جزئیات شگفت‌انگیز بیشتری در مورد حمله عظیم سایبری Petya

این‌ها تنها چند مورد از جزئیات جدیدی هستند که درباره باج‌افزار پتیا نمایان شده‌اند، باج‌افزاری که با فلج کردن سیستم‌های اجرا شده توسط فرودگاه کیف (پایتخت اوکراین)، شرکت انرژی روسی Rosneft، غول کشتی رانی دانمارکی Maersk، شرکت بازاریابی بین المللی WPP و حتی سازنده شکلات Cadbury، حداقل 12500 دستگاه را در سراسر جهان تحت تأثیر قرار داده است. برای مثال، سایت کشتی‌رانی Splash 24/7 گزارش کرده که برای ادامه خرید بلیط از مشتریان کشتی، شرکت مرسک مجبور شد به سفارشات به صورت دستی رسیدگی کند.

محققان در آزمایشگاه کسپرسکی Comae تکنولوژی، دیروز طی یک کنفرانس اینترنتی گفتند: "اگرچه پتیا اولین بار به شکل یک باج‌افزار ظاهر شد که فایل‌های کامپیوتر قربانی را رمزگذاری کرده و برای رمزگشایی آن تقاضای پرداخت پول می‌کند، اما به نظر می‌رسد این بدافزار بیشتر قصد ایجاد هرج‌ومرج دارد." با سازنده باج‌افزار اصلی پتیا که بدافزار جدید را notpetya نامگذاری کرده، محققان به دنبال این هستند که اشخاص، سازمان‌ها، یا دولت‌هایی که ممکن است مسئول حملات این هفته هستند را شناسایی کنند. این بدافزار همچنین Nyetya، Pnyetya و PetrWrap هم نامیده می‌شود.

یک پاک‌کننده، نه باج‌افزار

آنتون ایوانف و اورکان مامدف، محققان آزمایشگاه کسپرسکی روز چهارشنبه در وبلاگ SecureList کمپانی نوشتند: "بعد از آنالیز روش معمول رمزگذاری استفاده شده بدافزار در حملات Petya/ExPetr، ما تصور کردیم که تهدیدکننده نمی‌تواند دیسک قربانیان را رمزگشایی کند، حتی اگر پرداختی انجام شود. موضوعی که این نظریه را حمایت می‌کند این است که این کمپین بدافزار به عنوان یک حمله باج‌افزاری برای سود مالی طراحی نشده است. در عوض، به نظر می‌رسد که به عنوان یک پاک‌کن طراحی شده که تظاهر می‌کند باج‌افزار است."

مت سویش، بنیانگذار کوما تکنولوژی هم به همین نتیجه رسید و در گزارشی در Medium Wednesday اشاره کرد که Petya.2017 یک پاک‌کن است، نه یک باج‌افزار.
سویش با اشاره به یک بدافزار پاک‌کننده که به ده‌ها هزار دستگاه شرکت Aramco در عربستان‌سعودی را در سال 2012 آسیب رسانده بود، گفت: "ما معتقدیم این باج‌افزار در واقع یک دام برای کنترل داستان‌های رسانه‌ای، به ویژه بعد از وقایع واناکرای برای جلب توجه به سمت چند گروه هکر مرموز به جای یک مهاجم ملی بود، مانند مواردی که در گذشته دیدیم که شامل پاک‌کننده‌هایی مثل Shamoon بود. مهاجم باج‌افزاری را گرفت که آن را ریپکیج کرد. سویش با اشاره به اینکه پتیا ممکن است تظاهر کند که یک باج‌افزار است، در حالی که در حقیقت یک حمله حکومتی می‌باشد، اضافه کرد: "علاوه بر داشتن شمار زیادی از قربانیان پتیا، اوکراین نیز اخیراً با یک حمله به شبکه برق و یک بمب‌گذاری خودرو مورد تهدید قرار گرفت، که یک افسر اطلاعاتی ارتش اوکراین کشته شد."

به نظر می‌رسد یکی از پیشگامان برای گسترش آلودگی پتیا MeDoc باشد، نرم افزار حسابداری که توسط شرکت‌های مالیاتی در اوکراین استفاده می‌شود. برخی از شرکت‌های بین المللی که در اوکراین فعالیت می‌کنند نیز از نرم افزار MeDoc استفاده می‌کنند.

یک محقق امنیتی با نام آنلاین grugq روز سه‌شنبه در یک پست در مدیوم نوشت: "به طور جالب‌توجهی، به نظر می‌رسد که شرکت کشتی‌رانی مرسک هم از MeDoc استفاده می‌کرده. در حقیقت، هر کسی که تجارت انجام می‌دهد و نیاز به پرداخت مالیات در اوکراین دارد، باید از MeDoc (یکی از دو بسته نرم‌افزار حسابداری معتبر) استفاده کند. بنابراین حمله‌ای که از MeDoc آغاز شد، نه تنها دولت اوکراین بلکه بسیاری از سرمایه گذاران خارجی و شرکت‌ها را تحت تأثیر قرار خواهد داد."

امکان جلوگیری از حمله وجود داشت

MalwareTech، محقق امنیتی برتانیایی که در جریان حملهٔ WannaCry در ماه گذشته با فعال کردن کلید built-in kill باج‌افزار به متوقف کردن آن کمک کرد، این هفته در وبلاگ خود گفت: "در حال حاضر شانس کمی برای بازگشت فایل‌ها با پرداختن باج وجود دارد." با این‌حال، آمیت سرپر، یک محقق در شرکت امنیت سایبری Cybereason، یک روش واکسیناسیون را شناسایی کرد که می‌تواند آلودگی پتیا را قبل از شروع به رمزگذاری فایل‌ها از بین ببرد.

کمپانی امنیت سایبری Kryptos Logic هم روز چهارشنبه در یک پست وبلاگی اضافه کرد: "چند چیز جالب برای گفتن درباره باج‌افزار پتیا فعلی وجود دارد. در واقع، یک موضوع روشن است، هیچ کلید کشتاری (kill-switch) وجود ندارد."

مانند واناکرای، پتیا هم از طریق EternalBlue عمل می‌کند، یک آسیب پذیری مایکروسافت که قبل از به سرقت رفتن سال‌ها توسط آژانس امنیت ملی مورد استفاده بوده و سپس توسط گروه هک Shadow Brokers در ماه آپریل آشکار شده است. بسیاری از کارشناسان امنیتی خاطر نشان کرده‌اند که می‌توان با بروزرسانی آپدیت‌های سیستم از چنین حملاتی جلوگیری کرد.

کمپانی امنیتی Check Point روز چهارشنبه در پست وبلاگ خود گفت: "امکان جلوگیری از این حمله و حملاتی که در آینده خواهیم دید وجود دارد. با بیش از 93 درصد از شرکت‌هایی که قادر به استفاده از فن‌آوری‌های موجود برای محافظت در مقابل این نوع حملات نیستند، جای تعجب ندارد که این حملات به سرعت در حال گسترش هستند. به همین ترتیب، تجارت‌ها باید راه‌حل‌هایی را به کار گیرند تا از رخ دادن این نوع حملات جلوگیری کنند و همچنین باید وصله‌های امنیتی خود را بروز نگه دارند.

با کانال تلگرام فیسیت همراه باشید