موج جدیدی از حملههای سایبری توسط باجافزار پتیا سراسر دنیا را فرا گرفته است.
به گزارش سایبربان، پس از حمله باجافزار واناکرای، این بار نوبت باجافزار پتیا است تا موجی در ابعاد جهانی ایجاد کند.
سامانههای قربانی در سراسر دنیا به این باجافزار جدید آلوده شدهاند که این سامانهها در زیرساختهای بانکی، تجارتی و انرژی قرار دارند. کشورهای آلوده شامل روسیه، اوکراین، هند و کشورهای اروپایی هستند. از مهمترین هدفهای پتیا میتوان به بانک ملی اوکراین (NBU)، شرکت دولتی رسنفت (Rosneft) روسیه، تولیدکنندگان دولتی برق اوکراین به نامهای Kyivenergo و Ukrenergo اشاره کرد.
باجافزار پتیا یا پترپ (Petwrap) پس از آلوده سازی سامانه قربانی از وی 300 دلار بیتکوین درخواست میکند. نکته قابل تأمل استفاده از آسیبپذیری SMBv1 ویندوز است که باجافزار واناکرای نیز دقیقاً از همین آسیبپذیری استفاده میکرد. استفاده از این آسیبپذیری سطح پایین امنیت رایانهها را در سراسر دنیا نشان میدهد.
باجافزار پتیا برخلاف واناکرای فایلها را رمز نمیکند؛ بلکه جدول مسترفایل درایو (MFT) و MBR را هدف قرار داده و آنها را غیرقابل استفاده میکند. پتیا MFT را رمز کرده و MBR را با کد مخرب خود جایگزین میکند، سپس پیغام درخواست پول را نمایش میدهد.
با رمزشدن MBR، ویندوز حتی در حالت امن (Safe Mode) نیز بارگزاری نشده و از کار میافتد. بهمنظور درخواست پول از قربانی درخواست زیر نمایش داده میشود:
در حال حاضر از 61 آنتیویروس ثبتشده تنها 15 عدد توانایی شناسایی پتیا را دارند. اگر قربانیهای فعلی خود را در برابر حملههای باج افزار واناکرای مقاوم میکردند، نتیجه فعلی را شاهد نبودند.
عاملان مرموز حملات باج افزاری پتیا چه کسانی هستند؟
عاملان مرموز حملات باج افزاری پتیا، مانند واناکرای به درستی مشخص نیست. در این میان، عده زیادی، سازمان امنیت ملی آمریکا را مقصر این حملات میدانند.
به گزارش سایبربان؛ در حقیقت همان احتمالاتی که در بحث واناکرای برای عاملان، مطرح کردیم در اینجا هم صدق میکند. درواقع چند سناریو را میتوان ترسیم کرد:
سازمان امنیت ملی آمریکا (NSA): بر اساس اعلام نظر اسنودن، حملات پتیا، کار گروههای هکری سازمان امنیت ملی آمریکا بوده است. به نظر ما نیز، بر اساس برخی قراین، این سناریو، به واقعیت نزدیکتر است. آمریکا با قرار دادن برخی تسلیحات سایبری خود در اختیار گروه شدوبروکرز، سعی در افزایش قدرت بازدارندگی دارد و میکوشد از راه بزرگنمایی توان آفندی خود، به چنین هدفی دست یابد.
روسیه: با توجه به اینکه حملات باج افزاری با انگیزههای بیشتر اقتصادی هستند، نمیتوان این سناریو را محتمل دانست؛ زیرا روسیه، نشان داده است که در حملات سایبری، بیشتر جنبه شناختی و اطلاعاتی را دنبال میکند تا اینکه به دنبال کسب سود اقتصادی باشد.
کره شمالی: این سناریو نیز گرچه با برخی توانهای سایبری کره شمالی سازگار نیست، ولی استبعادی نیز ندارد؛ زیرا این کشور در پی این است تا ارز اقتصادی خود را تقویت کرده و بتواند با وجود تحریمهای اقتصادی، از فشارهای وارده بکاهد.
چین: درکدهای منتشرشده، در باج افزار واناکرای، برخی کارشناسان مدعی شدند کدهای چینی وجود دارد و به همین دلیل، گمانهزنیها درباره چین بالا گرفت. البته برای نزدیک کردن این سناریو به واقعیت، احتمالاتی وجود دارد. یکی اینکه چین، خودش قربانی این باج افزار نیست. البته این دلیل، از قوت کافی برای اثبات مدعا برخوردار نیست.
دوم اینکه، به دلیل اینکه چین قصد دارد تا به یک ابرقدرت اقتصادی در برابر آمریکا تا سال 2050 تبدیل شود، سعی دارد اطلاعات کافی از شرکتهای تجاری، انرژی، تولیدی و زیرساختی داشته باشد. درنتیجه از طریق باج افزار، حملاتی را انجام داده و در عین اخذ پول از قربانی، نسخهای از اطلاعات را هم نزد خود نگه میدارد. البته بر اساس سابقهای که چین در انجام حملات سایبری دارد، روش باج افزاری، از سوی این کشور، متداول نیست. معمولاً روش حملات چینیها، روش جاسوسی سایبری با استفاده از APT (حملات پایدار پیشرفته) است.
البته فرض اینکه این حملات، اقدام گروههای سازمان نیافته و غیر وابسته به دولتها باشند نیز بعید نیست، اما با توجه به گستردگی و مقیاس حملات یادشده، گروههای کوچک هکری معمولاً بهتنهایی این قابلیت را ندارند. درعینحال، برخی دولتها سعی میکنند با اجیر کردن این هکرها، فعالیتهای سایبری خود را انجام دهند و همزمان، ردی نیز از خود برجای نگذارند و از این طریق، همه اتهاماتی را که متوجه آنها است، از خود دور میکنند. باید افزود که یکی از نگرانی کشورها و سازمانها، افزایش گروههای هکری سازمان نیافته است که به علت منسجم نبودن، یافتن و ردیابی آنها نیز بسیار دشوار است.
حمله بزرگ هکری "پتیا" به بانکها و فرودگاهها و شرکتهای نفتی اروپا
رسانه های مشهور دنیا از حمله باج افزاری دیگری به نام پتیا به زیرساختهای کشورهای اروپایی خبر دادند.
به گزارش خبرگزاری تسنیم، بعد از باج افزار واناکرای، این بار باج افزار دیگری به نام پتیا، رایانههایی را در بزرگترین شرکت نفتی روسیه، بانکهای اروپایی و فرودگاههای اوکراین، هدف قرار داد.
برخی از قربانیان این باج افزار در اوکراین اعلام کردند هکرها بعد از قفلکردن رایانهها درخواست 300 دلار باج کردند.
همچنین از قربانیان دیگر این باج افزار میتوان به شرکت کشتیرانی دانمارک، شرکت سازنده فلز ارواز روسیه، شرکت تولید مواد سینت گوبین فرانسه اشاره کرد.
قربانیان دیگر بر اساس اعلام رسانه ها، نیروگاه هسته ای چرنوبیل، سیستم های متروی اوکراین و بانک های اوکراین بوده است.
تمسخر امنیت سایبری جهانی توسط پتیا
باج افزار پتیا شرکتهای بزرگ جهان را هدف قرار داد و بار دیگر امنیت سایبری را در دنیا به باد تمسخر گرفت.
به گزارش واحد هک و نفوذ سایبربان؛ این باج افزار قدیمی که ظاهراً مجدداً آغاز به فعالیت کرده و شباهتهایی نیز با باج افزار واناکرای دارد، صنایع و زیرساختهای گستردهای را در اوکراین، روسیه، انگلستان و تعدادی دیگر از کشورهای جهان هدف قرار داد.
بنا به گزارشهای اولیه، شرکتهای معتبری در این حمله، مورد تهاجم قرار گرفتهاند و همین موضوع، نشان از اهمیت بالای این باج افزار دارد. بسیاری از شرکتهایی که در گزارشهای اولیه، نام آنها در لیست قربانیان قرار گرفت، وقوع این حمله سایبری را تائید کرده و اعلام کردهاند که اطلاعات آنها، مورد نفوذ واقع شده است.
در میان بزرگانی که موردتهاجم این باج افزار واقع شدهاند، شرکتهایی نظیر روس نفت، بزرگترین تولیدکننده نفت روسیه، مائرسک، یکی از غولهای کشتیرانی اتریشی، شرکت Wpp بهعنوان یکی از بزرگترین شرکتهای تبلیغاتی انگلیسی، بانک روسیه، حجم بالایی از بانکهای اوکراینی، فرودگاه بینالمللی اوکراین و بسیاری از شرکتهای آلمانی و فرانسوی به چشم میخورند که البته آمار این شرکتها نیز در حال افزایش است.
روشهای پلیس فتا برای پیشگیری از نفوذ باجافزار پتیا
تاکنون هیچ رمزگشای قابل اطمینانی برای بازگردانی فایلهای آلوده به باجافزار پتیا وجود ندارد و فعلا پیشگیری، بهترین راهحل است.
باجافزار Petya از سال 2016 شروع به فعالیت کرده است و نسخه تغییر یافته این باجافزار از تاریخ 27 ژون 2017 شروع به انتشار کرده که تعداد زیادی از سازمانها را آلوده کرده است. این باجافزار مانند باجافزار WannaCry از آسیب پذیری SMB، برای گسترش خود استفاده میکند. شرکت Symantec و Norton ادعا کردهاند که محصولات آنها از گسترش این باجافزار در استفاده از آسیب پذیری مذکور محافظت میکند. همچنین Symantec این باجافزار را تحت عنوان Ransom.Petya شناسایی میکند.
شرکت Avast نیز اعلام کرده است که آنتیویروس آنها قادر به شناسایی و حذف این باجافزار است به این صورت که اگر سیستم توسط این باجافزار آلوده شد، آن را شناسایی، قرنطینه و از بین میبرد و همچنین از ورود آن به سیستم هم جلوگیری میکند.
