Petya

Petya on küberrünnakutes kasutatud lunavara, mida hakati levitama 2016. aasta märtsis ning mis nakatas Microsoft Windowsi operatsioonisüsteemiga arvuteid. Esialgu levitati viirust e-kirjade kaudu, mis püüdsid jätta mulje, et kirja sisuks on kellegi CV. Kirja manusesse oli lisatud inimese pilt ja PDF.exe- või exe-laiendiga viirust sisaldav fail.^[1]

Faili avamisel hoiatab operatsioonisüsteem kasutajat võimaliku ohu eest ning küsib luba faili käivitamiseks. Kui kasutaja sellega nõustub, siis viirus nakatab üldbuutkirjet (inglise keeles MBR ehk master boot record) ning kirjutab üle buudilaaduri (inglise keeles boot loader). Seejärel arvuti hangub ja taaskäivitub ning viirus alustab failide krüpteerimist. Ekraanile kuvatakse võlts süsteemiteade, mis teavitab kasutajat vigasest kettast ning kuvab informatsiooni parandamise edenemisest.

Kui failide krüpteerimine on lõpetatud, kuvatakse kasutajale teade, mis informeerib teda rünnaku alla sattumisest. Kasutajale antakse juhised failide dekrüpteerimiseks, mis suunavad ta ründajale lunaraha maksma, maksta tuleb bitcoin'ides.^[2]

Nimi Petya on viide 1995. aasta James Bondi sarja filmile "Golden Eye", kus Petya on üks kahest Nõukogude Liidu relvastatud satelliidist. ^[3]

Petya viirus pärast failide krüpteerimist

NotPetya

2017. aasta juunis hakkas levima Petya uus modifitseeritud versioon, millele pandi nimeks NotPetya. Nakatumine sai alguse Ukraina päritolu raamatupidamistarkvarast MEDoc, kustkaudu levis viirus kõiki ettevõtetesse, kes seda tarkvara kasutasid.^[4] Algul olid leviku ohvriteks paljud Ukraina ettevõtted, sealhulgas näiteks Ukraina keskpank ja Tšornobõli tuumaelektrijaam.^[5]

Viirus levis kiiresti üle maailma, sealhulgas Eestisse. Eesti ettevõtetest sattusid rünnaku ohvriks kaks Saint-Gobaini kontserni kuuluvat ettevõtet, sealhulgas Ehituse ABC, mis oli sunnitud oma kauplused sulgema kuni viiruse likvideerimiseni. Kauplused olid suletud ligi nädal aega.^[6] Viirus levis 65 riiki ning nakatas umbes 20 000 seadet. Suurimad ohvriks sattunud rahvusvahelised ettevõtted olid näiteks Merck, FedEx, Saint-Gobain, Mondelez ja Rechitt Benckiser. ^[7]

NotPetya kasutas ära Windowsi turvahaavatavust EternalBlue, mis oli USA Riikliku Julgeolekuagentuuri (NSA) tellimusel välja töötatud ja hiljem neilt varastatud. Sama turvaauku kasutas ka samal aastal varem levinud lunavara WannaCry. Windowsis oli turvahaavatavus parandatud juba 2017. aasta mais, seega olid viiruse ohvriks arvutid, kuhu ei olnud installitud viimaseid tarkvaravärskendusi. Muuhulgas sai turvapaiga ka operatsioonisüsteem Windows XP, millele lõpetati ametliku toe pakkumine 2014. aastal.

