✨Petya (malware)

Petya (malware)

Petya là một nhóm phần mềm ác ý ransomware được phát hiện lần đầu tiên vào năm 2016. Phần mềm độc hại này nhắm vào hệ điều hành Microsoft Windows, lây nhiễm vào master boot record để thực hiện một payload mã hóa bảng tập tin NTFS, rồi đòi hỏi một khoản tiền chuộc bằng Bitcoin để được trả lại quyền truy cập vào hệ thống.

Các biến thể Petya đầu tiên được nhận diện vào tháng 3 năm 2016, lan truyền thông qua e-mail có đính kèm tập tin có chứa phần mềm độc hại. Vào tháng 6 năm 2017, một biến thể mới của Petya được sử dụng cho một cuộc tấn công mạng toàn cầu lớn, lợi dụng lỗ hổng EternalBlue mà trước đây được sử dụng bởi WannaCry cách đây chưa tới 2 tháng. Cuộc tấn công lần này mục tiêu chính là Ukraina. Dường như việc tống tiền chỉ là cái cớ, mục đích chính là gây ra hỗn loạn, làm tê liệt các hãng xưởng. Kaspersky Lab gọi biến thể này là NotPetya để làm rõ sự khác biệt với các biến thể 2016. Ngoài ra, mặc dù nó có nội dung là một mã tống tiền, nó không thể dựt ngược lại những biến đổi nó gây ra.

Lịch sử

Petya được phát hiện lần đầu tiên vào tháng 3 năm 2016; Một biến thể của Petya phát hiện tháng 5 năm 2016 chứa đựng một payload thứ 2 được sử dụng nếu phần mềm độc hại không thể đạt được quyền truy cập admin.

Cuộc tấn công máy tính 2017

Vào ngày 27 Tháng 6 năm 2017, một cuộc tấn công mạng lớn toàn cầu bắt đầu (các công ty Ukraina cho biết đầu tiên là họ bị tấn công) Chuyên gia Christiaan Beek của McAfee cho biết, biến thể này được thiết kế để phát tán một cách nhanh chóng, và nó nhắm vào các "công ty năng lượng, mạng lưới điện, trạm xe buýt, trạm xăng, sân bay, và các ngân hàng" ESET ước lượng vào ngày hôm sau là 80% của tất cả các máy bị nhiễm là ở Ukraina, Đức đứng thứ 2 với khoảng 9%. Cùng ngày, bí thư báo chí cho tổng thống Nga Vladimir Putin, Dmitry Peskov, cho biết cuộc tấn công của phần mềm độc hại không gây hư hại đáng kể ở Nga. Hỗ trợ cho lý thuyết này là ngày 28 tháng 6 ngày lễ Hiến pháp Công dân Ukraina. Vào ngày 28 tháng 6 năm 2017, càng ngày càng có nhiều chuyên gia bảo mật cho rằng có các tập tin ghi nhận (log file) cho thấy MEDoc là nguồn lây nhiễm . Trong quá trình này, một mô phỏng của trình chkdsk (Check Disk), máy quét hệ thống tập tin của Windows, được hiển thị trên màn hình, cho thấy rằng ổ cứng đang được sửa chữa.

Các nhà nghiên cứu bảo mật của McAfee đã phân tích sự lây lan của các Trojan, mà hoạt động rất tinh vi. Khi lọt vào hệ thống máy của nạn nhân, phần mềm độc hại quét ngay lập tức mạng xung quanh máy chủ. Không giống như WannaCry nó hoạt động rất có phương pháp. Đầu tiên NotPetya, cố gắng tìm một máy chủ tên miền (Domain Server). Từ máy chủ đó các mã độc hại sau đó thu thập một danh sách các máy tính trên mạng để nhiễm vào. Điều này tạo ra lưu lượng giao thông ít hơn nhiều trên mạng so với lối phát các gói dữ liệu bừa bãi của WannaCry hoặc Conficker.

Trước hết như WannaCry nó thử qua lỗ hổng EternalBlue Microsoft, tuy nhiên, đã có hotfix cho lỗ hổng này cả cho phiên bản Windows XP. Khả năng khai thác hiện nay lỗ hổng này, là khá nhỏ. Do đó NotPetya có các cuộc tấn công khác. Trong số những hoạt động khác, Trojan cố gắng sao chép chính nó vào thư mục ADMIN $ ẩn của các máy tính khác và sau đó khởi động bởi tập tin thực thị PsExec - tuy nhiên nó cần quyền quản trị trong miền. Nếu không lấy được, NotPetya vẫn có khả năng sử dụng mệnh lệnh Windows Management Instrumentation Command-line (WMIC) để chạy trên máy tính khác. Để lấy được quyền cần thiết, NotPetya mang theo một công cụ lấy mật mã, giống như công cụ Mimikatz và LSADump.

Bên cạnh đó, các nhà nghiên cứu bảo mật phát hiện ra, những thiệt hại do NotPetya gây ra không thể sửa chữa. Matt Suiche nhận thấy, NotPetya ghi đè lên một phần của MBR mà không thể đảo ngược được - vì vậy không có cách nào để khôi phục lại tình trạng ban đầu. Kaspersky lưu ý trong phân tích của ông, NotPetya thậm chí không quan tâm đến việc tạo ra một ID thực sự cho các máy tính bị nhiễm. ID này phải được nạn nhân cho biết khi trả tiền chuộc. Tuy nhiên, vì nó không chứa thông tin về dữ liệu được mã hóa, các kẻ tống tiền cũng không thể định rõ là nó thuộc chìa khóa nào. Cụ thể, điều này có nghĩa rằng ngay cả khi họ muốn, các tác giả NotPetya cũng không thể giúp đỡ các nạn nhân trong việc khôi phục các dữ liệu bị ghi đè hoặc bị mã hóa.

Hậu quả

Trong cuộc tấn công bắt đầu vào ngày 27 tháng 6 năm 2017, hệ thống giám sát bức xạ tại Nhà máy điện hạt nhân Chernobyl của Ukraina đã ngừng hoạt động. Một số bộ của Ukraina, ngân hàng và hệ thống tàu điện ngầm cũng bị ảnh hưởng. công ty dược phẩm Mỹ Merck & Co., công ty dầu khí Nga Rosneft, công ty luật đa quốc gia DLA Piper, công ty xây dựng Pháp Saint-Gobain và nhà bán lẻ và các chi nhánh con ở Estonia, công ty lương thực Tây Ban Nha Mondelez, và nhà điều hành bệnh viện của Mỹ là Heritage Valley System Health System. Nhà máy Chocolate của Cadbury ở Hobart, Tasmania, là công ty đầu tiên ở Úc bị ảnh hưởng bởi Petya . Vào ngày 28 tháng 6 năm 2017, JNPT, cảng container lớn nhất của Ấn Độ cũng bị ảnh hưởng và tất cả các hoạt động đã bị ngưng lại.

Phản ứng

Jens Stoltenberg, tổng thư ký của NATO, thúc giục Liên minh tăng cường nỗ lực bảo vệ mạng, nói rằng, một cuộc tấn công mạng có thể đưa tới nguyên tắc bảo vệ tập thể của điều 5.

👁️ 1 | 🔗 | 💖 | ✨ | 🌍 | ⌚

💫 Petya (malware)

**Petya** là một nhóm phần mềm ác ý ransomware được phát hiện lần đầu tiên vào năm 2016. Phần mềm độc hại này nhắm vào hệ điều hành Microsoft Windows, lây nhiễm vào master boot

💫 Nhà máy điện hạt nhân Chernobyl

thumb|Vị trí Chernobyl trong Ukraina **Nhà máy điện hạt nhân Chernobyl** (, ), hay còn được biết với cái tên Xô Viết V. I. Lenin (Чернобыльская АЭС им. В.И.Ленина; Chernobyl'skaya AES im. V.I.Lenina) là một