Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Virus se tvářil jako vyděrač, šlo však možná o cílený útok na Ukrajinu

  2:40aktualizováno  13:01
Vyděračský virus NoPetya, podobající se loňskému ransomware Petya, napadl řadu ukrajinských a evropských cílů. Řada bezpečnostních odborníků se ale domnívá, že cílem viru nikdy nebylo vydělávat peníze vydíráním uživatelů. Mají podezření, že šlo jen o zástěrku, která měla maskovat koordinovaný kyberútok.

Nová verze viru Petya (ilustrační foto) | foto: Profimedia.cz

Screenshot počítače zavirovaného novou verzí ransomware Petya

Screenshot počítače zavirovaného novou verzí ransomware Petya

Když se 27. června začaly objevovat informace o tom, že se po internetu šíří další ransomware, nikoho to příliš nepřekvapilo. Odborníci ostatně varovali, že květnový vyděračský virus WannaCry byl jen začátek. Poté, co se ukázalo, že nová verze viru Petya využívá i podobné bezpečnostní zranitelnosti, jako WannaCry, šlo v podstatě o rutinu: popsat, jak se virus šíří, které firmy napadl a jak se proti podobným útokům bránit.

Česka se útok podle NBÚ týkal spíše okrajově, státní úřady ani firmy důležité pro chod státu napadeny nebyly. Terčem byla například francouzská stavební skupina Saint-Gobain, která působí i v Česku, provoz v jejích závodech ale narušen nebyl. Napadena byla i ruská pobočka české skupiny Home Credit, která uvedla, že nepřišla o žádná klientská data a že bankovní operace ovlivněny nebyly.

Článek jsme postupně aktualizovali o vyjádření odborníků, doplnili informaci o firmách na Ukrajině i jinde, které se s virem setkaly, a varovali čtenáře, aby v případě napadení neposílali peníze, neboť tvůrci ransomwaru Petya byli od jediné adresy, které jim měla sloužit pro komunikaci s vydíranými uživateli, odstřiženi.

Ransomware

Od roku 2015 jde o nový oblíbený typ útoku na osobní počítače. Virus zašifruje data uživatele a poté po něm žádá výkupné, obvykle formou bitcoinu.

Tento styl útoku je na vzestupu. Některé verze ransomware lze dekódovat zdarma, jinde se uživatelé bez zaplacení ke svým datům bez zaplacení již nedostanou. Odborníci doporučují dodržovat zásady bezpečného chování na internetu.

Během druhého dne se ale vynořila řada podrobností, které vrhají na původní předpoklad odůvodněné pochybnosti. Klasický ransomware, kde jde tvůrcům o peníze z výkupného za uživatelská data, má totiž celou řadu způsobů, jak zajistit, aby od napadených uživatelů peníze dostal.

  1. Ransomware může generovat řadu různých bitcoinových adres, které jsou unikátní pro daného uživatele
  2. Ransomware často nabízí řadu možností, jak kontaktovat tvůrce, aby nemohlo dojít k přerušení toku peněz
  3. Je v zájmu tvůrců ransomware, aby uživatelé věřili tomu, že po zaplacení výkupného (obvykle bitcoiny) skutečně dostanou svá data zpět. Pokud by tomu tak nebylo, brzy se to rozkřikne a útočníci se připravují o velké zisky

Netrvalo dlouho a ukázalo se, že nová verze ransomwaru Petya (též zvaná Petrwrap, NoPetya, ExPetr nebo GoldenEye) nesplňuje ani jeden z těchto bodů:

  1. Všichni napadení uživatelé vidí stejnou bitcoinovou peněženku, není tedy jak automatizovaně odlišit platby.
  2. Jediná adresa, přes kterou mohla oběť s útočníky komunikovat, byla na serveru posteo.net, který ji celkem záhy zrušil.
  3. Jak zjistil programátor Matt Suiche, nový virus Petya data na spouštěcím sektoru pevného disku (MBR) nekódoval, ale rovnou je mazal - obnova tedy nebyla možná. Klíč, který se na obrazovce zobrazil, je podle analýzy Kaspersky Lab jen náhodně vygenerovaná změť znaků.

„Domnívám se, že tento ransomware byl ve skutečnosti pokusem vylákat média narativu podobnému tomu v případě WannaCry,“ spekuluje Suiche. „Tedy navodit dojem, že za útokem stojí skupinka hackerů, ne nějaký stát.“

Příliš mnoho náhod? Útok se silně zaměřil na Ukrajinu

S touto hypotézou souhlasí i další odborníci. Poukazují především na to, že většina cílů tohoto útoku byla na Ukrajině. Napadena byla ukrajinská národní banka, ukrajinské letiště, hromadná doprava a dokonce i Černobyl, který kvůli útoku NoPetya musel přepnout na nouzový manuální monitorovací systém.

27.června 2017 v 21:03, příspěvek archivován: 29.června 2017 v 01:35

The latest on today's #ransomware outbreak includes #YARA rules. https://t.co/23wVF8OmUc @kaspersky #petya #notpetya https://t.co/Ryc9GO0Cia

Jakým způsobem se útočníkům povedlo zasáhnout právě Ukrajinu? Využili k tomu ukrajinský účetní program MeDoc. Velkým ukrajinským firmám, které tento účetní program používají, útočníci vnutili falešný update. Podrobněji tento způsob útoku popsala společnost Microsoft.

Virus NoPetya využíval sofistikované techniky k šíření po firemních sítích. Peníze ale vydělávat nedokázal. Možná o to tvůrcům ani nešlo.

Pomocí tohoto updatu se virus dostal do firemních sítí, ve kterých se dále šířil pomocí interních sítí WMIC a PSEXEC (nástroj pro vzdálenou instalaci a spouštění aplikací). Kromě toho využívá i dalších zranitelností a technik. Některé z nich byly evidentně cílené právě na Ukrajinu. To kontrastuje s faktem, že virus komunikoval s uživateli výhradně anglicky.

Na to, jak sofistikovaných postupů využíval virus ke svému šíření, byli jeho autoři překvapivě nepozorní v té hlavní věci, o kterou by jim mělo jít. Virus NoPetya je naprosto tragický co do schopnosti vydělávat peníze. To dále podporuje hypotézu, že nešlo o vyděračský virus, ale o virus útočný. Nabízí se paralela s virem Shamoon, který v roce 2012 napadl energetické společnosti v Saúdské Arábii.

Ke stejnému závěru došli posléze i výzkumníci Kaspersky Lab: „Poté, co jsme malware analyzovali, jsme dospěli ke zjištění, že tento virus nedokáže dekryptovat disk oběti, ani kdyby proběhla platba.“ Dodejme, že se zde uvažuje hypotetická situace, kdy by útočníci měli přístup ke své mailové schránce, což již nemají.

„Malware NoPetya není ransomware, ale wiper, který se za ransomware jen vydává.“

„To podporuje hypotézu, že tato kampaň neměla za cíl finanční zisk,“ pokračuje Anton Ivanov z Kaspersky Lab. „Místo toho zřejmě šlo o ‚wiper‘ (virus určený k mazání dat, pozn. red.), který se za ransomware jen vydává.“

Ukrajinská vláda označila NoPetya za kyberútok: „Myslím, že jsme byli cílem,“ uvedl Roman Bojarčuk, šéf ukrajinského Centra pro kyberbezpečnost. „Tohle nejsou kriminálníci. Za tímhle útokem stál stát.“ Naznačil, že by za útokem mohlo být Rusko („Je těžké si představit, že by to chtěl provést někdo jiný,“ dodal) a poukázal na načasování útoku v předvečer dne, kdy si Ukrajina připomíná nezávislost. Naopak ruská agentura TASS přinesla zprávu o tom, že Ukrajina vinu Ruska odmítá. Ruský prezident Putin se dokonce na virus NoPetya odvolává. „Takový masivní útok podporuje ruskou tezi, kterou jsme opakovali, že proti hackerským hrozbám je potřeba postupovat mezinárodně,“ uvedl Putinův mluvčí. „Tento problém nelze vyřešit tím, že se budeme bez důkazů obviňovat.“

Ne všichni bezpečnostní experti souhlasí s tím, že NoPetya se za ransomware pouze vydává. „Nevsadil bych si na to,“ uvedl Sean Sullivan ze společnosti F-Secure.

