Når Wannacry ransomware tore gjennom hele STORBRITANNIA og Europa i Mai, var det en viss logikk til økt omfang av skade. Ransomware angrep var ikke noe nytt, men dette hadde et hemmelig våpen, en sofistikert programvare utnytte kjent som EternalBlue, utgitt av Skyggen Meglere i April, og antas å ha blitt utviklet av NSA. Det var nation-state nivå våpen slått mot myke, sivile mål, som å rane en liten by bank med en Abrams stridsvogn. Hvis du var ute etter svar på hvordan det sprer seg så langt så fort, du trengte ikke å se langt.
Nå, en drøy måned senere, en ny stamme av ransomware har påført lignende skader med nesten ingen som ildkraft. En variant av Petya familie av ransomware viruset har infisert tusenvis av systemer over hele verden, inkludert massive multi-nasjonale selskaper som Maersk, Rosneft og Merck, men det er gjort slik med langt mindre råstoff. Petya er fortsatt bruke EternalBlue, men nå er mange av målet organisasjoner er beskyttet, og at utnyttelsen er langt mindre viktig å ransomware er spredt. I stedet, Petya utnytter mer grunnleggende svakheter i måten vi kjører nettverk og mer avgjørende, levere lapper. De er ikke så iøynefallende som en NSA utnytte, men de er mer kraftfull, og kunne forlate organisasjoner i en mye mer vanskelig posisjon som de prøver å komme seg fra dagens angrep.
Sprer SUPER rask – så org 5K systemer treffe på under 10 minutter.
Datamaskinen starter på nytt med løsepenger melding (MBR).
— Dave Kennedy (ReL1K) (@HackingDave) 27. Juni 2017
Hvor WannaCry fokusert på dårlig oppdatert systemer, Petya ser ut til å ha rammet hardest blant store bedriftsnettverk, et mønster som er delvis forklares med hvordan viruset spres. Når en enkelt datamaskin på et nettverk som var infisert, Petya lånefinansiert Windows-nettverk verktøy som Windows Management Instrumentation (WMI) og PsExec å infisere andre datamaskiner i det samme nettverket.
Begge verktøyene er normalt brukt for ekstern admin-tilgang, men sikkerhet forsker Lesley Carhart sier de er ofte brukt av angripere som en måte å spre skadelig programvare innenfor en kompromittert nettverk. “WMI er en super-effektiv sideveis bevegelse metode for hackere. Det er ofte lov og innebygd, så sjelden logget eller blokkert av sikkerhet verktøy, sier Carhart. “Psexec er litt mer svekket og mer overvåket, men fortsatt veldig effektiv.”