Lorsque le Wannacry ransomware a déchiré à travers le royaume-UNI et en Europe en Mai, il y avait une certaine logique à l’intensification de l’ampleur des dégâts. Ransomware attaques ont rien de nouveau, mais celui-ci avait une arme secrète, un logiciel sophistiqué exploiter connu comme EternalBlue, publié par l’Ombre des Courtiers en avril et aurait été développé par la NSA. C’était l’état-nation au niveau de l’armement s’est retourné contre mous, des cibles civiles, comme voler une petite ville de la banque avec un Abrams tank. Si vous cherchez des réponses sur la façon dont il s’est répandu si loin, si vite, que vous n’avez pas à chercher bien loin.
Maintenant, un peu plus d’un mois plus tard, une nouvelle souche de ransomware qui a infligé des dommages similaires avec presque rien de la puissance de feu. Une variante de la Petya de la famille de ransomware, le virus a infecté des milliers de systèmes à travers le monde, y compris de grandes multinationales comme Maersk, Rosneft et Merck, mais c’est fait avec beaucoup moins de matières premières. Petya est toujours à l’aide de EternalBlue, mais, aujourd’hui, plusieurs des organisations cibles sont protégés, et que l’exploitation est beaucoup moins cruciale pour le ransomware de propagation. Au lieu de cela, Petya exploite plus de vulnérabilités fondamentales dans la façon dont nous gérons les réseaux et, surtout, de fournir des correctifs. Ils ne sont pas aussi accrocheur comme un ANE exploiter, mais ils sont de plus en plus puissants, et pourrait laisser les organisations dans une situation beaucoup plus difficile qu’ils essaient de récupérer à partir d’aujourd’hui les attaques.
Des écarts SUPER rapide vu org 5K systèmes de frapper en moins de 10 minutes.
Redémarre l’ordinateur avec rançon message (MBR).
— Dave Kennedy (ReL1K) (@HackingDave) Le 27 Juin 2017
Où WannaCry axée sur les systèmes patché, Petya semble avoir frappé plus durement parmi les grands réseaux d’entreprise, un modèle qui est partiellement expliqué par la façon dont la propagation du virus. Une fois un seul ordinateur dans un réseau a été infecté, Petya effet de levier Windows des outils de réseautage comme Windows Management Instrumentation (WMI) et PsExec pour infecter d’autres ordinateurs sur le même réseau.
Les deux outils sont généralement utilisés pour la distance d’un accès admin, mais le chercheur en sécurité Lesley Carhart dit qu’ils sont souvent utilisés par les pirates comme un moyen pour propager des programmes malveillants au sein d’un compromis du réseau. “WMI est un super-efficace le mouvement latéral de la méthode pour les pirates. Il est fréquemment admis et intégré, rarement connecté ou bloqué par des outils de sécurité,” dit Carhart. “Psexec est un peu plus d’amorti et de plus en plus surveillés, mais toujours très efficace.”