Επίθεση που θυμίζει πολύ την WannaCry του περασμένου μήνα, η οποία και επηρέασε περισσότερες από 100 χώρες σε ολόκληρο τον κόσμο, θυμίζει η νέα κυβερνοεπίθεση που εκτυλίσσεται αυτή την ώρα.

Μέχρι στιγμής πιο σοβαρά έχουν «χτυπηθεί» η μεγαλύτερη ναυτιλιακή εταιρεία σε ολόκληρο τον κόσμο, η Maersk, ενώ η Ουκρανική κεντρική τράπεζα, το μετρό, το αεροδρόμιο του Boryspil στο Κίεβο και η εταιρείας παροχής ηλεκτρικού ρεύματος Ukrenego  φαίνεται πως έχουν πέσει θύματα των χάκερς.

Νέες αναφορές για επιθέσεις έγινας σε Ισπανία και Ινδία. Μεταξύ των θυμάτων και ο Rozenko Pavlo, ο αντιπρόεδρος Ουκρανικής κυβένρησης, ο οποίος ενημέρωσε μέσω twitter, ότι τόσο ο ίδιος όσο και άλλα μέλη του Κοινοβουλίου δεν μπορούσαν να έχουν πρόσβαση στους υπολογιστές τους.

Μάλιστα η δανέζικη ναυτιλιακή εταιρεία A.P. Moller-Maersk ανακοίνωσε ότι «Μπορούμε να επιβεβαιώσουμε ότι η βλάβη προκλήθηκε από κυβερνοεπίθεση» σύμφωνα με τον Mikkel Linnet, εκπρόσωπο τύπου της εταιρείας. Ο ίδιος διευκρίνισε ότι έχουν πληγεί τα συστήματά της σε πολλές περιοχές όπου διατηρεί γραφεία, συμπεριλαμβανομένων και των κεντρικών στην Κοπεγχάγη.

Η Maersk με μήνυμά της στο Twitter ανέφερε ότι τα συστήματά της έχουν πέσει «σε πολλές τοποθεσίες και ότι ερευνά την υπόθεση».

Ακόμα και μεμονωμένοι χρήστες έχουν κάνει αναφορές για κακόβουλο λογισμικό στην Γαλλία και τη Μεγάλη Βρετανία. Ο ιός σύμφωνα με τις πρώτες πληροφορίες έχει επηρεάσει και και την Ρωσική πετρελαϊκή Rosneft, αν και άγνωστο παραμένει το μέγεθος της ζημιάς που έχει προκαλέσει.

Ένα ακόμα θύμα είναι και η βρετανική WPP, η μεγαλύτερη διαφημιστική εταιρεία παγκοσμίως, η οποία ανακοίνωσε ότι δέχτηκε κυβερνοεπίθεση και ότι εξετάζει την κατάσταση, λαμβάνοντας τα κατάλληλα μέτρα για την αντιμετώπισή της. Εκπρόσωπός της επιβεβαίωσε ότι έχει πληγεί η εταιρεία, χωρίς να δώσει περισσότερες διευκρινίσεις.

Ένας ερευνητής για τhn Kaspersky Lab εντόπισε τον ιό ο οποίος ονομάζεται «Petrwrap» παρακλάδι του Petya, που εντόπισαν τα εργαστήρια τον Μάρτιο. Σύμφωνα με μια πρόσφατη σάρωση του VirusTotal, μόνο τέσσερις από τις 61 υπηρεσίες προστασίας από ιούς μπορούν να ανιχνεύσουν με επιτυχία τον ιό.

Δεν είναι ακόμη σαφές πώς εξαπλώνεται ο ιός και αν, όπως και η WannaCry, εκμεταλλεύεται νέες ευπάθειες για να μολύνει νέα μηχανήματα. Μόλις μολυνθεί ωστόσο ο κάθε υπολογιστής δίνει εντολή στον χρήστη να πληρώσει 300 δολάρια σε μια στατική διεύθυνση Bitcoin και, στη συνέχεια, στέλνει με μήνυμα ηλεκτρονικού ταχυδρομείου το «πορτοφόλι bitcoin »και τα προσωπικά στοιχεία του χρήστη σε μια διεύθυνση ηλεκτρονικού ταχυδρομείου Posteo. Μέχρι στιγμής αναφορές κάνουν λόγο ήδη για πέντε συναλλαγές, συνολικού ύψους περίπου 1443 δολαρίων.

