Når Wannacry ransomware tore gennem det forenede KONGERIGE og Europa i Maj, var der en vis logik til øget omfanget af skader. Ransomware angreb var ikke noget nyt, men denne ene havde et hemmeligt våben, en sofistikeret software udnytte kendt som EternalBlue, udgivet af Skyggen Mæglere i April og menes at have været udviklet af NSA. Det var nation-state niveau våben vendt mod bløde civile mål, som berøver en lille by bank med en Abrams tank. Hvis du var på udkig efter svar på, hvordan det spredes, så langt så hurtigt, at du ikke er nødt til at se langt.
Nu, lidt over en måned senere, en ny stamme af ransomware har påført lignende skader med næsten ingen af ildkraft. En variant af den Petya familie af ransomware virus har inficeret tusindvis af systemer over hele verden, herunder massive multi-nationale selskaber som Mærsk, Rosneft og Merck, men det er gjort med langt færre råvarer. Petya er stadig ved hjælp af EternalBlue, men ved nu mange af de mål organisationer er beskyttet, og at udnytte langt mindre afgørende, at ransomware spredning. I stedet, Petya udnytter mere grundlæggende svagheder i den måde, vi driver netværk og, mere afgørende, levere patches. De er ikke så iøjnefaldende som en NSA udnytte, men de er mere magtfulde, og kunne forlade organisationer i en langt mere vanskelig situation, som de forsøger at gendanne fra dagens angreb.
Spreder SUPER hurtigt – så org 5K-systemer ramt på under 10 minutter.
Genstarter computeren med løsepenge besked (MBR).
— Dave Kennedy (ReL1K) (@HackingDave) 27 Juni 2017
Hvor WannaCry fokuseret på dårligt lappet systemer, Petya synes at have ramt hårdest blandt store erhvervskunder netværk, et mønster, der er delvist forklares ved, hvordan virussen spreder sig. Når en enkelt computer på et netværk, der var inficeret, Petya gearede Windows networking værktøjer som WMI (Windows Management Instrumentation) og PsExec til at inficere andre computere på det samme netværk.
Begge værktøjer er normalt bruges til remote admin adgang, men sikkerhedsekspert Lesley Carhart siger, at de er ofte brugt af hackere som en måde at sprede malware i en kompromitteret netværk. “WMI er en super-effektiv lateral bevægelse metode til hackere. Det er ofte tilladt, og der er indbygget i, det er så sjældent, som er registreret eller blokeret af security-værktøjer,” siger Carhart. “Psexec er en smule mere afskrevet og mere overvåget, men stadig meget effektivt.”