Petya kallas numera NotPetya – men oavsett är det fullt av buggar och frågetecken

Cyberpolitik, Hot & hack, Livet på F-Secure, Säkerhet & integritet

Vi börjar få en allt bättre bild av ransomware-varianten NotPetya (tidigare känd som bara ”Petya”) som spred sig runt världen förra veckan – men det finns fortfarande en hel del frågetecken som kvarstår.

Den största frågan är varför det släpptes ut i världen när det gjorde, för alla tecken pekar mot att det var på tok för tidigt.

”Det som verkligen stör mig är den uppenbara avsaknaden av testning, att man släpper ut något som inte kan ha genomgått ens en grundläggande funktionskontroll”, säger Andy Patel, sägerhetsexpert på F-Secure Labs.

Nedan följer en uppdatering om läget kring Petya, men med den brasklappen att det fortfarande finns många frågor som vi behöver hitta svaret på i detta besynnerliga fall av skadlig kod.

Kallar vi det fortfarande för ”Petya”?

NotPetya verkar vara vad branschen samlats kring, även om en del andra namn fortfarande snurrar runt – till exempel står det ”EternalPetya” i en del av inläggen från F-Secure Labs.

Är det ransomware, eller är det en ”wiper”?

Det mesta pekar på att det är ”ofärdig kod”, vilket om inte annat hade varit ett rätt hyfsat bandnamn – men som i cyberbrottslighetsvärlden inte är helt ovanligt. Andy Patel har skrivit ett längre blogginlägg om just detta på Labs-bloggen (på engelska).

”[Eternal]Petya är inte en wiper”, skriver Sean Sullivan, säkerhetsrådgivare på F-Secure, i ett annat inlägg. ”[Eternal]Petya är ett nästan funktionsdugligt ransomware, och frågan vi bör ställa oss är: Vad mer är det? Om det är en prototyp, vad är nästa steg?”

Hur fungerar det?

Nedan är en snabbskiss från F-Secure Labs, där de sammanfattat det vi vet om hur NotPetya fungerar:

Står det verkligen ”DOES STUPID SHIT”?

Ja, för det är precis vad det handlar om – NotPetya gör korkade saker.

”Det finns gott om tecken på att den här mjukvaran utvecklades i all hast, och att den inte testades tillräckligt noga”, skriver Andy Patel. ”Till exempel är det fullt möjligt för en redan infekterad maskin att återinfektera sig själv och därigenom kryptera filerna en gång till.”

Så är det bara dåligt skriven skadlig kod?

”Det är fullt av buggar”, säger Andy Patel. ”Och felaktig design. Och vad som bäst kan betecknas utfyllnad för sådant som man inte hunnit implementera ännu.”

Det finns vissa aspekter av koden som är sofistikerad, vilket är orsaken till att de tidiga analyserna var lite förvirrande. Men överlag så är det här uselt producerad skadlig kod vilket ofta lämnar fältet öppet för mängder av olika tolkningar.

Var NotPetya egentligen avsett att vara något annat? Är det en testballong? Är det ett gäng hackare som försöker vara coola? Eller var de bara ute efter att roffa åt sig så mycket pengar som möjligt?

”Allt är möjligt. Det kan ha varit ett test, de kan ha stressat fram det. Det kan vara så att upphovsmännen bara inte bryr sig”, säger Andy Patel.

Varför skulle någon släppa ut ransomware som inte riktigt fungerar?

Utvecklarna kanske hade en väldigt tajt deadline, som sedan blev ännu tajtare när WannaCry dök upp i maj – WannaCry utnyttjade samma sårbarheter och ledde till att mängder av företag och organisationer patchade sina system – till och med Microsoft släppte en uppdatering till Windows XP.

”Att sätta ihop en välfungerande version av mjukvara är inte enkelt”, säger Andy. ”Att hålla koll på förändringar i olika moduler och se till att det slutgiltiga paketet innehåller rätt delar är komplicerat och att testa det tillräckligt noga för att säkerställa att det fungerar som det ska och inte innehåller några allvarliga buggar är tidskrävande.”

Mycket av webben – även bland vanliga företag och startups – handlar om att vara snabbfotad, man släpper hellre snabbt och ofta än sällan och vältestat. Och det kan ge upphov till just den här typen av situationer, att man släpper något som inte fungerar.

