Анализ от компании Digital Guardian: NotPetya бьёт по «дыркам» в системах.

Только мир отошел от атаки WannaCry, как на этой неделе прошла еще одна очень масштабная кибер-атака вирусом под названием NotPetya (ExPetr). Вирус, большей частью своего кода очень напоминает вирус Petya, но многие исследователи по безопасности говорят, что это отдельный вид ransomware червей. Эта новая разновидность вируса уже принесла огромный ущерб множеству компаний (банки, СМИ, госучреждения, мобильные операторы, энергетические компании и т.д.). Подобно WannaCry, новый вирус пользуется эксплоитом EternalBlue с учетом уязвимости в системе Windows для распространения по сети сразу после заражения.

На сегодняшний момент, нет окончательного мнения касательно основной версии про первоначальную инфекцию. Одним из вариантов может быть взломанный сервер обновлений для программного пакета бухгалтерского учета MEDoc из Украины. Инфицированный сервер устанавливал обновления, которые содержали файлы ExPetr. Также, есть мнение, что были произведены и целенаправленные атаки на конкретные организации для запуска вредоносного кода.

«У Microsoft теперь есть доказательства того, что несколько активных инфекций первоначально начались с процесса обновления MEDoc. Как мы отмечали ранее, атаки на цепочки поставок программного обеспечения представляют собой недавнюю опасную тенденцию в сфере новых кибер-угроз, и для защиты от них требуются передовые решения», - говорят исследователи Microsoft.

Это не типичная атака ransomware, которая обычно подразумевает спам-сообщения с инфицированными вложениями, что запускают вредоносный код сразу после открытия. ExPetr не полагается на такой метод возможно потому, что здесь все зависит от пользователей. Конечно, рассылка миллионов таких сообщений может быть эффективной, но с другой стороны и малоэффективной. Взлом сервера обновлений может быть гораздо более эффективным методом распространения ransomware или любого другого вида вредоносного кода. Интересно, что уже много лет подряд исследователи по безопасности предупреждали о таком методе.  

Более 15 лет нас учили что нужно сразу устанавливать обновления с целью обеспечения безопасности системы. Microsoft, Apple, Google и другие гиганты-разработчики программного обеспечения всегда делали акцент на важности установки патчей и создали проверенные каналы, через которые пользователи могут устанавливать обновления. Можно сказать, что эти каналы являются одними из наиболее защищенных активов, которые есть у компаний, поскольку они представляют собой очень привлекательные цели для атак.

Но, как показала последняя атака, такой метод грозит не только большим вендорам. Мелкие разработчик ПО, более уязвимы так, как у них попросту может не хватать ресурсов для построения хорошей системы безопасности.

На данный момент, уже недостаточно просто рассказывать пользователям, что не нужно открывать подозрительные сообщения из неизвестных источников. Подкованные злоумышленники хорошо знакомы с корпоративной защитой, политиками безопасности и поведением пользователей, и они знают где находятся «белые пятна» в системе. Те, кто запустил вирус ExPetr, нашли такое пятно и воспользовались им. Это была не первая атака, которая использовала этот вектор, но она стала самой громкой и вредоносной. И все могло бы быть намного хуже, если вирус попал бы в более популярный программный пакет.

В свою очередь, DigitalGuardian может обеспечить защиту от такого рода вирусов благодаря механизму своей работы. Технология Digital Guardian ATP (Advanced Threat Protection) позволяет агенту Digital Guardian идентифицировать подозрительные и опасные процессы в ядре системы и блокировать угрозу, исходя из процессов, а не сигнатур. Это означает, что DG ATP – эффективный инструмент защиты от внешних угроз, независимо от новизны угрозы. Системе не нужен образец сигнатуры, она реагирует на опасные действия по отношению к данным.

Похожие новости