Petya-haittaohjelmaepidemia osoittaa, että WannaCry oli vain alkusoittoa

F-Secure torjui uuden haittaohjelman, joka leviää samaan tapaan kuin toukokuun historiallinen haittaohjelmahyökkäys. Tällä kertaa näyttää kuitenkin siltä, että rikolliset ovat ammattilaisia.

Kirjoittaja: F-Secure Business Security Insider
Päivämäärä: kesäkuu 28, 2017
Lukuaika: 4 Minuuttia

petya ransomware

Ukrainan sähköyhtiö, yksi maailman suurimmista välipalayhtiöistä ja jopa Tsernobylin säteilyvalvontajärjestelmät ovat esimerkkejä sadoista yrityksistä ja järjestöistä, jotka ovat joutuneet Petya-perheen kiristysohjelman uhreiksi.

Vaikka alkuperäistä tartuntavektoria ei ole tunnistettu, F-Securen analyysi havaitsi, että Petya käyttää EternalBlue-haavoittuvuutta, jonka Microsoft paikkasi ensimmäisen kerran maaliskuussa. Haavoittuvuus nousi esiin toukokuussa 2017, kun maailman suurin kiristysohjelmaepidemia WannaCry puhkesi. Nämä NSA:n löytämät aukot eivät olleet julkisesti tiedossa ennen kuin hakkeriryhmä Shadowbrokers julkisti ne vuoden alussa.

 

 

F-Secure Labs on jo vuosia varoittanut, että julkishallinnon vuodetut valvontamenetelmät voivat muuttua rikollisten käsissä aseiksi. Varoitukset ovat nyt muuttuneet todellisuudeksi, jonka kanssa yritysten on elettävä tulevina vuosina.

WannaCry osoitti rikollisille, että liiketoimintamalli toimii. Verkossa madon lailla leviävä kiristysohjelma voi ottaa suuren osan organisaation datasta panttivangiksi ja vaatia lunnaita Bitcoineina. WannaCryn aiheuttama tuho jäi kuitenkin pieneksi huolimattomasti tehdyn koodin ansiosta. Se antoi lomalla olleelle haittaohjelmatutkijalle mahdollisuuden aktivoida koodissa olleen ’tappokytkimen’.

Petya vaikuttaa olevan huomattavasti ammattimaisempi yritys käyttää samoja keinoja.

”Tämä on isompien liigojen WannaCry”, sanoo F-Securen tietoturvaneuvonantaja Sean Sullivan. ”Amatöörit tartuttivat paljon ihmisiä viime kerralla. Tällä kertaa nämä tyypit haluavat rahastaa kunnolla.”

Toisin kuin muissa kiristysohjelmissa Petyassa on häijy piirre: se salaa tiedostojen lisäksi myös osan kiintolevyn käynnistyssektorista ja estää Windowsin käynnistämisen. Vaikka kiristysohjelmaperhe on ollut olemassa jo yli vuoden, se ei ole aiemmin hyödyntänyt verkon aukkoja.

Petya-maksujan seuraavan Twitter-tilin mukaan tiistai-iltapäivästä lähtien yli 10 000 dollaria on jo siirtynyt Bitcoin-lompakkoon, jonne Petya vaatii maksuja.

Hyvät uutiset: F-Securen tuotteet estävät Petyan uuden muunnoksen

Päätelaitetuotteemme estävät kaikki uhkan muodot. F-Securen haavoittuvuuksien hallintaratkaisu Radar hälyttää haavoittuvuuksista järjestelmässä, jotta ne voidaan korjata. Lisäksi F-Securen edistyneiden hyökkäysten torjuntapalvelu Rapid Detection Service tunnistaa hyökkäyksen ja mahdollistaa välittömän vastauksen uhkaan.

F-Securen päätelaitetuotteet suojaavat Petya-kiristysohjelmalta useassa kerroksessa, jotta hyökkäys saadaan pysäytettyä monessa eri kohtaa hyökkäysketjua.

 

  • F-Securen Software Updater -päivitystoiminto estää Petya-kiristysohjelman uutta versiota hyödyntämästä EternalBlue-aukkoa päivittämällä haavoittuvuudet.
  • F-Securen Security Cloud -toiminnallisuus havaitsee ja estää kiristysohjelman käyttämän DLL-tiedoston.
  • F-Securen haittaohjelmientorjunta estää uhan useiden tunnisteiden avulla.
  • F-Securen palomuurin oletusasetukset estävät Petya-hyökkäyksen leviämisen järjestelmiin ja tiedostojen salaamisen.

F-Securen haavoittuvuuksien hallintaratkaisu F-Secure Radar hälyttää puuttuvista Microsoft-päivityksistä ja haavoittuvasta 445-portista, jotta IT-osasto pystyy hyvissä ajoin korjaamaan haavoittuvuudet ennen hyökkäysepidemiaa.

F-Securen edistyneiden hyökkäysten torjuntapalvelu F-Secure Rapid Detection Service havaitsee suuren osan Petyan käyttämistä TTP-tekniikoista, kuten rundll-32:n ja muiden Microsoftin komponenttien väärinkäytön, jolloin asiakkaat voivat välittömästi ryhtyä toimenpiteisiin tartunnan havaitsemisen jälkeen.

Mitä sinun pitäisi tehdä?

F-Securen päätelaitetuotteet suojaavat oletusasetuksissaankin Petya-kiristysohjelmalta. On kuitenkin hyvä varmistaa, että kaikki tietoturvaominaisuudet ovat päällä. Lisäksi olisi hyvä pyrkiä pienentämään hyödynnettyä haavoittuvuutta ja varmistaa, ettei tartunta leviä.

F-Securen päätelaitetuotteet suojaavat oletusasetuksissaankin Petya-kiristysohjelmalta. On kuitenkin hyvä varmistaa, että kaikki tietoturvaominaisuudet ovat päällä. Lisäksi olisi hyvä pyrkiä pienentämään hyödynnettyä haavoittuvuutta ja varmistaa, ettei tartunta leviä.

1. Varmista, että DeepGuard ja reaaliaikainen suoja on päällä kaikissa yrityksen päätelaitteissa.
2. Varmista, että F-Secure Real-time Protection Network on päällä.
3. Varmista, että F-Securen tietoturvaohjelma käyttää viimeisintä saatavilla olevaa ja päivitettyä tietokantaa.
4. Tunnista päätelaitteet, joissa ei ole Microsoftin päivityksiä (4013389) Software Updater- työkalulla tai muulla saatavilla olevalla työkalulla ja korjaa ne välittömästi.

• Päivitä MS17010 Windows Vistaan ja uudempaan käyttöjärjestelmään (Windows Server 2008 ja uudemmat).
• Aja Microsoftin päivitys Windows XP:hen tai Window Server 2003:een.
• Mikäli et pysty käynnistämään ohjelmistokorjausta välittömästi, suosittelemme SMBv1:n ottamista pois toiminnasta tavalla, jotka on kuvattu Microsoft Knowledge Base Article 2696547:ssa, jotta hyökkäyksen saastuttamaa aluetta saadaan pienennettyä.

5. Varmista, että F-Securen palomuuri on päällä oletusasetuksissa. Vaihtoehtoisesti palomuuri kannattaa konfiguroida estämään liikenne 445-portissa, jotta haittaohjelma ei leviä organisaation järjestelmiin.

Mitä sinun pitäisi tehdä, mikäli kiristysohjelma löytyy?

  1. Vaihda verkossa kaikkien käyttäjien tiedostojen käyttöoikeudet pelkiksi lukuoikeuksiksi TAI kytke irti verkosta kaikki levykansiot, NAS, SAN, jne. tartunnan rajoittamiseksi silloin, kun pelkkien lukuoikeuksien määrittäminen on mahdotonta.
  2. Tarkista tietojärjestelmäsi valvontajärjestelmästä, missä levyasemien kirjoitus- ja lukuaktiivisuus on noussut rajusti ja mistä aktiivisuus on lähtöisin.
  3. Ole yhteydessä järjestelmiesi palveluntarjoajaan ja kerro, että tietoturvaohjelmiston pikapäivitys saattaa olla tulossa. Myös välitön palvelupäivitys saattaa tulla kyseeseen, kun ohjelmistokorjaus on hoidettu ja sitä pitää testata.

Lisäksi on viitteitä, että Petya kykenee myös varastamaan domain ylläpidon salasanan koneen muistista ja käyttämään sitä leviämiseen koneisiin, joissa MS17-010 on päivitetty.

Täten on erittäin suositeltavaa, että koneisiin kirjautumista domain ylläpidon tunnuksilla vältetään, ja jos kirjautuminen joudutaan tekemään esimerkiksi huollon takia, niin kone uudelleen käynnistetään huollon jälkeen.

Samoin olisi erittäin suositeltavaa, että jos koneissa on paikallisia ylläpito tunnuksia, jokaisessa koneessa käytetään yksilöllistä salasanaa.

 


Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s