Исследователи выяснили истинные мотивы операторов NotPetya.
Вредоносное ПО Petya.A (оно же NotPetya, SortaPetya и Petna), за два дня зашифровавшее данные на тысячах компьютеров по всему миру, на самом деле не вымогательская программа, а кибероружие. Как показал анализ, проведенный экспертами «Лаборатории Касперского» и Comae Technologies, вредонос представляет собой инструмент для уничтожения данных на жестком диске с целью саботажа работы предприятий и организаций.
По словам исследователей, NotPetya действует подобно вымогателю, однако не предоставляет никакой возможности восстановить файлы. Дело даже не в том, что немецкий почтовый сервис Posteo, которым пользовались киберпреступники, заблокировал их учетную запись, лишив жертв возможности связаться с операторами вымогателя.
NotPetya генерирует для каждого зараженного компьютера случайный идентификатор, где хранит данные о каждой инфицированной системе и ключ для дешифровки (вредонос не использует C&C-сервер). Как пояснил эксперт ЛК Антон Иванов, поскольку NotPetya генерирует случайные данные для каждого конкретного идентификатора, процесс дешифровки невозможен. То есть, даже если жертва заплатит требуемый выкуп, нет никаких шансов получить назад свои файлы. В связи с этим эксперты пришли к выводу, что главной целью операторов NotPetya была не финансовая выгода, а саботаж.
Злоумышленники хотели не обогатиться, а посеять хаос, уверены исследователи. За два дня заплатить выкуп согласились только 45 жертв NotPetya. Именно столько переводов было осуществлено на биткойн-кошелек, указанный в уведомлении с требованием выкупа. В общей сложности киберпреступники «заработали» на NotPetya только 3,99 биткойна (порядка $10,3 тыс.). Эта сумма ничтожно мала по сравнению с $1млн, который получили операторы вымогателя Erebus, заразившие всего одну компанию в Южной Корее.
Стоит отметить, NotPetya не удаляет данные с жесткого диска, но шифрует их без возможности восстановления, что равнозначно удалению. Согласно твиту автора оригинального вымогателя Petya, NotPetya – не его рук дело. Такое же заявление в свое время сделал разработчик AES-NI по поводу вымогателя XData. И NotPetya, и XData использовали один и тот же вектор атаки – обновления ПО для бухучета, используемого украинскими организациями. Возможно, за обоими вредоносами стоят одни и те же люди, желавшие внести хаос в работу украинских организаций.
Михаил Лисневский, руководитель группы регионального развития департамента информационной безопасности компании Softline
В новой атаке прослеживается серьезная «работа над ошибками» создателей WannaCry.
Во-первых, использовался массовый способ первичного заражения: как утверждают исследователи вируса, первые атаки были после обновления распространенной зарубежной системы, аналога отечественного 1C. Нетрудно предположить, что такие системы взаимодействуют друг с другом по всему миру, что способствует распространению.
Во-вторых, к уже имеющимся в WannaCry инструментам добавились новые для распространения и взлома систем в сети — если раньше WannaCry использовало уязвимость протокола SMB, то новый вирус использует еще инструменты WMI и PSExec. Также к использованному в WannaCry эксплойту ETERNALBLUE добавились инструменты ETERNALROMANCE. А по почте шифровальщик распространяется посредством использования уязвимости Windows — CVE-2017-0199.
В-третьих, вирус уже шифрует не просто пользовательские данные, а MTF — главную файловую таблицу. Грубо говоря, шифрует адресную книгу, справочник всех файлов системы. Также перезаписывает MBR — данные, необходимые для загрузки системы.
В-четвертых, что на данный момент является самым актуальным, исследователи вируса сообщают о том, что идентификатор, появляющийся у пользователя на экране, не содержит в себе информации, способной расшифровать данные, используя индивидуальный ключ мошенников, а это всего лишь случайная генерация символов. Это говорит о том, что на данный момент данные расшифровать совершенно невозможно.
Если сложить все эти факторы вместе, то можно заметить, что эта атака-вымогатель — это кибер-оружие, которое создано для того, чтобы уничтожать данные. Тем более для получения денег хакеры использовали один единственный кошелек и одну почту — легко было предположить, что эту почту сразу-же заблокируют.
