Μετά το νέο παγκόσμιο κύμα εταιρικών επιθέσεων ομηρίας υπολογιστών, οι αναλυτές της Kaspersky Lab ανακοίνωσαν ότι το λογισμικό που χρησιμοποιείται δεν είναι μία παραλλαγή του ransomware «Petya», αλλά ένας καινούριος τύπος ransomware που δεν έχει εμφανιστεί ποτέ ξανά.

Παρόλο που έχει κοινά στοιχεία με τον ιό «Petya», έχει τελείως διαφορετική λειτουργία, για το λόγο αυτόν τον ονόμασαν «ExPetr». Τα δεδομένα τηλεμετρίας της εταιρείας δείχνουν πως μέχρι τώρα έχουν πραγματοποιηθεί γύρω στις 2000 επιθέσεις.

Οι οργανισμοί στη Ρωσία και στην Ουκρανία είναι αυτοί που έχουν επηρεαστεί περισσότερο, ενώ έχουν σημειωθεί αρκετές επιθέσεις στην Πολωνία, την Ιταλία, το Ηνωμένο Βασίλειο, τη Γερμανία, τη Γαλλία, τις Ηνωμένες Πολιτείες και σε πολλές άλλες χώρες.

Το κακόβουλο λογισμικό απαιτούσε από τους χρήστες λύτρα ύψους 300 δολαρίων (περίπου 260 ευρώ) για το ξεκλείδωμα των αρχείων που είχε δεσμεύσει σε εταιρείες και κυβερνητικές υπηρεσίες, συμπεριλαμβανομένου του πυρηνικού σταθμού του Τσερνόμπιλ. Εξετάζοντας το λογισμικό ειδικοί σε θέματα διαδικτυακής ασφάλειας κατέληξαν στο συμπέρασμα ότι το συγκεκριμένο λυτρισμικό φέρει πολλές ομοιότητες με το WannaCry, το οποίο τον περασμένο μήνα είχε προσβάλει τουλάχιστον 300.000 υπολογιστές σε 150 χώρες.

Ωστόσο, η νέα αυτή επίθεση φαίνεται ότι εξαπλώθηκε σε πολύ μικρότερη κλίμακα σε σύγκριση με το WannaCry, με την εταιρεία ασφάλειας Kaspersky Lab να υπολογίζει τον αριθμό των προσβεβλημένων συστημάτων στα 2.000. Μέχρι στιγμής δεν υπάρχουν ενδείξεις σχετικά με το ποιος βρίσκεται πίσω από την πρόσφατη κυβερνοεπίθεση.
Από την πλευρά της, η κυβέρνηση της Ουκρανίας, από όπου φέρεται πως ξεκίνησε η όλη υπόθεση, ανακοίνωσε ότι η επίθεση έχει τεθεί υπό έλεγχο, ωστόσο μεγάλες οργανώσεις συνεχίζουν να αντιμετωπίζουν προβλήματα.

«Η εκτεταμένη κυβερνοεπίθεση που χτύπησε εταιρικά και κυβερνητικά δίκτυα και έλαβε χώρα εχθές, 27 Ιουνίου, έχει αναχαιτιστεί», αναφέρει σε ανακοίνωσή της η ουκρανική κυβέρνηση. «Η κατάσταση βρίσκεται υπό πλήρη έλεγχο από τους ειδικούς σε θέματα ασφαλείας στον κυβερνοχώρο και πλέον γίνονται εντατικές προσπάθειες για την ανάκτηση των χαμένων δεδομένων».

Εν τω μεταξύ, παρά τις διαβεβαιώσεις από υψηλόβαθμα στελέχη, οι υπάλληλοι της πυρηνικής μονάδας του Τσερνομπίλ συνέχισαν να χρησιμοποιούν μετρητές Geiger για τη καταγραφή των επιπέδων ακτινοβολίας, αφού τα συστήματα της μονάδας ήταν μεταξύ αυτών που προσβλήθηκαν.

