Открыть сервис

NotPetya

NotPetya — это вредоносная программа, относящаяся к классу шифровальщиков-вымогателей (ransomware), которая в 2017 году вызвала одну из крупнейших кибератак в истории. В отличие от большинства подобных программ, основной целью NotPetya было не получение выкупа, а уничтожение данных и нарушение работы компьютерных систем. Программа получила название из-за внешнего сходства с другим шифровальщиком — Petya, однако имела существенные отличия в механизме работы и целях.

История

Предпосылки и обнаружение

Первые образцы вредоносной программы были обнаружены специалистами по кибербезопасности 27 июня 2017 года. Атака началась с Украины, где, по оценкам экспертов, было заражено более 80% всех первоначальных целей. В качестве вектора распространения использовалось обновление программного обеспечения для бухгалтерского учёта «M.E.Doc», которое было скомпрометировано злоумышленниками.

Хронология атаки

27 июня 2017 года в 11:00 по киевскому времени началось массовое заражение компьютеров. В течение нескольких часов вирус поразил системы крупных компаний и государственных учреждений по всему миру. Среди наиболее известных жертв оказались украинские энергетические компании, аэропорт «Борисполь», «Укрпочта», «Укрзализныця», а также зарубежные корпорации, такие как датская транспортная компания Maersk, российская нефтяная компания «Роснефть», французская строительная компания Saint-Gobain и американская фармацевтическая компания Merck. Общий ущерб от атаки оценивался в десятки миллиардов долларов США.

Атрибуция

Большинство правительственных и частных экспертов по кибербезопасности, включая представителей США, Великобритании и Украины, возложили ответственность за создание и распространение NotPetya на российскую военную разведку (ГРУ). В 2020 году Министерство юстиции США предъявило обвинения шести офицерам ГРУ по делу о кибератаках, включая атаку NotPetya. Российская сторона последовательно отрицала свою причастность.

Технические характеристики

Механизм заражения

NotPetya использовал многоступенчатую схему распространения. Первоначально программа проникала в систему через скомпрометированное обновление «M.E.Doc». После этого она использовала несколько уязвимостей для распространения внутри локальной сети:

  • EternalBlue — эксплойт, использующий уязвимость в протоколе SMBv1 (Server Message Block), разработанный, по данным утечек, Агентством национальной безопасности США.
  • EternalRomance — ещё один эксплойт для SMB, также из арсенала АНБ.
  • WMIC — утилита Windows Management Instrumentation Command-line, позволяющая удалённо выполнять команды на других компьютерах в сети.

Процесс шифрования

После запуска на заражённом компьютере NotPetya выполнял следующие действия:

  1. Получение прав администратора: программа использовала утилиту Mimikatz для кражи паролей из памяти системы.
  2. Шифрование файлов: в отличие от классического Petya, который шифровал только загрузочную запись (MBR), NotPetya шифровал как MBR, так и отдельные файлы на диске.
  3. Уничтожение данных: ключевой особенностью NotPetya было то, что после шифрования программа не могла расшифровать данные даже при наличии ключа. Это было связано с тем, что злоумышленники использовали необратимые алгоритмы или просто не сохраняли ключи расшифровки.

Требование выкупа

После шифрования на экране появлялось сообщение с требованием выкупа в размере 300 долларов США в биткоинах. Для оплаты предоставлялся адрес криптокошелька. Однако, из-за конструктивных особенностей программы, восстановление данных после оплаты было невозможно. Анализ показал, что злоумышленники не имели возможности расшифровать файлы даже при получении выкупа.

Классификация

Отличие от других шифровальщиков

NotPetya часто классифицируют не как ransomware (вымогатель), а как wiper (уничтожитель данных). Основные отличия включают:

  • Цель: не получение выкупа, а нанесение максимального ущерба.
  • Необратимость: невозможность восстановления данных даже при выполнении требований.
  • Скорость распространения: использование сетевых уязвимостей для быстрого заражения большого числа систем.

Связь с другими вредоносными программами

NotPetya имеет общие черты с другими вирусами-шифровальщиками, такими как Petya и GoldenEye. Однако, в отличие от них, он не был ориентирован на финансовую выгоду. Некоторые исследователи относят NotPetya к категории «кибероружия» из-за его разрушительного потенциала и целей.

Применение и значение

Влияние на кибербезопасность

Атака NotPetya стала поворотным моментом в понимании угрозы со стороны государственных кибергруппировок. Она продемонстрировала, что вредоносное программное обеспечение может использоваться не только для кражи данных или вымогательства, но и для нанесения физического и экономического ущерба критической инфраструктуре.

Уроки для организаций

После атаки многие компании пересмотрели свои подходы к кибербезопасности:

  • Обновление программного обеспечения: своевременная установка патчей для устранения уязвимостей, в частности, для протокола SMBv1.
  • Резервное копирование: создание регулярных, изолированных от сети резервных копий данных.
  • Сегментация сети: разделение сети на сегменты для ограничения распространения вредоносных программ.
  • Мониторинг: использование систем обнаружения вторжений и анализа поведения.

Интересные факты

  • Название: программа получила название NotPetya из-за того, что изначально её ошибочно идентифицировали как вариант Petya. Однако анализ показал, что это совершенно новый вид вредоносного ПО.
  • Масштаб ущерба: по разным оценкам, ущерб от атаки составил от 10 до 30 миллиардов долларов США. Компания Maersk, одна из крупнейших жертв, потеряла около 300 миллионов долларов и была вынуждена переустановить 45 000 компьютеров и 4 000 серверов.
  • Глобальное распространение: несмотря на то, что атака была нацелена на Украину, вирус быстро распространился по всему миру, поразив системы в 65 странах.
  • Реакция Microsoft: корпорация Microsoft выпустила экстренные обновления безопасности для операционных систем Windows, включая устаревшие версии, такие как Windows XP и Windows 8, которые официально уже не поддерживались.

Источники

  • «NotPetya: The Cyberattack That Shook the World» — исследование компании Kaspersky Lab.
  • «The Untold Story of NotPetya, the Most Devastating Cyberattack in History» — статья в журнале Wired.
  • «Indictment of Russian GRU Officers for Cyberattacks» — Министерство юстиции США, 2020 год.
  • «Analysis of the NotPetya Ransomware» — отчёт компании Symantec.
  • «Petya/NotPetya Ransomware: Technical Analysis and Mitigation» — отчёт компании CrowdStrike.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →