Petya som var byggt för att förstöra har drabbat Ukraina och det danska rederiet Maersk, brittiska reklambyrån WPP, läkemedelsbolaget Merck, Rysslands största oljebolag Rosnoft och flera andra multinationella företag.
Beräkningar kring NotPetya är attden orsakade mer än 10 miljarder dollar i skador enligt en artikel i Washington Post.
Vad är ett wiper-program?
Petya var maskerat som ett ransomware men enligt Kaspersky och Comae Technologies är det i själva verket ett wiper program. Målet med ett wiper-program (torkare) är att förstöra och skada. Målet med en ransomware är att tjäna pengar. Olika avsikter och motiv. Ett ransomware har förmågan att återställa data om du betalar en wiper kan bara förstöra och utesluter möjligheterna till restoration.
Viruset liknar WannaCry som spreds under maj 2017 och som låste datorn och ville ha betalt i Bitcoin och som tros ha spridits av nordkoreanska hackers.
Den primära måltavlan var med stor sannolikhet Ukraina
Länder som rapporterats drabbade är framförallt Ukraina och Ryssland men även Storbritannien, Frankrike, Tyskland, Italien och Polen men även USA är drabbad.
Ukrainska media var först att rapportera om Petya infektionerna. Viruset är speciellt utbrett i Ukraina och slagit mot Ukrainsk infrastruktur och institutioner som Ukrenergo den statliga energidistributören och Kyivergo, den internationella Borispol flygplatsen och flera av landets banker. Själva programmet var en ”wiper” som är en attack vars syfte är att förstöra.
Enligt säkerhetsföretaget Cisco Talos infekterade detta ransomware initialt MeDoc som är ett ukrainskt bokföringsprogram som skickade infekterade filer till sina kunder men det finns dem som tror att det var en statssponsrad cyberattack.
”I think this was directed at us…This is definitely not criminal. It is more likely state-sponsored.”
Roman Boyarchuk chef för centret för Cyperförsvar i Ukraina till Tidningen Wired
Svagheterna som Petya använder
Petya sprider sig inom nätverk med hjälp av olika automatiserade verktyg som utnyttjar Microsoft obskyra protokoll som Windows Management Instrumentation, PSExec och Server Message Block vilket tyder på en sofistikerad attack. Säkerhetsbolagen BitDefender Labs och Symantech bekräftar att Petya ransomware utnyttjar EternalBlue (Windows SMBv1 Exploit som finns en Patch sedan mars 2017) för att sprida sig från en dator till en annan. Eternal Blue är ett cyberweapon som initialt tros ha utvecklats av amerikanska underrättelsetjänsten NSA och använts i mer än 5 år och läcktes av Shadow Brokers.
Hur ska man skydda sig mot Ransomware och Petya?
Betala aldrig lösen. Se till att patcha dvs uppdatera din dator och kör alltid backup.Offren kunde ha skyddat sig mot angrepp genom att uppdatera datorer med säkerhetsuppdateringar från Microsoft och konfigurera sina nät för att stoppa virus inriktning en allmänt Använd Windows nätverk protokoll, enligt säkerhetsforskaren Eric Chien på Symantec Corp enligt en artikel till New York Times.
Ladda ner PDF från PwC hur du skyddar dig mot Peteya.
Petya och Ryssland
Ryska säkerhetsföretaget Group-IB rapporterar att Petya buntar en redskap ”LSADump” som kan samla in lösenord och autentiseringsuppgifter data från Windows-datorer och domäncontrollers i nätverket. Kaspersky Lab kommer uppdatera sin blogg om hotet på den här sidan.
Det finns flera versioner av Petya, Petrwrap och viruset kallas även för NotPetya eller Nyetya.