Οι επιθέσεις ξεκίνησαν την Τρίτη το μεσημέρι στο Κίεβο και γρήγορα εξαπλώθηκαν σε περίπου 80 εταιρείες στην Ουκρανία και τη Ρωσία, αναφέρει σε ανακοίνωσή της η εταιρεία κυβερνοασφάλειας Group IB. Στη Ρωσία, μεγάλες εταιρείες, όπως η πετρελαϊκή Rosneft, ανέφεραν ότι τα συστήματά τους είχαν προσβληθεί σημαντικά. Λίγο αργότερα, πολυεθνικές στη Δυτική Ευρώπη και τις Ηνωμένες Πολιτείες ανέφεραν επίσης ότι είχαν πέσει θύματα του λυτρισμικού.
Ανάμεσα στις εταιρείες που ανέφεραν προβλήματα ήταν η παγκόσμια ναυτιλιακή εταιρεία Maersk, ο βρετανικός διαφημιστικός όμιλος WPP, ο γαλλικός βιομηχανικός όμιλος Saint-Gobain καθώς και η αμερικανική φαρμακοβιομηχανία Merck.

Μέχρι στιγμής δεν υπάρχουν ενδείξεις σχετικά με το ποιος βρίσκεται πίσω από τις πρόσφατες κυβερνοεπιθέσεις, ωστόσο ειδικοί δηλώνουν ότι πιθανόν πρόκειται για μια εγκληματική απάτη, ενώ η Ουκρανία έχει αφήσει να εννοηθεί ότι υπάρχει μεγάλη πιθανότητα υπαίτια να είναι η Ρωσία.
Αυτή η επίθεση φαίνεται να είναι αρκετά πολύπλοκη αφού περιλαμβάνει διάφορους φορείς έκθεσης σε κίνδυνο. Χρησιμοποιούνται τροποποιημένα τα exploits “EternalBlue” και “EternalRomance” από τους εγκληματίες για τη διάδοση δεδομένων μέσα από εταιρικά δίκτυα.

Πώς να προστατεύσετε τους υπολογιστές

Σύμφωνα με το δελτίο Τύπου της Kaspersky Lab, «όλες οι εταιρείες πρέπει να ενημερώσουν το λογισμικό των Windows: οι χρήστες Windows XP και Windows 7, μπορούν να προστατευτούν μόνο στην περίπτωση που κατεβάσουν το patch ασφαλείας MS17-010.
Επίσης, συμβουλεύουμε όλους τους οργανισμούς να επιβεβαιώσουν ότι έχουν αντίγραφα, επικαιροποιημένα και σωστά. Σκοπός είναι ανά πάσα στιγμή να μπορούν να χρησιμοποιηθούν για την επαναφορά των πρωτότυπων αρχείων μετά από την απώλεια των δεδομένων.
Η Kaspersky Lab συμβουλεύει επίσης τους εταιρικούς πελάτες της τα εξής:
• Να ελέγχουν ότι όλοι οι μηχανισμοί προστασίας είναι ενεργοί αλλά και πως τα στοιχεία KSN και System Watcher (που είναι ενεργά από την αρχή) δεν είναι απενεργοποιημένα.
• Να χρησιμοποιούν την εφαρμογή Startup Control (https://help.kaspersky.com/KESWin/10SP2/en-US/129102.htm), μέρος του Kaspersky Endpoint Security, ώστε να μπορούν να αποτρέψουν την εκτέλεση από το αρχείο με το όνομα perfc.dat, και να μπλοκάρουν την εκτέλεση του PSExec utility (μέρος του Sysinternals Suite).
• Να διαμορφώσουν και να ενεργοποιήσουν τη λειτουργεία Default Deny της εφαρμογής Startup Control, μέρος του Kaspersky Endpoint Security, για να ενδυναμώσουν την προληπτική άμυνα ενάντια αυτής και άλλων επιθέσεων».