    • 2017.06.28 17:02 Adee

      Prawda – dramat

      Odpowiedz
  • 2017.06.28 08:56 jaa

    o Nie… niedziała:)

    Odpowiedz
  • 2017.06.28 09:17 M.

    A „niebezpiecznik” nie działa

    Odpowiedz
  • 2017.06.28 09:21 Joey

    „(…) Jeśli nie widzicie czerwonego ekranu, to w tej edycji już go nie zobaczycie”.

    Skąd ta pewność? Został użyty jakiś globalny wyłącznik jak w przypadku rejestracji domeny przy WannaCry?

    Odpowiedz
    • 2017.06.28 09:58 Adam

      Nie, kampania skończyła się po ok. godzinie. Nic już nie infekuje.

      Odpowiedz
      • 2017.06.28 12:26 Mary

        Adamie skąd ta pewność?

        Masz wiedzę o jakimś wewnętrznym mechanizmie self-destroy sterowanym czasem?

        Odpowiedz
        • 2017.06.28 12:34 Adam

          Nie było żadnych infekcji po kilku godzinach od pierwszej. Nie ma mechanizmów dalszego mnożenia ponad to początkowe.

          Odpowiedz
  • 2017.06.28 09:54 polkariusz

    Oczywiście jak zawsze brak jakichkolwiek doniesień o ataku, który dotknąłby GNU/Linux i wolne oprogramowanie.

    Odpowiedz
    • 2017.06.28 09:57 Adam

      Jak np. ransomware które zaszyfrował 153 serwery w hostowni w Korei Południowej kilka dni temu ;)

      Odpowiedz
      • 2017.06.28 10:05 polkariusz

        „Running on Linux kernel 2.6.24.2, which was compiled back in 2008, Nayana’s website is vulnerable to a great deal of exploits that could provide attackers with root access to the server, such as DIRTY COW, Trend Micro notes”

        Taki wygląd windowsiarzy. Można mieć aktualny system i można paść ofiarą, a tutaj potrzeba nie aktualizować przez 9 lat.

        Odpowiedz
    • 2017.06.28 15:34 admin

      Ataki na androida może nie są jeszcze spektakularne ale wydaje mi się że pobiją te na systemy M$

      Odpowiedz
      • 2017.06.28 23:57 m4sk1n

        Z tym, że android nie jest dystrybucją linuksa, co znacząco zmienia sporo…

        Odpowiedz
  • 2017.06.28 11:27 Benito

    Czy antywirusy nie chronią przed tym?

    Odpowiedz
    • 2017.06.28 22:25 incomplete

      Benito, masz tak zajebisty poziom pojmowania rzeczywistości, że gdybym był kobietą, oddałbym Ci się…

      Odpowiedz
  • 2017.06.28 11:29 as

    Najciekawsze przy takim wektorze ataku jest to, że nawet przy spatchowanych systemach na eternalblue, robak propagowal się bezproblemowo przez wykorzystanie danych dostepowych AD.

    Dziwi mnie ze ktos zdecydowal się na wariant ransomware (a juz w ogole z pojedynczym adresem BTC na wplaty i obsluga przez email procesu deszyfracji…), kiedy mogl zyskac znacznie wiecej zwyczajnie słuchając (ale ryzyko detekcji przy wyprowadzaniu danych, czy zestawianiu zdalnych tuneli).

    Odpowiedz
    • 2017.06.28 13:52 mryt

      mozna nieco ambitniej – szyfrujemy wszystko jak leci – ztcw truecrypt ma otwarty kod, klucze przechowywujemy zdalnie, ale w pierwszej fazie sa zapisane na dysku w sposob umozliwiajacy normalne uruchomienia – sciagamy wtedy interesujace dane a po zakonczeniu nadpisujemy klucze na dysku, wyswietlamy stosowny komunikat i czekamy na okup

      i taka droga to pojdzie – szyfrowanie wybranych typow plikow jest bez sensu – dziwie sie ze nikt jeszcze nie odpalil randomizerow rozszerzen, poza jakimis hardkodowanymi w systemie – po drobnych zmianach w rejestrze mozna przeciez normalnie pracowac z plikami .dokument_sdrg5_worda zamiast .doc

      Odpowiedz
    • 2017.06.28 13:56 M..

      A może to tylko próba sił? Już nas widzę, jak ktoś spróbowałby to u nas w Płatniku ;)))

      Odpowiedz
    • 2017.06.28 14:11 Jakub

      Bo ransomeware to prawdopodobnie tylko przykrywka, a faktycznym celem mogło być po prostu sparaliżowanie Ukrainy.

      Odpowiedz
  • 2017.06.28 12:03 Jacek

    I kto tu mówi, że trzeba mieć aktualne oprogramowanie?;)

    Odpowiedz
  • 2017.06.28 13:24 Xxx

    Tylko patrzec jak ktos zrobi to samo z Symfonia. ;-/

    Odpowiedz
    • 2017.06.28 14:35 moon

      Mógły, w końcu to najgorszy erp na rynku;)

      Odpowiedz
  • 2017.06.28 14:43 chroni

    Ale pliczek chroni, ale przed zaszyfrowaniem i tylko jeśli jest TYLKO DO ODCZYTU. Nie chroni natomiast przed dalszym rozprzestrzenianiem się tego gówna.

    Odpowiedz
  • 2017.06.28 20:20 OkropNick

    Ja dostałem takiego xls’a z wirusem już tydzień temu, ale może to co innego:

    kuba@okropnick:~/Pulpit$ clamscan /tmp/faktura_vat\ 81\ 2017\ korekta.xls
    /tmp/faktura_vat 81 2017 korekta.xls: Xls.Malware.Agent-6330422-0 FOUND

    ———– SCAN SUMMARY ———–
    Known viruses: 6298901
    Engine version: 0.99.2
    Scanned directories: 0
    Scanned files: 1
    Infected files: 1
    Data scanned: 0.20 MB
    Data read: 0.08 MB (ratio 2.55:1)
    Time: 6.247 sec (0 m 6 s)
    kuba@okropnick:~/Pulpit$

    sha1 pliku to f281b9e6af8146c776b1b5a4ee57a2ea1ba0749b

    Odpowiedz
    • 2017.06.28 20:27 Adam

      Tak, to coś innego.

      Odpowiedz

Zostaw odpowiedź do OkropNick

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Atak ransomware na polskie firmy przypadkowym odpryskiem ataku na Ukrainę

Komentarze