تفاوت این باجافزار با سایر باجافزارها در این است که علاوه بر رمز نگاری فایلها، جدول boot record یا همان MBR را نیز رمز نگاری میکند. در حملات روز گذشته، این باجافزار متن زیر در سیستم آلوده شده نمایش داده میشود که در آن درخواست 300 دلار به صورت بیت کوین برای رمزگشایی فایلها شده است:
به گزارش پایگاه اطلاع رسانی پلیس فتا، باجافزار Petya از آسیب پذیری MS17-010 (که به عنوان Eternal Blue نیز شناخته میشود) برای انتشار خود استفاده میکند. تا زمان تدوین این گزارش، عمدتا کشورهای اروپایی درگیر این باجافزار شدهاند و در این میان کشور اوکراین بیشترین میزان آلودگی تا کنون را داشته است ازجمله مترو کیِف، بانک ملی اوکراین، چندین فرودگاه و... و. تاکنون 36 تراکنش بیت کوین برای آدرس بیت کوین مربوط به این باجافزار ثبت شده است و مبلغ آن حدود 3.63676946 بیت کوین معادل حدود 8900 دلار است.
تعدادی از کمپانی های چند ملیتی مانند Nivea، Maersk، WPP، Mondelez نیز خبر از آلودگی به این باجافزار داده اند. تا این زمان مشخص نشده است که اهداف این باجافزار سازمانها و ارگانهای خاصی باشد اما نسخه قبلی این باجافزار به منظور حمله به سازمانها طراحی شده بود.
اگر فایلهای یک سیستم توسط این باجافزار رمز شود روشی برای بازگرداندن آنها وجود ندارد و متاسفانه تا کنون هیچ رمزگشای قابل اطمینانی برای بازگردانی فایلها وجود ندارد و فعلا پیشگیری، بهترین راهحل است. حتی پرداخت وجه مورد درخواست تضمینی برای رمزگشایی فایلها نیست.
باجافزار Petya به منظور آلودگی گسترده طراحی شده است و برای این منظور از آسیب پذیری EternalBlue استفاده میکند. زمانی که استفاده از آسیب پذیری با موفقیت انجام شد، باجافزار خود را در سیستم هدف در شاخه C:\Windows کپی کرده و با بکارگیری rundll32.exe شروع به اجرای خود میکند. سپس این باجافزار شروع به رمزنگاری فایلها و MBR کرده و یک زمانبند برای ریبوت کردن سیستم بعد از یک ساعت به کار میگیرد.
رمزنگاری مورد استفاده این باجافزار AES-128 with RSA است. فایلهای با فرمت زیر مورد حمله این باجافزار قرار میگیرد:
.3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip
همچنین سعی میکند که Event log را نیز به منظور مخفی کردن اثرات خود پاک کند. پس از ریبوت شدن سیستم پیغام زیر مبنی بر چک کردن سیستم و سپس صفحه اصلی درخواست باج ظاهر میشود:
روشهای پیشنهادی به منظور پیشگیری از ابتلا به باجافزار:
سیستم ویندوز باید توسط آخرین وصلههای امنیتی بروزرسانی شود.
قبل از بازکردن فایلهای پیوست ایمیل، باید از فرستنده آن مطمئن شد.
پروتکل SMB غیر فعال شود و patch MS17-010 از سایت ماکروسافت دریافت و نصب شود.
پورت های 445 و 139 بر روی فایروال بسته شود.
غیر فعال کردن اسکریپتهای ماکرو از فایلهای آفیسی که از ایمیل دریافت میشود. (به جای باز کردن فایلهای آفیس با استفاده از نسخه کامل آفیس، از office viewer استفاده شود)
فراهم کردن فیلترینگ مناسب و قوی برای فیلترکردن اسپم و جلوگیری از ایمیلهای فیشینگ.
اسکن تمامی ایمیلهای ورودی و جروجی برای شناسایی تهدیدات و فیلتر کردن فایلهای اجرایی برای کاربران.
Patch کردن سیستم عامل ها، نرمافزار، firm ware، و تجهیزات.
ملاحظات:
بکآپگیری دورهای از اطلاعات حساس
اطمینان از اینکه بکآپها به صورت مستقیم به کامپیوتر و شبکهای که از آن بکآپ گرفته میشود وصل نیست.
ذخیره کردن بکآپها بر روی cloud و همچنین فضای ذخیرهسازی فیزیکی آفلاین؛ بعضی از باجافزارها این قابلیت را دارند که بکآپهای تحت cloud را نیز lock کنند. (بکآپها بهترین روش برای بازگرداندن دادههای رمز شده توسط باجافزار هستند. البته با توجه به اینکه سرورهای cloud در خارج از کشور ما هستند لذا ذخیره بکآپها به این روش در کشور ما نیاز به رعایت ملاحظات امنیتی دارد و میتواند مورد استفاده قرار گیرد.)