Οι αναλυτές της Kaspersky Lab ερευνούν το νέο κύμα επιθέσεων ransomware οι οποίες έχουν ως στόχο εταιρείες σε όλο τον κόσμο. Από τα αρχικά μας συμπεράσματα προκύπτει πως δεν είναι μία παραλλαγή του ransomware «Petya», όπως αναφέρθηκε δημόσια, αλλά ένας καινούριος τύπος ransomware που δεν έχει εμφανιστεί ποτέ ξανά. Παρόλο που έχει κοινά στοιχεία με τον ιό «Petya», έχει τελείως διαφορετική λειτουργία, για το λόγο αυτόν τον ονομάσαμε «ExPetr».
Τα δεδομένα τηλεμετρίας της εταιρείας δείχνουν πως μέχρι τώρα έχουν πραγματοποιηθεί γύρω στις 2000 επιθέσεις. Οι οργανισμοί στη Ρωσία και στην Ουκρανία είναι αυτοί που έχουν επηρεαστεί περισσότερο, ενώ έχουν σημειωθεί αρκετές επιθέσεις στην Πολωνία, την Ιταλία, το Ηνωμένο Βασίλειο, τη Γερμανία, τη Γαλλία, τις Ηνωμένες Πολιτείες και σε πολλές άλλες χώρες.
Αυτή η επίθεση φαίνεται να είναι αρκετά πολύπλοκη αφού περιλαμβάνει διάφορους φορείς έκθεσης σε κίνδυνο. Μπορούμε να επιβεβαιώσουμε πως χρησιμοποιούνται τροποποιημένα τα exploits “EternalBlue” και “EternalRomance” από τους εγκληματίες για τη διάδοση δεδομένων μέσα από εταιρικά δίκτυα.
Η Kaspersky Lab ανιχνεύει τις απειλές ως:
- UDS:DangerousObject.Multi.Generic
- Trojan-Ransom.Win32.ExPetr.a
- HEUR:Trojan-Ransom.Win32.ExPetr.gen
Η μηχανή ανίχνευσης ύποπτης συμπεριφοράς SystemWatcher που διαθέτουμε ανιχνεύει τις απειλές ως:
- PDM:Trojan.Win32.Generic
- PDM:Exploit.Win32.Generic
Στις περισσότερες περιπτώσεις μέχρι τώρα, η Kaspersky Lab προληπτικά ανίχνευε τον αρχικό φορέα μόλυνσης μέσα από τη μηχανή ανίχνευσης ύποπτης συμπεριφοράς System Watcher. Προσπαθούμε επίσης να βελτιώσουμε την ανίχνευση ύποπτης συμπεριφοράς των anti-ransomware ούτως ώστε να μπορούμε προληπτικά να εντοπίζουμε μελλοντικές εκδοχές.
Οι ειδικοί της Kaspersky Lab θα συνεχίσουν να εξετάζουν το θέμα για να προσδιορίσουν εάν είναι πιθανό να αποκρυπτογραφούν δεδομένα που κρυπτογραφήθηκαν έπειτα από μία επίθεση – με την πρόθεση να αναπτύξουν ένα εργαλείο αποκρυπτογράφησης το συντομότερο δυνατόν.
