Analiştii "Kaspersky Lab" investighează un nou val de atacuri ransomware care vizează organizaţii din toată lumea, iar rezultatele preliminare sugerează că este vorba de un ransomware care nu a mai fost întâlnit până acum, a declarat Costin Raiu, director al echipei globale de cercetare şi analiză de la "Kaspersky Lab", cu privire la atacurile cibernetice care au avut loc ieri.
Datele telemetrice ale companiei indică aproximativ 2.000 de utilizatori atacaţi până acum.
Costin Raiu a precizat: "Organizaţiile din Rusia şi Ucraina sunt cele mai afectate, dar am înregistrat atacuri şi în Polonia, Marea Britanie, Germania, Franţa, SUA, România şi alte ţări. Pare să fie un atac complex, care implică mai mulţi vectori. Putem confirma că este folosit un exploit modificat EternalBlue pentru propagare, cel puţin în interiorul reţelelor corporate".
Potrivit acestuia, Kaspersky Lab detectează această ameninţare ca UDS:DangeroundObject.Multi.Generic, iar experţii companiei speră să scoată noi semnături, inclusiv pentru componenta System Watcher cât de curând posibil şi să stabilească dacă este posibilă decriptarea datelor blocate în atac - cu intenţia de a dezvolta un instrument de decriptare cât mai curând.
"Le recomandăm tuturor companiilor să îşi actualizeze software-ul Windows, să-şi verifice soluţia de securitate şi să se asigure că au făcut backup şi au detecţie ransomware activă", a adăugat Raiu.
Conform unui comunicat publicat de Cert.ro, companii din mai multe ţări, mai cu seamă Ucraina, au fost afectate, începând de ieri, de o variantă de ransomware cunoscută cu denumirea de Petya/Petwarp, care pare să fie o formă modificată a variantei de ransomware Petya, cunoscută încă din anul 2016.
Până acum nu a fost stabilit cu exactitate vectorul de infecţie (modalitatea de răspândire), însă în urma analizării informaţiilor deţinute până în acest moment de CERT-RO (atât din surse proprii cât şi externe), există mai multe variante posibile: răspândirea printr-o campanie de mesaje email de tip SPAM ce conţin oferte cu locuri de muncă (email recruiting); exploatarea unei vulnerabilităţi a protocolului SMB, posibil chiar cea cunoscută cu denumirea de EternalBlue (utilizată şi de WannaCry); răspândirea în reţea (lateral movement) prin facilitatea WMIC (Windows Management Instrumentation Command-line).
Această variantă de ransomware afectează sistemele de operare Windows şi are atât capabilităţi de criptare a fişierelor de pe disc, dar şi de blocare a accesului la PC prin alterarea MBR (Master Boot Record).
"Se pare ca în mod implicit malware-ul încearcă mai întâi să blocheze accesul la sistem prin alterarea MBR, însă dacă nu reuşeşte să obţină privilegii de administrator pentru a efectua această operaţiune criptează direct fişierele de pe disc", precizează Cert.ro.
Suma solicitată de atacatori pentru recuperarea accesului la sistemul afectat şi la fişiere este echivalentul a 300 de dolari în moneda virtuală Bitcoin.