Kybernetický útok naplno vypukl v úterý, kdy napadl počítače po celém světě včetně firem, jako jsou ropná společnost Rosněfť, dánský rejdař Maersk či britská reklamní společnost WPP, terčem byla i Česká republika.
Globální kyberútok: hackeři napadli banky a firmy i v Česku. Zasažen je i Černobyl |
Lidé, jejichž počítačová data vir zašifroval, jsou nyní podle portálu The Verge v pasti. Může za to totiž nestandardní přístup hackerů k platbám výkupného. Různé typy ransomwaru běžně využívají pro každého napadeného jedinečné platební spojení, což usnadňuje identifikaci a následné odblokování dat. V případě nového viru se hackeři spolehli pouze na jediný platební účet s tím, že postižení se po převodu výkupného musí e-mailem obrátit na adresu wowsmith123456@posteo.net s potvrzením platby, aby následně mohli získat klíče k dešifrování dat.
Poskytoval e-mailu Posteo ale zmíněnou poštovní schránku zablokoval. „Nebudeme tolerovat žádné zneužívání naší platformy,“ uvedla společnost v prohlášení. „Okamžité zablokování zneužitých e-mailových účtů je v takovýchto případech nezbytným opatřením poskytovatelů,“ dodal Posteo.
Napadení lidé sice nadále mohou výkupné platit, ale kontaktovat hackery již nedokážou. Další převody proto nemají smysl.
Prozatím podle The Verge není známo, zda se některému z postižených uživatelů po aktuálním útoku podařilo ještě před zablokováním poštovní schránky hackerů procesem dešifrování dat úspěšně projít. Zaznamenáno dosud bylo zhruba dvacet plateb výkupného. Útočníci žádají 300 dolarů (zhruba 7000 korun) v digitální měně bitcoin.
Rychle se šířit a škodit
Zatímco společnosti na celém světě se potýkají s následky útoku vyděračského viru, kybernetičtí experti spekulují o původu tohoto škodlivého softwaru. Kdo za útokem stál, známo není. Vzhledem k nestandardní komunikaci mezi postiženými a hackery, která byla vedena výhradně přes jedinou a nyní již zablokovanou e-mailovou adresu, se mnozí analytici podle portálu The Register kloní k tomu, že cílem útoku nebylo získat výkupné, ale rozsévat chaos.
Ransomware, jak se vyděračským virům říká, dostal prozatím název NotPetya. Na první pohled totiž škodlivý software připomíná vir Petya, případně jeho vylepšenou verzi Petrwrap, který byl poprvé zaznamenán v loňském roce.
  |
„Podobnost s virem Petya je pouze povrchní,“ uvedl bezpečnostní analytik vystupující pod přezdívkou The Grugq. „Ačkoli je zde významná část převzatého kódu, skutečný vir Petya byl zločineckým produktem s cílem získat peníze. Úkolem toho nového rozhodně není vydělat peníze. Byl navržen tak, aby se rychle šířil a škodil,“ dodal s tím, že škodlivý software tak činí pod krytím jako ransomware.
O tom, že vir, který od úterý napadl tisíce počítačů po celém světě, není Petya či jeho modifikace, ale úplně nový program, který se jako Petya tváří, nepochybuje ani ruská antivirová společnost Kaspersky Lab.
Podle firmy Symantec, která se rovněž věnuje antivirové ochraně, vir zčásti využívá již déle známou bezpečnostní díru systémů Windows, podobně se choval v květnu ransomware WannaCry. V sítích se pak nový vir dokáže snadno šířit převzetím administrátorských práv.
Novinka také oproti jiným typům ransomwaru nešifruje postupně celý disk, což mnohdy trvá i několik hodin, ale při restartu počítače přepíše hlavní spouštěcí záznam na pevném disku, poté pak uživatelská data zahesluje.
Právě moment, kdy se při restartu na obrazovce počítače objeví informace o opravě souborového systému, je podle kybernetického odborníka Hacker Fantastic proces šifrování disku. V takovém případě radí počítač okamžitě vypnout, a data tak díky tomu zachránit.
Pokud se však šifrování disku dokončí, je podle The Register zřejmě na jakoukoli záchranu souborů pozdě. Tradičním protilékem na veškeré kybernetické útoky, ale i na mechanické poškození disků, je tak pravidelné zálohování dat, což bezpečnostní experti neustále připomínají.
