När Wannacry ransomware slet till STORBRITANNIEN och Europa i Maj, var det en viss logik i att den ökade omfattningen av skador. Ransomware angrepp var inget nytt, men detta hade ett hemligt vapen, en avancerad programvara för att utnyttja kända som EternalBlue, utgiven av Skuggan Mäklare i April och tros ha utvecklats av NSA. Det var nationell nivå vapen vände sig mot mjuk, civila mål, som att råna en små-stad bank med en Abrams-stridsvagnar. Om du söker svar på hur det spridit sig så långt så snabbt, du inte leta länge.
Nu, drygt en månad senare, en ny stam av ransomware har tillfogat en liknande skada med nästan inget av det eldkraft. En variant av Petya familj av ransomware virus har smittat tusentals system i världen, inklusive massiva multi-nationella företag som Maersk, Rosneft och Merck, men det är gjort så med betydligt mindre råvara. Petya är fortfarande med EternalBlue, men nu har många av målet organisationer är skyddade, och att utnyttja är långt mindre betydelse för ransomware spridning. Istället Petya utnyttjar mer grundläggande sårbarheter i det sätt som vi driver nätverk och, ännu viktigare, leverera fläckar. De är inte lika iögonfallande som en NSA utnyttja, men de är mer kraftfull, och kunde lämna organisationer i en mycket svårare situation när de försöker återhämta sig från dagens attacker.
Sprider SUPER snabbt såg org 5K system träff på under 10 minuter.
Startar om datorn med lösen meddelande (MBR).
— Dave Kennedy (ReL1K) (@HackingDave) 27 Juni 2017
Där WannaCry fokuserade på dåligt lappat system, Petya verkar ha drabbats hårdast bland stora företagsnätverk, ett mönster som delvis förklaras av hur viruset sprids. När en dator på ett nätverk var infekterad, Petya belånade Windows-nätverk verktyg som Windows Management Instrumentation (WMI) och PsExec för att infektera andra datorer på samma nätverk.
Båda verktygen används normalt för remote admin-access, men säkerhetsforskare Lesley Carhart säger att de är ofta används av angripare som ett sätt att sprida skadlig kod inom en nedsatt nätverk. “WMI är en super-effektiv rörelse i sidled metod för hackare. Det är tillåtet och inbyggda, så sällan inloggad eller blockeras av säkerhet verktyg, säger Carhart. “Psexec är lite mer skrivs och mer övervakade, men fortfarande mycket effektiv.”