Kasutaja:Võraürask/Petya

Petya on küberrünnakutes kasutatatud lunavara, mis hakkas levima 2016. aasta märtsis ning nakatas Microsoft Windows operatsioonisüsteemiga arvuteid. Esialgu levitati viirust e-kirjade kaudu, mis püüdsid jätta mulje, et kirja sisuks on kellegi CV. Kirja manusesse oli lisatud inimese pilt ja .PDF.exe või .exe laiendiga viirust sisaldav fail.^[1]

Faili avades hoiatab operatsioonisüsteem kasutajat võimaliku ohu eest ning küsib luba faili käivitamiseks. Kui kasutaja sellega nõustub, siis viirus nakatab üldbuutkirjet (inglise keeles MBR ehk master boot record) ning kirjutab üle buudilaaduri (inglise keeles boot loader). Seejärel arvuti hangub ja taaskäivitub ning viirus alustab failide krüpteerimist. Ekraanile kuvatakse võlts süsteemiteade, mis teavitab kasutajat vigasest kettast ning kuvab informatsiooni parandamise edenemisest.

Kui failide krüpteerimine on lõpetatud, kuvatakse kasutajale teade, mis informeerib teda rünnaku alla sattumisest. Kasutajale antakse instruktsioonid failide dekrüpteerimiseks, mis suunavad ta ründajale lunaraha maksma, kasutades selleks Bitcoini.^[2]

Nimi Petya on viide 1995. aasta James Bondi filmile GoldenEye, kus Petya on üks kahest Nõukogude Liidu relvastatud satelliidist. ^[3]

Petya viirus pärast failide krüpteerimist

NotPetya[muuda | muuda lähteteksti]

2017. aasta juunis alustas levikut Petya uus modifitseeritud versioon, millele pandi nimeks NotPetya. Nakatumine sai alguse Ukraina päritolu raamatupidamistarkvarast MEDoc, kustkaudu levis viirus kõigile ettevõtetele, kes seda tarkvara kasutasid.^[4] Alguses olid leviku ohvriteks erinevad Ukraina firmad, sealhulgas näiteks Ukraina keskpank ja Tšernobõli tuumaelektrijaam.^[5]

Viirus levis kiirelt üle maailma, sealhulgas Eestisse. Eesti firmadest sattusid rünnaku ohvriks kaks Saint-Gobaini kontserni kuuluvat ettevõtet, sealhulgas Ehituse ABC, mis oli sunnitud oma kauplused sulgema kuni viiruse likvideerimiseni. Kauplused olid suletud ligi nädal aega.^[6] Viirus levis 65 erinevasse riiki ning nakatas umbes 20 000 seadet. Suurimad ohvriks sattunud rahvusvahelised firmad olid näiteks Merck, FedEx, Saint-Gobain, Mondelez ja Rechitt Benckiser. ^[7]

NotPetya kasutas ära Windowsi turvanõrkust EternalBlue, mis oli USA Riikliku Julgeolekuagentuuri (NSA) poolt arendatud ning hiljem neilt varastatud. Sama turvaauku kasutas ka varasemalt samal aastal levinud lunavara WannaCry. Windowsi poolt oli nõrkus juba parandatud 2017. aasta mais, seega olid viiruse ohvriks masinad, millele ei olnud installitud viimaseid uuendusi. Muuhulgas sai turvapaiga ka operatsioonisüsteem Windows XP, millele lõpetati ametliku toe pakkumine 2014. aastal.

EternalBlue turvanõrkus lubas viirusel end levitada teistele samas võrgus olevatele arvutitele ilma, et kasutaja selleks midagi tegema peaks. See lubas viirusel levida kiiremini kui esialgsel versioonil Petya, mille levitamiseks pidi saatma e-kirju. Peale arvuti nakatamist ootas viirus umbes 30-40 minutit enne krüpteerimisega alustamist. Selle aja vältel üritas viirus teiste masinateni jõuda.^[8]

NotPetya tõkestamine[muuda | muuda lähteteksti]

Viiruse lähtekoodi uurides leiti, et nakatunud masinate krüpteerimisprotessi võib olla võimalik peatada kui arvuti koheselt välja lülitada. Lisaks ilmnes, et viirus kontrollib enne muudatuste alustamist faili perf.c olemasolu. See tähendas, et kasutaja võib ise luua suvalise sisuga ja kirjutuskaitsega faili nimega perf.c ja/või perfc.dat ning seeläbi tõkestada viiruse käivitumist. See aga ei takista viirusega nakatumist.^[8]

Vastavalt viiruse poolt kuvatud juhistele tuli sellest vabanemiseks saata etteantud Bitcoini aadressile 300 USD väärtuses Bitcoini ning seejärel saata e-mail koos enda Bitcoini rahakoti ID-ga ja viiruse poolt genereeritud unikaalse installatsioonivõtmega. E-maili aadress oli kõigi ohvrite jaoks sama ning seda omav teenusepakkuja Posteo blokeeris selle e-maili kasutuse, kuna taoline kasutusviis oli kasutajatingimusi rikkuv.^[9] Seetõttu ei olnud ohvritel võimalik viiruse nõudeid järgides kirju saata ning dekrüpteerimise jaoks vajalikku võtit saada.

NotPetya päritolu[muuda | muuda lähteteksti]

Ukraina julgeolekuteenistuse hinnangul viitavad tõendid, et viirus pärineb Venemaalt ning on loodud sealsete eriteenistuste osalusel, et destabiliseerida Ukrainat. Rahvusvaheliste küberturbe ekspertide seisukoht on, et ründe tegelik eesmärk oli tekitada võimalikult suurt kahju ning lunavaranõue oli teisejärguline.

2018. aasta veebruaris omistasid Ühendkuningriigi, Kanada, Taani, USA, Austraalia ja Uus-Meremaa valitsused vastutuse NotPetya eest Venemaale. Avaldusega liitus ka Eesti välisministeerium, mõistes hukka Venemaa ründe Ukraina vastu ning kutsudes Venemaad üles käituma vastutustundlikult ja järgima rahvusvahelist õigust ka küberruumis.

Moskva esindaja lükkas süüdistused tagasi, öeldes, et need on alusetud ning osa russofoobsest liikumisest. ^[7] ^[10]

2017. aasta augustis arreteeriti ukrainlane Sergey Neverov viiruse tahtliku levitamise eest. Sergey Neverov jagas linki viiruse allalaadimiseks oma sotsiaalmeedias, mille tagajärjel nakatus viirusega üle 400 arvuti. Leidus firmasid, kes kasutasid seda võimalust oma süsteemide tahtlikuks nakatamiseks, kuna viirusega pihta saanud firmadele lubati maksepikendust. ^[11]

2020. aasta oktoobris esitati süüdistus seoses NotPetya loomise ja levitamisega kuuele Venemaa kodanikule, kes on ühtlasi ka GRU (Venemaa Luure Peavalitsuse) liikmed. Rühma liikmeid süüdistati ka mitmetes teistes küberkuritegudes, sealhulgas sekkumises Prantsusmaa ja Gruusia valimistesse ning 2018. aasta talveolümpiamängude jaoks tarviliku tarkvara ründamises, luues selle tarvis pahavara nimega Olympic Destroyer. ^[12]

Tekitatud kahju[muuda | muuda lähteteksti]

Vastavalt Valge maja avaldatud raportile oli viiruse tekitatud kahju üle 10 miljardi USD. Suurim kannataja oli USA ravimifirma Merck, kes kandis kahjusid 870 miljoni USD ulatuses. Suuri kahjusid kandsid ka näiteks lennundusettevõte FedEx (400 miljonit USD), ehitusmaterjalide tootja Saint-Gobain (384 miljonit USD) ning ülemaailmne konteinerlaevade haldaja Maersk, kes on vastutav ligi 20% maailma kaubavahetuse eest (300 miljonit USD).^[13]

Toidukaupade tootja Mondelez kaebas kohtusse kindlustusfirma Zurich Insurance Group, kuna kindlustusfirma keeldus viiruse poolt tekitatud kahjusid hüvitamast, väites, et see oli sõjaakt, mistõttu ei allu kindlustusjuhtum lepingu tingimustele. ^[14]

Viited[muuda | muuda lähteteksti]

