Společnosti A.P. Moller-Maersk, , Nissan Motor, Rosněfť , reklamní obr WPP, britská služba národního zdraví, weby ukrajinských úřadů, ruská pobočka skupiny Home Credit, francouzská stavební skupina Saint-Gobain, ale i systémy v Česku. Toto jsou některé z obětí nového kybernetického útoku vyděračským virem, který naplno propukl v úterý. Experti se vzhledem k nestandardní komunikaci mezi postiženými a hackery často kloní k tomu, že cílem nebylo získat výkupné, ale rozsévat chaos. Pachatelé útoku známi nejsou.
Kybernetický útok si vybral daň na akciích technologických firem v Evropě. V rámci technologického indexu STOXX Europe 600 Technology klesala před polednem středoevropského času většina titulů zařazených do tohoto indexu. Samotný index (v grafu je vývoj za poslední měsíc) dnes sestoupil nejníže za 2 týdny, naposledy odepisoval více než 1 procento a táhl dolů evropské akcie.
Zdroj: Stoxx.com
Ransomware, jak se vyděračským virům říká, dostal prozatím název NotPetya. Na první pohled totiž škodlivý software připomíná vir Petya, případně jeho vylepšenou verzi Petrwrap, který byl poprvé zaznamenán loni.
Principem vyděračských virů je zablokovat přístup k datům a souborům v počítači, dokud není zaplacen určitý finanční obnos. Výkupné bývá vyžadováno v digitálních měnách, aby se zamezilo možnosti vysledovat platbu. Asi nejmasivnější útok ransomwaru byl WannaCry z letošního května, kde se po postižených požadovalo výpalné v bitcoinech ve výši 300 USD splatné do 72 hodin. Podle posledních zpráv jsou autoři tohoto programu z Číny, původně se spekulovalo o severokorejské stopě.
Nový škodlivý virus by ale mohl být něco jiného. Ruská antivirová společnost Kaspersky Lab. není sama, kdo tvrdí, že jde o úplně nový program. „Úkolem toho nového viru rozhodně není vydělat peníze. Byl navržen tak, aby se rychle šířil a škodil," říká bezpečnostní analytik vystupující pod přezdívkou The Grugq s tím, že škodlivý software tak činí pod krytím jako ransomware. Podle firmy vir zčásti využívá již déle známou bezpečnostní díru systémů Windows, podobně se choval už v květnu WannaCry. V sítích se pak nový vir dokáže snadno šířit převzetím administrátorských práv.
Různé typy vyděračských virů běžně využívají pro každého napadeného jedinečné platební spojení, což usnadňuje identifikaci a následné odblokování dat. V případě nového viru se ale hackeři spolehli pouze na jediný platební účet s tím, že postižení se po převodu výkupného musí e-mailem obrátit na adresu wowsmith123456@posteo.net s potvrzením platby, aby následně mohli získat klíče k dešifrování dat.
Již v úterý bylo známo, že ransomware napadl počítače a elektronickou infrastrukturu například nizozemské zasilatelské firmy TNT nebo amerického výrobce léků . Problémy ohlásila realitní divize pobočka .
Česká republika podle Národního bezpečnostního úřadu (NBÚ) výrazněji napadena nebyla. Uživatelé by si podle národního bezpečnostního týmu CSIRT měli dát pozor na e-mailové přílohy typu .doc,.docx a .xls či .xlsx. Zatím známé názvy infikovaných dokumentů jsou například Order-20062017.doc a myguy.xls.
Platba výkupného (300 USD v bitcoinech) po útoku virem nyní nemá smysl. E-mailovou schránku, kterou si útočníci pro komunikaci ohledně výkupného a odblokování zašifrovaných dat zřídili, totiž německý poskytovatel elektronické pošty Posteo zrušil.
Zdroje: ČTK, Bloomberg