Από τη Ρωσία οι επιθέσεις, λένε οι Ουκρανοί

Οι Ουκρανοί έσπευσαν να «δείξουν» προς τη Ρωσία για την πηγή των κυβερνοεπιθέσεων. Σύμφωνα με έναν σύμβουλο του υπουργείου Εσωτερικών, τον Αντόν Γκερασένκο, η επίθεση έγινε με τον ιό Cryptolocker, μια παραλλαγή του WannaCry. «Ο στόχος της κυβερνοεπίθεσης ήταν η αποσταθεροποίηση», ανέφερε, υποστηρίζοντας ότι οι επιθέσεις αυτές κατά πάσα πιθανότητα προήλθαν από τη Ρωσία.

Ο πρωθυπουργός της Ουκρανίας Βολοντιμίρ Γκρόισμαν χαρακτήρισε ως «άνευ προηγουμένου» το κύμα κυβερνοεπιθέσεων, αλλά τόνισε ότι δεν έχουν παρουσιαστεί προβλήματα σε σημαντικά πληροφοριακά συστήματα.

«Ηταν μια επίθεση άνευ προηγουμένου αλλά οι ειδικοί μας κάνουν τη δουλειά τους και προστατεύουν τις υποδομές στρατηγικής σημασίας. Τα σημαντικά συστήματα δεν έχουν πληγεί», έγραψε στο Facebook.

Ποιος είναι ο ιός Petya

Οι παλαιότερες παραλλαγές της Petya, που ανέλυσε η ESET,  εταιρεία ασφάλειας διαδικτύου, αποκάλυψαν ότι το κακόβουλο λογισμικό προκαλεί την επονομαζόμενη «μπλε οθόνη του θανάτου» μετά την επιτυχή διείσδυση των Windows, αναγκάζοντας έτσι το θύμα να επανεκκινήσει τον υπολογιστή του. Εάν ο χρήστης το κάνει αυτό, αντί να φορτώσει το λειτουργικό σύστημα θα εμφανιστεί στην οθόνη μήνυμα όπου θα του ζητούνται λύτρα. Σε παλαιότερες ανάλογες περιπτώσεις η αντιστοιχία ήταν 0.99 bitcoin / 431 δολάρια, κάτι που μπορεί να διαφέρει στη συγκεκριμένη περίπτωση.

Για να επιτευχθεί αυτό, το ιός τροποποιεί την κύρια εγγραφή εκκίνησης (MBR) για να εκτελέσει τον κώδικα του κακόβουλου λογισμικού αντί για τον κωδικό συστήματος. Στη συνέχεια κρυπτογραφεί τον κύριο πίνακα αρχείων (MFT). Στην ουσία, ο ιός λέει στο σύστημα πού βρίσκονται τα αρχεία και ποια είναι η κατευθυντήρια δομή του υπολογιστή.

Η ανάλυση της ESET από την παλαιότερη έκδοση της Petya έδειξε ότι δεν κρυπτογραφεί τα αρχεία αλλά μόνο τον πίνακα αρχείων, στους δίσκους του υπολογιστή. Αυτό επιτρέπει στους χρήστες να ανακτούν αρχεία με κάποια από τα διαθέσιμα εργαλεία αποκατάστασης (αν και αυτό μπορεί να οδηγήσει σε κάποιο κόστος).
Ωστόσο, η παραλλαγή του κακόβουλου λογισμικού Petya που χρησιμοποιήθηκε στις τελευταίες επιθέσεις δεν έχει ακόμη αναλυθεί σωστά, για να προσδιοριστεί πόση ζημιά μπορεί να κάνει αυτή τη φορά.