Обзор шифровальщика Petya/NotPetya, детектирование и защита

Днем 27 июня на Украину обрушилась самая сильная кибератака в истории страны. Вирус-блокировщик Petya или NotPetya, как его еще называют, чтобы подчеркнуть отличие от типичного вируса-шифровальщика, поразил 12 000 компьютеров и практически остановил работу нескольких десятков компаний. На сегодня все еще нет доказательств точного времени, когда началась атака. Его следует ожидать после того как эксперты по компьютерной криминалистике (forensics) завершат расследование и реверс-инжиниринг всех компонентов из образцов кибероружия (вирусом назвать это язык не поворачивается).

Впервые об атаке я услышал от друга, который работает в отделе информационной безопасности крупной украинской компании в 10:18 по Киеву 27 июня. На момент звонка их компьютеры под управлением самых разных версий Windows (от XP до «десятки») уже были зашифрованы. Это на 12 минут раньше, чем рапортует Киберполиция на своей официальной странице в ФБ.

Звонок был в стиле: «Андрей, а у вас есть индикаторы атаки по шифровальщику Petya? Интересуют IP-адреса, ну и все, чем еще можете поделиться. К нам тут прилетело..».

На тот момент все, что я знал про Petya — это современный вирус-шифровальщик, известный уже более года. Отличительной его чертой является доступность — его можно купить на черном рынке как услугу или как ПО.  Для справки: шифровальщики в наше время — это вполне себе взрослая отрасль темной стороны киберпространства. Это автономные программы, в 99% случаев поражающие Windows, которые используют легитимные встроенные средства шифрования с немного нестандартной целью – найти все важные для вас файлы и взять их в заложники, зашифровав их. Далее вам предлагается купить ключ расшифровки за сумму в $50-500 в течение строго отведенного времени, после чего ключ будет недоступным. Что бы оставаться незамеченными в качестве валюты используется всем известный Bitcoin.

Назад к звонку. Индикаторов у нас не было. Сейчас же они все доступны в открытой статье на комьюнити специалистов по информационной безопасности Peerlyst.

Атаковали не только Украину, это глобальная операция

Есть 3 вектора атаки, несколько разновидностей сэмплов Petya и подтверждение от пострадавших:

Russia, Ukraine, Spain, France — confirmed reports about #Petya ransomware outbreak. Good morning, America.

— codelancer (@codelancer) June 27, 2017

Украина однозначно возглавляет список с более чем 40 организациями из всех отраслей от финансов до онлайн-сервисов, ритейла и государственного сектора. Также досталось и Франции, Испании, России, Голландии. Позже к списку добавились компании из Великобритании и США.

Как проходила атака

Пик атаки пришелся на 14:30. Мы не первый раз столкнулись с такой ситуацией, потому команда еще в 10:18 (когда мы впервые услышали о случившемся) начала поиск информации во всех открытых и коммерческих базах угроз (threat intelligence). И тут, как часто бывает, хорошо показал себя MISP, бесплатное сообщество по обмену индикаторами атак:

В данных из MISP видно, что еще 20 марта 2017 (за 3 недели до WannaCry) был факт подтверждения использования шифровальщика Petya в комплексных целенаправленных кибератаках (APT). Это сильно отличается от мнения о том что Petya.A — это клон WannaCry, который распространяется через уязвимость сетевых папок (SMB). Забегая наперед – 3 компании из Украины подтвердили нам, что у них стояли все обновления Windows, политики «белых списков» для приложений и они все равно были зашифрованы. Один из векторов распространения атаки — это кража пароля администратора домена (все компании-жертвы использовали Active Directory) и легитимная установка Petya.A удаленно при помощи PsExec (стандартный инструмент администратора IT). Но это вектор не заражения, а распространения. Как Petya попал в сеть организаций? На сегодня известно 3 вектора атаки:

1. Зараженное почтовое вложение и ссылка на сайт. Информация подтверждена СБУ и CERT-UA. То, что это один из векторов сомнений нет, вот только вероятность того, что компании из всех отраслей одновременно открыли документ на английском языке о заказе 26.07, очень маленькая. Мы уже были свидетелями того, как в 2015 по почте был разослан загрузчик BlackEnergy — кибероружие, которое привело к отключению электроэнергии в январе 2016 и синхронной атаке на медиа-каналы в октябре 2015. Этот вектор исключать нельзя, доказательства есть, но это еще не все.
2. Атака на программное обеспечение M.E.Doc, подтвержденная Киберполицией и компаниями, которые были зашифрованы. Здесь важно отметить, что взломали или сам механизм обновления или способы связи с ним (например подменили DNS). За последние 36 часов я говорил минимум с 4 компаниями, у которых установлен M.E.Doc и которые зашифрованы не были, и последнее обновление приходило 22.06.2017 именно так, как заявляет разработчик. Атака через обновление M.E.Doc объясняет быстрое распространение Petya, особенно учитывая то, что все это случилось под конец квартала и за день до выходного дня.
3. Атака на сервер обновлений Windows и другие следы APT. Здесь пока мало информации, следами данного вектора является то, что файлы были подписаны 4 легитимными цифровыми сертификатами Microsoft, 3 из которых просрочены, а 1 активен до 2019 года. Расследование продолжается и на него могут уйти месяцы, все зависит от того, насколько компании будут открыты к предоставлению доказательств и системных журналов событий (log files, traffic PCAPs, disk dumps и др).

Кто стоит за атакой?

Прямых доказательств на данный момент нет ввиду сложности атаки. Атака однозначно требовала значительных ресурсов, а значит за ней стоит высокоорганизованная группировка криминальных хакеров, которые могут работать как на себя, так и на конкретное государство. 

Последствия коснулись реальной жизни

Атака привела к приостановке онлайн-сервисов банков, зашифрованным банкоматам и невозможности оплатить проезд в метро карточкой, был зашифрован компьютер, который отображает расписание самолетов в Борисполе, ритейл не мог обслужить клиентов, у кого-то встал склад, терминалы оплаты на заправках, у кого-то легли почтовые сервера и сайты. В Голландии терминал Rotterdam Harbour временно перестал принимать международные грузовые корабли. 

Что делать сейчас? Уж точно не менять антивирус.

1. Не платить выкуп. Если заплатите – не факт, что файлы вернут, а деньги не потратят на новые атаки.
2. Изоляция для минимизация ущерба. Petya распространяется между ПК и серверами по сети. Первый практический совет по остановке распространения — блокировка портов 135 и 445. 
3. Создать локальную «вакцину» на всех системах под управлением Windows, опубликованную Florian Roth. Здесь можно взять готовый скрипт под Windows PowerShell.
4. Восстановить все зашифрованные данные из резервных копий. Возможно через пару недель будут ключи дешифрации, но рассчитывать на это не стоит.

Как защититься в будущем?

А вот здесь простого решения нет. Ни один продукт или производитель в мире не защитит вас от киберугроз такого уровня. И тут дело в зрелости всей индустрии в целом. Большинство мер и средств по киберзащите напоминают змеиное масло и таблетки плацебо. Для понимания — проведу аналогию с полетами на самолетах. У авиации ушло очень много лет для того, чтобы авиаперелеты стали самым безопасным транспортом (с точки зрения расстояния и времени путешествия). Это потому, что сам полет разбит на 9 этапов: от захода на борт и до посадки. На каждом этапе достоверно известно, что может пойти не так. И если возникает внештатная ситуация — есть индикаторы, метрики и неисправность устраняют немедленно.

Для безопасного ведения бизнеса в киберпространстве нам необходим такой же подход: метрики, мониторинг, выявление отклонений, рисков и проактивная защита. Нельзя полагаться на мнение одного человека или конкретный продукт. Сегодня мы живем в эпоху, когда проактивный подход к кибербезопасности будет решающим фактором — будет ли ваш бизнес прибыльным и будет ли он существовать в будущем. Это время, когда руководители отдела информационной безопасности должны работать вместе или даже входить в состав совета директоров компании.

И это время, когда для обеспечения безопасности каждой страны необходима полная поддержка, как на уровне главы государства, так и международного общественности. Необходимы инвестиции в кадры, процессы и технологии. 100 людей не построят центр киберкомандования, если не потратить ни цента на технологии. Но и передовые системы защиты не отобьют атаки в стиле WannaCry, Petya, BlackEnergy и их наследников.

Сегодня в Украине такие процессы только зарождаются. Есть инициативы по отраслевым CERT-ам, есть эксперты с колоссальным опытом расследований и построению систем защиты. Именно тут, в одном из эпицентров кибервойны, необходимо работать вместе.

Автор: Андрей Безверхий, CEO SOC Prime