↑ "Petya: the two-in-one trojan". Securelist. 04.05.2016. Vaadatud 04.01.2022.
↑ "Petya – Taking Ransomware To The Low Level". Malwarebytes Labs. 01.04.2016. Vaadatud 04.01.2022.
↑ "What is Petya Ransomware & How to Protect Against It?". Comparitech. 04.07.2021. Vaadatud 10.01.2022.
↑ "Petya või… NotPetya". RIA blogi. Vaadatud 04.01.2022.
↑ "Euroopat tabas uus suur lunavararünnak". Geenius. 27.06.2017. Vaadatud 04.01.2022.
↑ "Ehituse ABC avas taas kõik kauplused". Kaubandus.ee. 4. juuli 2017. Vaadatud 04.01.2022.
↑ ^7,0 ^7,1 "Küberturvalisus 2018" (PDF). RIA. Vaadatud 04.01.2022.
↑ ^8,0 ^8,1 "Petya starts with Ukraine and then goes global". Group-IB. 27.06.2017. Vaadatud 04.01.2022.
↑ "Email Provider Shuts Down Petya Inbox Preventing Victims From Recovering Files". Bleeping Computer. 27.06.2017. Vaadatud 04.01.2022.
↑ "U.S., Canada, Australia Attribute NotPetya Attack to Russia". Security Week. 16.02.2018. Vaadatud 10.01.2022.
↑ "Ukrainian Man Arrested For Distributing NotPetya Ransomware And Helping Tax Evaders". The hacker news. 10.08.2017. Vaadatud 10.01.2022.
↑ "Six Russian GRU Officers Charged in Connection with Worldwide Deployment of Destructive Malware and Other Disruptive Actions in Cyberspace". 19.10.2020. Vaadatud 10.01.2022.
↑ "The Impacts Of NotPetya Ransomware: What You Need To Know". Vaadatud 10.01.2022.
↑ "Cyber-insurance shock: Zurich refuses to foot NotPetya ransomware clean-up bill – and claims it's 'an act of war'". 11.01.2019. Vaadatud 10.01.2022.

[1] "Petya: the two-in-one trojan". Securelist. 04.05.2016. Vaadatud 04.01.2022.

[2] "Petya – Taking Ransomware To The Low Level". Malwarebytes Labs. 01.04.2016. Vaadatud 04.01.2022.

[3] "What is Petya Ransomware & How to Protect Against It?". Comparitech. 04.07.2021. Vaadatud 10.01.2022.

[4] "Petya või… NotPetya". RIA blogi. Vaadatud 04.01.2022.

[5] "Euroopat tabas uus suur lunavararünnak". Geenius. 27.06.2017. Vaadatud 04.01.2022.

[6] "Ehituse ABC avas taas kõik kauplused". Kaubandus.ee. 4. juuli 2017. Vaadatud 04.01.2022.

[:0-7] 7,0 ^7,1 "Küberturvalisus 2018" (PDF). RIA. Vaadatud 04.01.2022.

[:1-8] 8,0 ^8,1 "Petya starts with Ukraine and then goes global". Group-IB. 27.06.2017. Vaadatud 04.01.2022.

[9] "Email Provider Shuts Down Petya Inbox Preventing Victims From Recovering Files". Bleeping Computer. 27.06.2017. Vaadatud 04.01.2022.

[10] "U.S., Canada, Australia Attribute NotPetya Attack to Russia". Security Week. 16.02.2018. Vaadatud 10.01.2022.

[11] "Ukrainian Man Arrested For Distributing NotPetya Ransomware And Helping Tax Evaders". The hacker news. 10.08.2017. Vaadatud 10.01.2022.

[12] "Six Russian GRU Officers Charged in Connection with Worldwide Deployment of Destructive Malware and Other Disruptive Actions in Cyberspace". 19.10.2020. Vaadatud 10.01.2022.

[13] "The Impacts Of NotPetya Ransomware: What You Need To Know". Vaadatud 10.01.2022.

[14] "Cyber-insurance shock: Zurich refuses to foot NotPetya ransomware clean-up bill – and claims it's 'an act of war'". 11.01.2019. Vaadatud 10.01.2022.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]