Co to jest NotPetya

NotPetya to oprogramowanie, które udawało ransomware, ale tak naprawdę okazało się wiperem, który nie dawał gwarancji na odzyskanie danych. Oprogramowanie zostało stworzone tak, by nie mogło przywrócić utraconych zmian. Ataki NotPetya sparaliżowały firmy i agencje rządowe na całym świecie.

Odpowiedzialnością za stworzenie malware i ataki Biały Dom oskarżył Rosję. Wykryte zostały zależności między atakami, a rosyjską grupą hakerską Sandworms. Washington Post wskazywał natomiast, że za atakami stoi GRU, czyli rosyjska wojskowa agencja wywiadu, a głównym celem było sparaliżowanie ukraińskich instytucji w ramach wojny rozpoczętej w 2016 roku.

Działanie malware NotPetya

Twórcy NotPetya posłużyli się złośliwym oprogramowaniem EternalBlue w połączeniu z Mimikatz, narzędziem open-source, które zbiera, a następnie wykorzystuje poświadczenia w systemach Windows.

Mimikatz zwany jest „szwajcarskim scyzorykiem” hakerskim, ponieważ wykrada on dane, takie jak hasła, a co za tym idzie umożliwia całkowity dostęp do urządzenia. Mimikatz można wykryć, ale w tym celu trzeba monitorować procesy i interakcje związane z LSASS.exe. Mimo łatki na EthernalBlue, którą Microsoft wprowadził do Windowsa po ataku WannaCry, oba narzędzia w połączeniu tworzyły kombinację niemożliwą do pokonania.

Geneza ataków

Seria ataków między 27-28 czerwca 2017 roku wpłynęła negatywnie na finanse wielu firm na całym świecie. Pierwsza o serii ataków poinformowała Ukraina oraz Maersk. W ciągu kilku godzin od ujawnienia się, wirus dotarł do wielu punktów na świecie. Najbardziej ucierpiały na tym firmy takie jak: koncern farmaceutyczny Merck, spółka FedEx TNT Express, francuska firma budowlana Saint-Gobain, producent żywności Mondelez, Reckitt Benckiser, a także rosyjska spółka naftowa Rosnieft.

Atak na Ukrainę

Atak nastąpił w przeddzień ukraińskiego Dnia Konstytucji na Linkos Group, w której tworzone są aktualizacje i wszelakie poprawki do oprogramowania księgowego o nazwie MEDoc. Z tego oprogramowania na Ukrainie korzystało ok. 90% firm. Opustoszałe biura dały szansę do bardzo szybkiego rozprzestrzeniania się cyberataku.

W efekcie ucierpiały ministerstwa, banki, systemy metra oraz przedsiębiorstwa państwowe, takie jak: Ukrtelecom, Ukrposhta, lotnisko Boryspol, lotnisko Kijów, Antonov, Ukrsotsbank, KredoBank, Oshchadbank.

Atak na Maersk

27 czerwca 2017 zaatakowany został gigant morski Maersk. Na komputerach pracowników zaczęły się pojawiać wiadomości o naprawie plików lub żądania okupu. Kiedy tylko pracownicy IT zorientowali się co się dzieje zaczęli odłączać komuptery od sieci. Cały proces trwał jednak ponad 2 godziny. Większość pracowników została wtedy odesłana do domu. Gigant morski, który odpowiada za 76 portów i ok. 800 statków, co stanowi prawie 1/5 zdolności przewozowej na świecie został spraliżowany.

Przywracanie porządku w Maersku zajęło dwa tygodnie. W przeciągu tego czasu udało się odbudować sieć składającą się z 4 tys. serwerów oraz 45 tys. komputerów.

Atak na Merck Co.

Tego samego dnia miał miejsce atak na giganta farmaceutycznego Merck. Zainfekowanych zostało ponad 30 tys. komputerów i 7,5 tys. serwerów.

W skutek ataku wstrzymana została produkcja leków, między innymi szczepionek przeciw HPV dystrybuowanych na cały świat.

Straty spowodowane zatrzymaniem produkcji sięgnęły 1,3 mld USD.

Odszkodowanie

Ponieważ Merck posiadał polisy ubezpieczeniowe na „wszystkie rodzaje ryzyka” zaczął się domagać odszkodowania od swoich ubezpieczycieli. Firmy ubezpieczeniowe zastosowały jednak klauzulę „aktu wojny”, aby uniknąć wypłaty i sprawa trafiła do sądu.

Dopiero w maju 2023 roku sąd apelacyjny w New Jersey orzekł, że atak nie był bezpośrednim przejawem działań wojennych, więc firmie Merck należy wypłacić odszkodowanie.