Blog

(Not)Petya Ransomware: nastavak Wannacry priče, uz bitnu inovaciju

Nakon Wannacry ransomware napada prošlog mjeseca, u toku je novi ransomware napad naziva Petya ili NotPetya.

Bitni faktori koji ovog puta utječu na uspjeh zaraze po organizacijama širom svijeta:

  • automatska propagacija po Windows mreži (SMB protokolom) korištenjem WMI ili Psexec alata. Ukoliko se ransomware izvrši na računalima sa domain admin privilegijama, to će osigurati praktički neograničeno širenje po LAN mreži (port 445) i potpuno preuzimanje Windows domenskog okruženja. Ovo je istinska inovacija ovog napada jer se ransomware oslanja na autorizirano udaljeno izvršavanje, bez oslanjanje na iskorištavanje SMB sigurnosnih propusta u Windowsima.
  • naravno, za svaki slučaj tu je (kao i kod Wannacry) korištenje Microsoft propusta MS17-010 za automatsko izvršavanje bez interakcije sa korisnikom računala (tzv. wormable exploit), opet koristeći SMB port 445.
  • rani izvještaji upućuju na sumnju u tzv. supply chain napad, gdje su inicijalne zaraze omogućene u isporuci nadogradnje softvera za financijsko poslovanje ukrajinskog proizvođača M.E.Doc, koji je navedenu i kompromitiranu nadogradnju automatski isporučio svojim korisnicima.

Uočite kako uspješnost ovog napada opet osigurava SMB protokol i model administracije računala kakav je nažalost i dalje industry standard u organizacijama širom svijeta: Windows domain mreža uz group policy management koji se značajno oslanja upravo na izravnu dostupnost svih računala u mreži preko TCP porta 445 odnosno SMB.

Vrijeme za razmisliti o alternativnim načinima upravljanja endpoint okolinom i blokirati dolazni SMB transport na endpoint računalima?

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter