Vzhľadom na neštandardnú komunikáciu medzi postihnutými a hackermi, ktorá bola vedená výhradne cez jedinú a teraz už zablokovanú e-mailovú adresu, sa mnohí analytici podľa portálu The Register prikláňa k tomu, že cieľom útoku nebolo získať výkupné, ale šíriť chaos.
Ransomware, ako so vydieračským vírusom vraví, dostal zatiaľ názov NotPetya. Na prvý pohľad totiž škodlivý softvér pripomína vírus Petya, prípadne jeho vylepšenú verziu Petrwrap, ktorý bol prvýkrát zaznamenaný v minulom roku.
„Podobnosť s vírusom Petya je len povrchná,“ uviedol bezpečnostný analytik vystupujúci pod prezývkou The Grugq. „Hoci je tu významná časť prevzatého kódu, skutočný vírus Petya bol zločineckým produktom s cieľom získať peniaze. Úlohou toho nového rozhodne nie je zarobiť peniaze. Bol navrhnutý tak, aby sa rýchlo šíril a škodil,“ dodal s tým, že škodlivý softvér tak robí pod krytím ako ransomware.
Čo je ransomware
Škodlivý softvér, ktorý obmedzuje alebo zabraňuje užívateľovi prístup k počítaču alebo súborom a ktorý v utorok ochromil počítače po celom svete, sa všeobecne označuje ako ransomware (z anglického ransom – výkupné). Za obnovenie prístupu totiž požaduje výkupné, spravidla v digitálnych menách (často Bitcoin), aby sa zabránilo možnosti vysledovať platbu.
Prvý známy ransomware bol objavený v roku 1989 pod názvom „AIDS trojan“. Autorom bol Joseph Popp, ktorého softvér vyhlasoval, že určitému softvéru v počítači vypršala licencia, zašifroval súbory na disku a vyžadoval po užívateľovi platbu vo výške 189 dolárov firme PC Cyborg Corporation za odomknutie systému. Popp bol následne vyhlásený za duševne chorého, aby nemusel čeliť súdu. Sľúbil príspevky, ktoré zarobil svojím malwarom, na podporu výskumu AIDS.
O tom, že vírus, ktorý od utorka napadol tisíce počítačov po celom svete, nie je Petya či jeho modifikácie, ale úplne nový program, ktorý sa ako Petya tvári, nepochybuje ani ruská antivírusová spoločnosť Kaspersky Lab.
Podľa firmy Symantec, ktorá sa tiež venuje antivírusovej ochrane, vírus sčasti využíva už dlhšie známu bezpečnostnú dieru systémov Windows, podobne sa správal v máji ransomware WannaCry. V sieťach sa potom nový vírus dokáže ľahko šíriť prevzatím administrátorských práv. Novinka tiež oproti iným typom ransomwaru nešifruje postupne celý disk, čo veľakrát trvá aj niekoľko hodín, ale pri reštarte počítača prepíše MBR na pevnom disku, potom potom používateľské dáta zahesluje.
Práve moment, keď sa pri reštarte na obrazovke počítača objaví o oprave súborového systému, je podľa kybernetického odborníka Hacker Fantastic proces šifrovania disku. V takom prípade radia počítač okamžite vypnúť, a dáta tak vďaka tomu zachrániť.
Ak sa však šifrovanie disku dokončí, je podľa The Register zrejme na akúkoľvek záchranu súborov neskoro. Tradičným protiliekom na všetky kybernetické útoky, ale aj na mechanické poškodenie diskov, je tak pravidelné zálohovanie dát, čo bezpečnostní experti neustále pripomínajú.
Kybernetické útoky s použitím ransomwaru
- WINLOCK – V auguste 2010 ruské úrady zatkli desať osôb napojených na ransomwarového červa známeho ako WINLOCK. Bez použitia šifrovania zamedzil prístup do systému zobrazením pornografických obrázkov a vyzval užívateľa na poslanie prémiovej textovej správy za cenu približne desiatich dolárov. Za túto správu používateľ získal kód, ktorý mohol byť použitý na odomknutie počítača. Podvod zasiahol mnoho užívateľov v Rusku a susedných krajinách, hackerská skupina údajne takto získala asi 16 miliónov dolárov.
- Reventon – Ďalšie ransomware sa začal šíriť v roku 2012. Zobrazil na obrazovke varovanie, že používateľ použil počítač na nejaký druh nelegálnej činnosti, napríklad na sťahovanie softvéru bez licencie či detskej pornografie. Žiadal výkupné za odblokovanie. Šíril sa najmä v západnej Európe a USA. Vo februári 2013 zatkli v Dubaji ruského občana, ktorý mal mať napojenie na Reventon, neskôr bolo zatknutých ďalších desať osôb.
- CryptoWall alebo CryptoLocker – Prvýkrát bol zaznamenaný v septembri 2013. Odvtedy, najprv v anglicky hovoriacich krajinách a potom aj v ďalších štátoch, bolo infikovaných niekoľko tisíc počítačov. Hackeri za sprístupnenie kľúče v anglicky hovoriacich krajinách najčastejšie žiadali sumu približne 300 dolárov či eur.
- Fusob – Šíril sa od apríla 2015 do marca 2016 v mobilných telefónoch, požadoval výkupné vo výške od 100 do 200 dolárov. Najviac používateľov (asi 40 percent) bolo zasiahnutých v Nemecku, menej v Británii a USA.
- WannaCry – Škodlivý softvér ransomware pomenovaný ako WannaCry alebo WanaCrypt0r 2.0 tento rok v máji napadol 300 000 počítačov v 150 krajinách sveta. Asi najmasívnejší útok podobného druhu napadol jednotlivých užívateľov, ale aj univerzity, nemocnice, prepravné spoločnosti a rad ďalších spoločností. Za obnovenie prístupu požadoval výkupné vo virtuálnej mene v hodnote od 300 do 600 dolárov. Útok viedol k nárastu cien akcií firiem zameraných na kybernetickú bezpečnosť. Podľa posledných správ sú autori programu z Číny, pôvodne sa špekulovalo o severokórejskej stope.
- ExPetr alebo Petya – Nový škodlivý softvér, ktorý analytici spoločnosti Kaspersky Lab nazvali ExPetr, zasiahol v utorok rad podnikov a inštitúcií v celom svete. Obzvlášť tvrdo bola zasiahnutá Ukrajina a Rusko, útoky hlásia tiež firmy zo západnej Európy a Spojených štátov. Hackeri podľa Esetu žiadajú od svojich obetí platbu 300 dolárov, inak napadnuté a zašifrované zariadenia neuvoľnia.