Τη περασμένη Πέμπτη μια ιδιαίτερα σημαντική κυβερνοεπίθεση προκάλεσε το πανικό σε κυβερνήσεις αλλά και επιχειρήσεις ανά το κόσμο.
Ο λόγος αυτής της αναστάτωης δεν ήταν άλλος από τη νέα έκδοση ενός κακόβουλου λογισμικού που φέρει την ονομασία Petya, to οποίο ζητούσε λύτρα $300 δολλαρίων για να αποκρυπτογραφήσει τα αρχεία – πράγμα το οποίο δεν έκανε ποτέ.
Σύμφωνα με νέες αναλύσεις τις οποίες πραγματοποίησαν διάφορα εργαστήρια και ιδιαίτερα αυτό του Matt Suiche, Comae Technologies, το οποίο παρακολουθούσε ιδιαίτερα στενά το ξέσπασμα του malware, έκανε λόγο όχι για ένα ransomware αλλά για ένα “Wiper Malware“.
Το συγκεκριμένο είδος κακόβουλου λογισμικού δεν έχει ως σκοπό την οικονομική ικανοποίηση των δημιουργών του αλλά απλά να προκαλέσει την καταστροφή στα υπολογιστικά συστήματα τα οποία θα μολύνει.
Ο ίδιος ο Suiche σημειώνει μεταξύ άλλων στη δήλωσή του ότι “το περιτύλιγμα ransomware το οποίο έφερε το Petya είχε ως σκοπό να αποκρύψει την ταυτότητα των δημιουργών του, στρέφοντας τη προσοχή των δημοσιογράφων και των αναλυτών σε κάποια ομάδα χάκερ και όχι στα κυβερνητικά κλιμάκια μιας χώρας.“
Όσον αφορά τις τεχνικές λεπτομέρειες του Petya, αυτές το καθιστούν ιδιαίτερα ευφυές και πολύπλοκο. Σε αντίθεση με τα παραδοσιακά ransomware το Petya δεν κρυπτογραφεί τα αρχεία τα οποία βρίσκονται στο δίσκο ένα προς ένα αλλά αντ’ αυτού στοχεύει στο master file table του δίσκου, κρυπτογραφόντας αυτό και καθιστώντας το master boot record άχρηστο, συνεπώς ανίκανο το χρήστη να προσπελάσει τα αρχεία του.
Κατόπιν, για να ειδοποιήσει το χρήστη σχετικά με το malware, αντικαθιστά το MBR με μια τροποποιημένη έκδοση.
Έτσι, ο υπολογιστής δεν μπορεί να ξεκινήσει το λειτουργικό σύστημα μη δίνοντας την ευκαιρία για αποκρυπτογράφηση των αρχείων ακόμα και αν το θύμα πληρώσει για να ανακτήσει τα αρχεία του.
Βέβαια, όλα αυτα αφορούν την νέα έκδοση του Petya και όχι εκείνη που είχε πρωτοεμφανιστεί μια εβδομάδα νωρίτερα η οποία δεν αλλοτρίωνε το MBR του δίσκου.
Διάφοροι αναλυτές ανά το κόσμο θεωρούν πως το malware διαδόθηκε όταν το σύστημα updates μιας λογιστικής εφαρμογής στην Ουκρανία, παραβιάστηκε και ο κώδικας ενσωματώθηκε στα updates, γεγονός το οποίο φαίνεται να επιβεβαιώνει και η Microsoft.
Η εταιρεία που βρίσκεται πίσω από την ανάπτυξη της λογιστικής εφαρμογής δεν έχει κάνει ακόμη κάποια δήλωση.
Σήμερα, ο δημιουργός του αρχικού malware Petya, της έκδοσης δηλαδή που ήταν διατεθιμένη να αποκρυπτογραφήσει τα αρχεία των χρηστών εάν αυτοί πλήρωναν το ransom, έδωσε στοιχεία σχετικά με το δημιουργημά του έτσι ώστε να βοηθήσει τα θύματα της νέας και καταστροφικής έκδοσης του Petya.
Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.
