Petya.B

Újabb nagyméretű malware támadás terjedt el az interneten. A szakértők ezúttal egy olyan kártevőt fedeztek fel, amely hasonlít a már ismert Petya névre hallgató zsarolóvírusra – ezért vált Petya.B, illetve PetrWrap néven ismertté kiberbiztonsági körökben.

Ez a zsarolóvírus a Microsoft által gyártott operációs rendszerek sebezhetőségeit használja ki – többek között az EternalBlue-t is, akár csak a Wannacry és az Adylkuzz vírusok.

A Microsoft már márciusban közzétett egy javítást ehhez a sebezhetőséghez, azonban sok eszköz még mindig nem rendelkezik ezzel a frissítéssel. A támadás nagysága miatt a Microsoft még a Windows XP-t használó gépek számára is elérhetővé tett egy javítást, amely ezelőtt nem volt támogatott.

Akár csak a Wannacry és az Adylkuzz esetében, a támadás ereje itt is abban rejlik, hogy oldalirányban képes terjeszkedni: amint felkerül egy vállalati számítógépre, teljesen automatikusan terjed át a környező gépekre. Ez a zsarolóvírus továbbá képes ellopni a fertőzött számítógép belépési adatait, és újra felhasználni azokat a vállalati hálózat többi gépén – ez az úgynevezett pass-the-hash technika.

A támadás tehát több lépésből épül fel: az Eternalblue kihasználása a számítógépre való belépéshez, aztán pedig az oldalirányú támadások a pass-the-hash módszerrel, amely segítségével képes egy szervezet rendszerein belül terjeszkedni.

Amint a számítógép megfertőződik, a zsarolóvírus titkosítja az ismert kiterjesztésű fájlokat és megtámadja a számítógép Master Boot Record-ját (MBR), hogy egyáltalán ne lehessen használni a számítógépet az újraindítás után.

A Stormshield kiadott egy részletes leírást a sebezhetőség kezeléséhez, amely itt érhető el.