«Лаборатория Касперского» выяснила настоящие цели создателей вирусов WannaCry и Petya

«Лаборатория Касперского» провела сравнительный анализ вирусов WannaCry и ExPetr (также известного как Petya). В результате эксперты пришли к выводу, что эти атаки «шифровальщиков-вымогателей» были эффективным прикрытием для актов саботажа.

«Первая APT-атака была стремительной, спонтанной и не столь технически грамотной, в то время как вторая оказалась сугубо практичной, гибкой и сфокусированной на цели», заключает «Лаборатория Касперского» в своем сравнительном обзоре. «Мы видим самое начало нового тренда — это необычная тактика, заключающаяся в маскировке APT-атаки, уничтожающей информацию, под действия вымогателя».

Именно такой подход использовали авторы ExPetr, распространяя шифровальщик-вымогатель, истинной целью которого было вовсе не получение выкупа. Ошибки в коде делали восстановление данных невозможным. Кроме того, немецкий провайдер сразу же заблокировал адреса электронной почты злоумышленников, так что данные жертв были обречены.

Исследователям не потребовалось много времени чтобы понять, что ExPetr изначально был замаскированной атакой вайпера (зловреда, уничтожающего информацию), целью которого были, в первую очередь, компании на Украине. Исследователи утверждают, что на зараженных компьютерах была перезаписана загрузочная запись жесткого диска (MBR), что уничтожило данные навсегда. Так что это была чистой воды диверсия. А сбор с жертв нескольких сотен долларов в биткойнах — последнее, что интересовало нападавших.

По мнению специалистов «Лаборатории Касперского», вся разница между ExPetr и такими атаками как Shamoon, Destover и Black Energy состоит в том, что они были более агрессивными и очевидными.

«Все они служили для уничтожения данных, и были совершенно явно доставлены жертвам для нанесения максимального ущерба. Что интересно, по времени они совпадали с масштабными политическими событиями», отмечают исследователи «Лаборатории Касперского». «Таким образом, действия, предпринимаемые для сокрытия саботажа можно считать интересным изменением тактики злоумышленников».

Авторы атаки WannaCry использовали целевые фишинговые письма со ссылками на файлы, размещенные в различных сервисах. Они были замаскированы под документы (резюме и опросники) а на самом деле были исполняемыми файлами, которые служили для заражения компьютеров. Атакующие не пытались забрать биткойны, заплаченные жертвами за восстановление информации, а также не были замечены за попытками усовершенствовать свой зловред, чтобы он начал приносить доход.

«Такой образ действий тоже может кое-что рассказать о злоумышленниках, их возможностях и интересах — они никуда не спешат, практичны и прячут свои настоящие цели достаточно странными способами», — говорят эксперты «Лаборатории Касперского».

Также по теме:

- Клименко: вирус WannaCry написали дети
- От вируса Petya пострадали в основном пользователи Windows 7
- Вирус Petya оказался нацелен на Украину
- Путин назвал источник вируса WannaCry
- Обнаружено уже более 300 модификаций вируса WannaCry

Автор:	Softodrom.ru
Дата:	25.07.2017 22:09