29/06/2017

ExPetr atakuje duże firmy

Biznes MŚP

Jesteśmy świadkami pojawienia się nowego rodzaju programu z rodziny kryptomalware. Nasi eksperci nadali mu nazwę ExPetr, lecz inni nazywają go różnie: Petya, PetrWrap, albo jeszcze inaczej. Atak ten najbardziej odróżnia od poprzednich to, że ofiary są dobrane z dużą precyzją: większość z nich stanowią firmy.

Najgorsze jest to, że ofiarami tego szkodliwego programu są obiekty z infrastrukturą krytyczną. Na przykład w wyniku ataku opóźniono kilka lotów na kijowskim lotnisku Boryspil oraz tymczasowo nie działał niesławny system monitorowania promieniowania w czarnobylskiej elektrowni jądrowej.

Dlaczego ten program szyfrujący zaatakował systemy infrastruktury krytycznej? Bo są one bezpośrednio połączone z siecią firmową lub mają bezpośredni dostęp do internetu.

Jak się chronić przed tym zagrożeniem?

Podobnie jak w przypadku WannaCry, mamy tu do czynienia z dwoma różnymi problemami: przedostanie się szkodliwego programu do infrastruktury firmy oraz jego rozmnażanie. Oba problemy należy rozwiązać osobno.

Przeniknięcie do systemu

Nasi eksperci wskazują różne możliwości przedostania się tego szkodliwego programu do sieci. W niektórych przypadkach użył on szkodliwych stron (infekcja drive-by) — wówczas użytkownicy otrzymali szkodliwy program w postaci rzekomej aktualizacji systemu. W innych przypadkach infekcja była rozprzestrzeniania w postaci aktualizacji firm zewnętrznych — na przykład do ukraińskiego oprogramowania do księgowości o nazwie M.E.Doc. Mówiąc w skrócie, nie ma jednej, oczywistej drogi, której trzeba strzec.

Poniżej przedstawiamy kilka porad, które uniemożliwią szkodliwemu programowi przedostanie się do infrastruktury:

  • Instruuj pracowników, aby nigdy nie otwierali podejrzanych załączników ani nie klikali łączy w wiadomościach e-mail (mimo że brzmi to oczywiście, ludzie nadal to robią).
  • Sprawdź, czy wszystkie systemy połączone z internetem mają aktualne rozwiązania bezpieczeństwa wykonujące analizę zachowania.
  • Sprawdź, czy włączone są komponenty produktów zabezpieczających o znaczeniu krytycznym (w przypadku produktów firmy Kaspersky Lab są to wykorzystująca chmurę sieć Kaspersky Security Network oraz moduł Kontrola systemu).
  • Regularnie aktualizuj produkty zabezpieczające.
  • Stosuj narzędzia do kontrolowania i monitorowania produktów zabezpieczających zarządzane z poziomu jednej konsoli — i nie pozwól, aby pracownicy mieli dostęp do jej ustawień.

W ramach dodatkowych środków zabezpieczających (zwłaszcza, jeśli nie korzystasz z produktów Kaspersky Lab) zainstaluj nasz darmowy program Kaspersky Anti-Ransomware Tool, który jest kompatybilny z większością innych producentów antywirusów.

Rozmnażanie się w sieci

Po przedostaniu się do systemu zagrożenie ExPetr rozmnaża się w sieci lokalnej znacznie lepiej niż WannaCry: został on do tego specjalnie przygotowany. Po pierwsze, używa przynajmniej dwóch exploitów: zmodyfikowanego EternalBlue (używanego także przez WannaCry) oraz EternalRomance (inny exploit dla portu 445 w protokole TCP). Po drugie, gdy infekuje system, na którym użytkownik ma uprawnienia administratora, rozpowszechnia się przy użyciu technologii Windows Management Instrumentation lub przy użyciu narzędzia zdalnej kontroli systemu PsExec.

Aby uniknąć rozmnażania się szkodliwego programu w sieci (a zwłaszcza w systemach infrastruktury krytycznej), należy:

  • odizolować systemy, które wymagają aktywnego połączenia z internetem, w oddzielnym segmencie sieci;
  • rozdzielić resztę sieci na podsieci lub wirtualne podsieci z ograniczonymi połączeniem, łącząc tylko te systemy, które tego wymagają do procesów technologicznych;
  • zapoznać się z poradami ekspertów zespołu Kaspersky Lab ICS CERT opublikowanymi po ataku zagrożenia WannaCry (zachęcamy do tego zwłaszcza firmy z branży przemysłowej);
  • upewnić się, że krytyczne aktualizacje bezpieczeństwa dla systemu Windows są instalowane na bieżąco. Szczególną uwagę  należy zwrócić na łatę MS17-010, która eliminuje luki wykorzystywane przez EternalBlue i EternalRomance;
  • odizolować serwery przechowujące kopie zapasowe od reszty sieci i zablokować wykorzystywanie  połączeń z dyskami zdalnymi na serwerach kopii zapasowej;
  • zablokować wykonywanie pliku o nazwie perfc.dat przy użyciu funkcji Kontrola aplikacji w pakiecie Kaspersky Endpoint Security for Business lub przy użyciu narzędzia systemowego Windows AppLocker;
  • w przypadku infrastruktury zawierającej wiele systemów osadzonych należy zastosować wyspecjalizowane rozwiązania zabezpieczające, takie jak Kaspersky Embedded Security Systems;
  • na systemach, na których jest to możliwe, skonfigurować tryb Odmowy domyślnej jako dodatkowy środek zabezpieczający — na przykład na komputerach, na których oprogramowanie jest rzadko zmieniane. Można to zrobić przy użyciu komponentu Kontrola aplikacji w pakiecie Kaspersky Endpoint Security for Business.

Tradycyjnie gorąco zalecamy stosowanie wielowarstwowego podejścia do bezpieczeństwa informacji, stosowanie automatycznych aktualizacji oprogramowania (w tym dla systemu operacyjnego), komponentu zabezpieczającego przed ransomware, a także komponentu, który monitoruje wszystkie procesy w obrębie systemu operacyjnego.

Płacić czy nie płacić

Ogólnie nie zalecamy płacenia okupu, jednak rozumiemy, że część firm nie ma wyboru. Jednak jeśli infekcję spowodował program żądający okupu ExPetr, nie płać pod żadnym pozorem.

Nasi eksperci odkryli, że ten szkodliwy program nie ma mechanizmów zapisujących identyfikator instalacji. Wobec tego autor zagrożenia nie może uzyskać informacji potrzebnych do odszyfrowania zajętych plików. Mówiąc inaczej, nie może on przywrócić danych ofiar.