Finns det andra möjliga skäl till att släppa skadlig kod som inte är färdig?

”Om du är en nationalstat och snabbt försöker att täppa till ett hål så kanske du väljer att testa saker ’i det vilda’”, skriver Sean Sullivan.

”Men för att kunna göra det så behöver du någon form av rimlig bortförklaring att falla tillbaka på – och det är precis vad ransomware är. Om du vill ha ett verktyg som i allt väsentligt fungerar som en wiper, samtidigt fördröja alla former av motåtgärder så är det en ganska bra beskrivning av vad NotPetya är. Men, det är viktigt att komma ihåg att det precis lika gärna handlar om ett ransomware under utveckling.”

Men betyder det inget att det ser ut som att NotPetya siktar in sig på Ukraina?

Kanske, men det är inget som gör det unikt – eller ens särskilt speciellt.

”Ukraina är en populär måltavla för många olika grupper, och drabbas av attacker på tämligen regelbunden basis”, säger Andy .

I det här fallet kan det bero på att det Ukraina-utvecklade programmet MeDoc, som användes för att sätta igång spridningen av NotPetya, tidigare visat sig vara ett lättåtkomligt mål för hackare.

Så det kan vara en nationalstat som ligger bakom?

”Vi ser inte att någon av den information som framkommit hittills ger tillräckligt för att med bestämdhet säga vem eller vilka som ligger bakom (men det är väldigt sällan fallet), skriver Andy. Vi känner att det är värt fortsatta efterforskningar. Och mer pizza.

Vilka skulle kunna ligga bakom det här?

Titta närmare på det här diagrammet:

Ser du den där stapeln som är rejält mycket högre än de andra?

Det är från en av våra ”honeypots” – maskiner som fungerar som lockbeten och används för att övervaka trafiken på internet. Den här grafen kommer från tiden när NotPetya dök upp.

”Om vi tittar på den information vi samlat in genom vårt nätverk, och studerar närmare vilka länder den kommer ifrån så ser vi en hel del intressant”, säger Leszek Tasiemski, VP för F-Secures Rapid Detection Center. ”När vi tittar närmare på Ryssland så upptäcker vi en tydlig spik för SMB-trafik (och BARA för SMB-trafic) från det området. När vi studerar det hela närmare ser vi att 95 procent kommer från Moskva, och från en enskild IP-adress (vanligtvis ser vi trafiken spritt över hela landet) och att måltavlorna för trafiken till största del fanns i Turkiet, Sverige, Ukraina, Ungern och Tyskland.”

SMB-protokollet, det är där EternalBlue-sårbarheten finns – samma sårbarhet som utnyttjas av såväl WannaCry som NotPetya.

Så…betyder det att Ryssland ligger bakom?

Det skulle kunna betyda att en rysk grupp ligger bakom. Men det är svårt att säga med bestämdhet.

Och gränsen mellan nationalstater och kriminella grupper har blivit allt suddigare i många länder.

Hur mycket har det här att göra med de säkerhetsluckor som NSA samlade på sig som läcktes av Shadow Brokers tidigare i år?

Det är en del av historien, men inte alls en lika stor del som för WannaCry.

Skyddar F-Secure mig mot EternalPetya, NotPetya och Petya?

Ja. Mot samtliga. F-Secures produkter för klientskydd förhindrar alla varianter av Petya och NotPetya som vi sett.

Så, vad ska vi göra?

Se det här som en utmärkt påminnelse att se över dina interna processer.

Bilden av NotPetya utveckĺas i takt med att vi analyserar koden och proceserna bakom, men sätten att skydda sig förändras inte.

”Kör Microsoft Updates, ta bort mjukvara som inte används, skaffa en lösenordshanterare, uppdatera dina lösenord…det finns saker du kan göra för att skydda dig mot flera olika typer av skadlig kod”, förklarade Sean Sullivan för oss tidigare i veckan. Och det gäller fortfarande: ”Se till att få det grundläggande skyddet rätt från start.”

Här är en lista på ytterligare saker ditt företag kan göra för att skydda sig mot Petya.

0 kommentarer

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s

Du kanske också gillar

%d bloggare gillar detta: