ExPetr: Rozsiahly ransomverovy utok

Ráno 27. júna zaznamenala spoločnosť Kaspersky Lab vlnu ďalších rozsiahlych ransomvérových útokov, ktoré zasiahli organizácie najmä na Ukrajine, v Rusku a západnej Európe. Ransomvér je vyšetrovaný pod názvom ExPetr (nejde o variant ransomvéru Petya ako naznačovali prvé správy).

Vzhľadom na stále prebiehajúce vyšetrovanie sa nedá ešte hovoriť o konkrétnom rozsahu, systémy Kaspersky Lab však predbežne zachytili okolo 2-tisic útokov.

Útočníci požadujú vo väčšine  prípadov výkupné vo výške 300 dolárov v bitcoinoch za sprístupnenie dešifrovacieho kľúča na odblokovanie zašifrovaných súborov. Na rozdiel od prípadu Wannacry je táto technika účinná, pretože útočníci požadovali od obeti zaslanie čísla peňaženiek prostredníctvom emailu na “wowsmith123456@posteo.net”, čím potvrdia transakciu. Zdá sa ale, že memontálne je už tento e-mailový účet zrušený, čo znemožňuje súčasným obetiam dostať sa k dešifrovacím kľúčom.

Včera v neskorých večerných v hodinách obsahovala bitcoinová peňaženka 24 transakcií v hodnote 2.54 BTC, čo je približne 6-tisíc amerických dolárov.

Ransomvér využíva na svoje rozšírenie vlastne nástroje a la Mimikatz. Tie dokážu vytiahnuť potrebné  prístupové dáta z procesu lsass.exe. Hneď po tom sú tieto dáta presunuté ďalej cez PsExec nástroje alebo WMIC na distribúciu vo vnútri siete (cez PsExec nástroje alebo WMIC).

Riešenia Kaspersky Lab dokážu úspešne zastaviť tento útok prostredníctvom nástroja System Watcher. Táto technológia chráni pred ransomvérovými útokmi vďaka nepretržitému monitorovaciemu systému, ktorý dokáže zareagovať na potenciálne hrozby.

Viac informácií v priloženom vyjadrení alebo v blogposte na https://securelist.com/schroedingers-petya/78870/.