Nyetya, Petya, albo dlaczego bezpieczeństwo to nie tylko firewall
Ten slogan powtarzamy już od paru lat, a mimo to nadal wydawałoby się oczywiste, proste do przewidzenia i zablokowania ataki dochodzą do skutku. Ukraina jest dzisiaj sparaliżowana, ale atak przenosząc się przez Internet doskonale radzi sobie z przedsiębiorstwami poza Ukrainą – w tym wieloma mniejszymi i większymi instytucjami w Polsce.
Petya, lub jak w zachodnich mediach mówi się o nim ‘Nyetya‘ (od NotPetya, dla podkreślenia kolejnej generacji), to kolejna generacja znanego już od paru lat zestawu narzędzi opracowywanych pierwotnie przez Janus Cybercrime Solutions. Zestaw pozwala dosyć dowolnie generować nowe wariacje na temat ransomware. Kto wczoraj złożył groźne elementy w całość, dołączając do niego te same wektory ataku, których używał WannaCry – nie wiemy, ale dosyć dużo wiemy już o tym jak się roznosi.
Nyetya, w przeciwieństwie do WannaCry, nie skanuje internetu, wykorzystuje zarażone stacje do rozprzestrzeniania się w środku sieci. Najprawdopodobniej wszystko zaczęło się od ataku przez jedną z popularnych na Ukrainie aplikacji księgowych i wysyłane przez nią załączniki. Oprogramowanie rozpowszechniało się w pierwszej fazie przez podmienione pliki na głównym serwerze aplikacji. Potem Petya radzi sobie doskonale wykorzystując te same luki które wykorzystywało WannaCry (łatane przez Microsoft w MS17-010) ale ściągając też i łamiąc hasła w sieci jeśli komputer podłączony jest do domeny. Internet, podobnie jak to było z WannaCry, pełen jest obrazków z działania tego złośliwego oprogramowania.
Kolejny tydzień i kolejny dosyć dobrze radzący sobie malware. Jak sobie radzić? Korzystając ze sprawdzonych architektur a nie produktów punktowych. W naszej ofercie architektura, która pozwala zablokować tą “najnowszą autorską składankę” to AMP, Firepower Threat Defense oraz oczywiście wszystkie elementy infrastrukturalne, korzystające z wiedzy pobranej przez Threat Grid.
Bez rozwiązań ściśle wbudowanych w architekturę nowoczesnego IT – ten lub inny malware na pewno poradzi sobie z skutecznym sparaliżowaniem firmy. Jeśli macie wątpliwości, czy dzisiaj poradzicie sobie z wyzwaniem – nasz krakowski Security Operations Center bardzo chętnie pomoże.
Na bieżąco aktualizowane informacje znajdziecie Państwo, jak zawsze, na blogu zespołu Cisco Talos. Zapraszamy również na webinarium na żądanie, prowadzone przez naszych ekspertów a poświęcone właśnie obronie przed ransomware.
