Ismét zsarolóvírus tarolta le a világot

Ismét zsarolóvírus tarolta le a világot

2017. június 28. 18:49, Szerda
Globális méreteket kezd ölteni az Ukrajnában kitört zsarolóvírus-fertőzés, Nyugat-Európára, sőt Indiára is átterjedt. Oroszország lehet a kiindulópont.

A svájci számítástechnológiai hatóság (MELANI) szerint a Petya néven ismert zsarolóvírus főként Ukrajnában, Oroszországban, Nagy-Britanniában és Indiában okoz fennakadásokat. A MELANI közölte, hogy az elektronikus kártevő a Windows indulása előtt egy hamis lemezellenőrzést hajt végre, eközben titkosítja a merevlemez tartalmát. Ezután módosítja a számítógép MBR (Master Boot Record) bejegyzését, így a számítógép többé nem tudja elindítani a Windows-t. Az új boot-kód egy tájékoztató üzenetet mutat a felhasználónak a fertőzésről és arról, hogyan fizetheti ki a váltságdíjat. "Ha látod ezt az üzenetet, a fájljaid többé nem elérhetőek, mivel titkosították azokat. Talán éppen a fájljaid helyreállításán gondolkodsz, de ne is vesztegesd az időd. Senki sem tudja helyreállítani azokat a kódolási szolgáltatásunk nélkül." - írja a vírus.

Ha már bejutott egy hálózatba, akkor a Windows operációs rendszerek egyik kommunikációs protokolljának a sebezhetőségét (EternalBlue) használja további gépek megfertőzésére. Az EternalBlue a védtelen Windows SMB (Server Message Block) szolgáltatást támadja, ami fájlok és nyomtatók megosztására való egy helyi hálózaton belül. A Microsoft márciusban már kijavította ezt, de a támadási pont makacsnak bizonyult, ezt bizonyítja a múlt hónapban elterjedt WannaCry. Az új Petya változat ezen felül a lokális hálózaton belül képes terjedni a Microsoft PsExec eszközzel, a fertőzött felhasználó jogosultságainak, illetve a számítógépen eltárolt egyéb jelszavak felhasználásával.

Már kedd délelőtt voltak olyan jelzések, hogy kiestek a dán Maersk hajózás konszern bizonyos számítógépes rendszerei. A társaság végül a Twitteren megerősítette, hogy nem az IT-rendszerek aprócska hibájáról van szó, hanem egy kibertámadásról, amely összesen 17 szállítmányozási konténer terminálját érintette. De nem csupán a hajózási konszern volt célpont, hanem sok más társaság is, utóbbiak jelentős része ukrán.


Az első információk alapján a támadók a tavaly óta ismert Petya zsarolóvírus egyik változatát használták az esetek jelentős részében. Az ukrajnai célpontok ellen irányuló támadást közép-európai idő szerint 13 órakor észlelték. Az Ukrán Központi Bank egy ismeretlen vírus támadására hívta fel a figyelmet, de a fertőzés érintette a kormány internetes portáljait is. Az állami takarékszövetkezet ügyfeleit más bankok ATM-jeihez irányították és közölték, hogy a bankfiókokban csak tanácsadás történik. A támadássorozat legalább négy további pénzintézet, három energiaügyi vállalat, az állami posta és a Boriszpil nemzetközi repülőtér IT-rendszereit is érintette, köztük a magyar OTP ottani leánybankját is.

A 112.ua ukrán hírportál szerint a vírus gyorsan terjed, már mintegy 30 bank rendszerét fertőzte meg Ukrajnában, és a Boriszpil nemzetközi repülőtér rendszerét is megtámadta. A repülőtér sajtószolgálata közölte, hogy a rendkívüli helyzet miatt egyes járatok fel- és leszállása késhet. Az UNIAN ukrán hírügynökség szerint a Petya néven ismert zsarolóvírus támadta meg az ukrajnai rendszereket.

A pénzintézeteken kívül az elsők között érte hackertámadás a Kijevenergo energiaszolgáltató, az Ukrtelekom telefonos és internetszolgáltató és a Nova Posta csomagküldő szolgáltató cégek internetes oldalait. A Kijevenergo vállalatnál a támadás miatt a nap végéig leállították a számítógépeket. Az internetes hálózatok vírusfertőzésének hírét az ukrán rendőrség kiberbűnözés elleni osztályának vezetője is megerősítette. Szavai szerint a kiberrendőrség munkatársai már kiérkeztek az állami Oscsadbankhoz és az Ukrtelekomhoz, hogy a helyszínen segítsenek a támadás elhárításában és a rendszerek működőképessé tételében.


Később ukrán sajtóorgánumok közölték, hogy a támadás átterjedt a leállított csernobili atomerőmű számítógépes hálózatára (a visszamaradt sugárzást ellenőrzik), ami miatt a létesítmény honlapja nem elérhető. Az ukrán belügyminisztériumnál óvintézkedésként leállították a honlap elérését. Olekszandr Turcsinov, az államfő alá rendelt, befolyásos ukrán nemzetbiztonsági és védelmi tanács vezetője kijelentette, hogy a vírus előzetes vizsgálatai alapján Oroszország áll a kibertámadás mögött. Elmondta, hogy azok az állami intézmények, amelyek megfogadták a kiberbiztonsággal foglalkozó állami koordinációs központ ajánlását, és biztonságos hozzáférési csomópontot telepítettek a rendszerükbe, ellenálltak a vírusfertőzésnek.

A Rosneft orosz olajipari óriáscég szintén masszív hackertámadásokról számolt be a Twitteren. Az akció ugyanakkor az olajkitermelést nem érintette, mert a számítógépeket egy tartalékrendszerre állították át. A vállalat közleménye szerint a támadásnak súlyos következményei lehetnek, de Mihail Leontyev szóvivő kijelentette, hogy a kitermelés és a finomítás sem a Rosznyeftynél, sem a leányvállalatainál nem állt le. A Rosznyefty a rendvédelmi szervekhez fordult az ügyben. A Rosznyefty és a tulajdonában lévő Basnyefty olajtársaság honlapja nem elérhető.


A TASZSZ orosz hírügynökség a kiberbűnözés elhárítására szakosodott nemzetközi Group-IB cégre hivatkozva jelentette, hogy a szervereket a Petya zsarolóvírus támadta meg, amely elődjéhez, a WannaCry-hoz hasonlóan a helyi hálózatokban terjeszkedik. Oroszországban a Mars, a Nivea, a TESA és a Mondelez International cégek is hasonló behatolást jelentett. A vírus blokkolja a komputereket, és a fájlok felszabadításáért 300 dollárt követel.

A Kaspersky Lab orosz kiberbiztonsági vállalat jelentése szerint már szerte Európából érkeznek jelentések számítógépes hálózatok leállásáról több iparágban is, beleértve az energiaipart, a közlekedési-szállítási és pénzügyi rendszereket. A jelentések alapján arra lehet következtetni, hogy a mostani zsarolóvírus-fertőzést ugyanazzal az EternalBlue kiberfegyverrel terjesztik, ami az amerikai Nemzetbiztonsági Ügynökség, az NSA eszköztárából szivárgott ki, és a WannaCry elterjedéséért is felelős volt. A WannaCry zsarolóvírus május elején rövid idő alatt több mint 150 országban fertőzött meg számítógépeket. A mostani fertőzés hullám az első jelentések szerint a már ismert Petya zsarolóvírust terjeszti, de egyes beszámolók alapján a zsarolóvírusok egy újabb, még nem azonosított változatról is szó lehet.


A WPP brit reklámóriás és a francia Saint-Gobain építőanyag gyártó vállalat is hackertámadásokat jelentett. Német cégeket is érintett a rohamosan terjedő kibertámadási hullám - közölte a német szövetségi informatikai biztonsági hivatal (BSI), arra sürgetve az érintett vállalatokat, hogy jelentsék ezeket az eseteket és semmiképpen se fizessenek váltságdíjat. A BSI nem tette közzé a szóban forgó vállalatok listáját, viszont a Deutsche Post logisztikai cég korábban bejelentette, hogy rendszereit Ukrajnában támadás érte. Arne Schoenbohm, a BSI elnöke elmondta: az előzetes információk a Petya nevű zsarolóvírusra utalnak, amely a Windows operációs rendszerek ugyanazon biztonsági réseit használja ki, mint korábban a WannaCry. A Microsoft által kiadott javítások sok esetben megelőzhették volna a számítógépes rendszerek fertőzését, dacára annak, hogy a Petya ezeket is megtámadta.

A romániai Bitdefender kiberbiztonsági cég közölte, hogy jelenleg világszerte egy masszív zsarolóvírusos támadás van folyamatban. A vállalat szerint a vírus szinte mindenben azonos a GoldenEye kártevő programmal, amely az elmúlt hónapokban tűnt fel az interneten. Romániában intézmények és vállalatok számítógépes hálózatait támadta meg a GoldenEye-nak nevezett kártevő.

Kapcsolódó linkek

Listázás a fórumban