Rusko, které je z kyberútoků osočováno poměrně často, si podle některých vytvářelo „uvěřitelné alibi“. Pokud šlo skutečně o koordinovaný útok a ukázku ruských kyberschopností, mysleli autoři i na to, aby napadli i ruské cíle. Virus NoPetya zaútočil podle informací TASS i na ruskou státní firmu Rosněfť: „Hackerský útok mohl zanechat významné následky, ale díky tomu, že jsme přepnuli na náš záložní systém, nebyla narušena ani produkce ropy, ani její úprava,“ uvedla ruská naftařská společnost v tiskovém prohlášení. „Je zajímavé, že měli tak špatné zabezpečení, že je virus dokázal citelně infikovat, ale na druhou stranu mají tak dobré zabezpečení, že tento útok ani v nejmenším nenarušil jejich provoz,“ podivuje se bezpečnostní výzkumník vystupující pod přezdívkou grugq. To, že bylo Rusko také napadeno virem, podle něj nedokazuje nic jiného, než že si útočníci dali práci s tím, aby to navenek vypadalo, že Rusko je obětí.

Vyšetřování útoku nadále probíhá, a zatím je tedy na definitivní závěry brzy.

Aktualizace: Doplnili jsme citace ruského prezidenta. Upřesnili jsme detaily. Doplnili jsme údaje o dopadu na Česko.

Autor:



Nejčtenější

Okamura má na fotce z posilovny přifouknuté svaly. Jak poznat fotomontáž

Ukázka nepovedené fotomontáže z posilovny. Mřížka v pozadí ukazuje, k jakému...

Předseda SPD se na svém oficiálním profilu na Facebooku pochlubil fotkami z posilovny. Komentátoři si všimli, že fotka...

Prahu by zatopila radioaktivní voda. Ihned by umřely desítky tisíc lidí

Celkový pohled na Prahu zatopenou vodou z Orlické a Slapské přehrady v rámci...

Píše se rok 1982 a Prahu zasahuje mohutná přívalová vlna z protržené Slapské a Orlické přehrady. Je to dílo nepřítele...



Dvakrát přežil ohnivé peklo a vrátil se do boje. Chybu udělal po válce

František Truhlář před válkou

Letec RAF František Truhlář přežil dvě těžké havárie při návratech z bojových letů. Při obou utrpěl těžké popáleniny,...

Proč chtěl Hitler Svatý grál a archeologie za ČSSR nebyla marxistická

Svastika na archaické řecké keramice (8. století před Kr., Archeologické muzeum...

Jedním z oblíbených triků propagandy a propagandistů je návrat k mýtům a ohýbání historie do podoby, která politickému...

Tohle astronomové ještě neviděli. Přiletěla první mezihvězdná planetka

Rekonstrukce možné podoby planetky 1I/2017 U1 (‘Oumuamua) na základě údajů...

V naší soustavě už více či méně dobře známe 750 tisíc různých planetek a dalších menších těles. Ale žádný z nich se...



Další z rubriky

Tipy pro Windows 10: Jak na screenshoty či rodičovskou kontrolu

Tipy a triky pro Windows 10

Pořizovat snímky obrazovky různými způsoby a odesílat do cloudového úložiště je nyní možné také ve Windows. Podíváme se...

Naučte se zdarma modifikovat PDF dokumenty

Ilustrační foto

Neexistuje mnoho aplikací pro plnohodnotnou úpravu dokumentů v PDF zdarma. Jestliže však potřebujete někde něco...

Vyčistěte si tablet od zbytečností nebo sledujte nezávislé filmy

Tablet pro práci zábavu.

Nová verze internetového prohlížeče Firefox přichází s radikálními změnami. Vyzkoušet můžete také aplikace na...



Najdete na iDNES.cz