EternalBlue turvahaavatavus lubas viirusel end levitada teistele samas võrgus olevatele arvutitele ilma, et kasutaja selleks midagi tegema peaks. See lubas viirusel levida kiiremini kui esialgsel versioonil Petya, mille levitamiseks pidi saatma e-kirju. Pärast arvuti nakatamist ootas viirus 30-40 minutit enne krüpteerima hakkamist. Selle aja vältel üritas viirus jõuda veel teistessegi arvutitesse.^[8]

NotPetya tõkestamine

Viiruse lähtekoodi uurides leiti, et nakatunud arvutite krüpteerimisprotsessi võib saada peatada, kui arvuti otsekohe välja lülitada. Lisaks ilmnes, et viirus kontrollib enne muudatuste alustamist faili perf.c olemasolu. See tähendas, et kasutaja võib ise luua suvalise sisuga ja kirjutuskaitsega faili nimega perf.c ja/või perfc.dat ning tõkestada nii viiruse käivitumist. See aga ei takista viirusega nakatumist.^[8]

 

NotPetya viirus nakatunud arvutis

Vastavalt viiruse kuvatud juhistele tuli sellest vabanemiseks saata etteantud aadressile 300 USA dollari väärtuses bitcoin'e ning seejärel saata e-kiri koos enda Bitcoini rahakoti ID-ga ja viiruse genereeritud unikaalse installivõtmega. E-posti aadress oli kõigi ohvrite jaoks sama ning seda omav teenusepakkuja Posteo blokeeris selle e-posti konto kasutuse, kuna taoline kasutusviis rikkus kasutajatingimusi.^[9] Seetõttu ei olnud ohvritel võimalik viiruse nõudeid järgides kirju saata ning dekrüpteerimise jaoks vajalikku võtit saada.

NotPetya päritolu

Ukraina julgeolekuteenistuse hinnangul viitavad tõendid, et viirus pärineb Venemaalt ning on loodud sealsete eriteenistuste osalusel, et destabiliseerida Ukrainat. Rahvusvaheliste küberturbeekspertide seisukoht on, et ründe tegelik eesmärk oli tekitada võimalikult suurt kahju ning lunavaranõue oli teisejärguline.

2018. aasta veebruaris omistasid Ühendkuningriigi, Kanada, Taani, USA, Austraalia ja Uus-Meremaa valitsused vastutuse NotPetya eest Venemaale. Avaldusega liitus ka Eesti välisministeerium, mõistes hukka Venemaa ründe Ukraina vastu ning kutsudes Venemaad üles käituma vastutustundlikult ja järgima rahvusvahelist õigust ka küberruumis.

Moskva esindaja lükkas süüdistused tagasi, öeldes, et need on alusetud ning osa russofoobsest liikumisest. ^{[7] [10]}

2017. aasta augustis arreteeriti ukrainlane Sergey Neverov viiruse tahtliku levitamise eest. Sergey Neverov jagas linki viiruse allalaadimiseks oma sotsiaalmeedias, mille tagajärjel nakatus viirusega üle 400 arvuti. Leidus ettevõtteid, kes kasutasid seda võimalust oma süsteemide tahtlikuks nakatamiseks, kuna viirusega pihta saanud ettevõtetele lubati maksepikendust. ^[11]

2020. aasta oktoobris esitati süüdistus seoses NotPetya loomise ja levitamisega kuuele Venemaa kodanikule, kes on ühtlasi ka GRU (Venemaa Luure Peavalitsuse) liikmed. Rühma liikmeid süüdistati ka muudeski küberkuritegudes, sealhulgas sekkumises Prantsusmaa ja Gruusia valimistesse ning 2018. aasta taliolümpiamängude jaoks tarviliku tarkvara ründamises, luues selle tarvis pahavara nimega Olympic Destroyer. ^[12]

Tekitatud kahju

Vastavalt Valge Maja avaldatud aruandele oli viiruse tekitatud kahju üle 10 miljardi USA dollari. Suurim kannataja oli USA ravimiettevõte Merck, kes kandis kahjusid 870 miljoni dollari ulatuses. Suuri kahjusid kandsid ka näiteks lennundusettevõte FedEx (400 miljonit dollarit), ehitusmaterjalide tootja Saint-Gobain (384 miljonit dollarit) ning ülemaailmne konteinerlaevade haldaja Maersk, kes on vastutav ligi 20% maailma kaubavahetuse eest (kahju 300 miljonit dollarit).^[13]

Toidukaupade tootja Mondelez kaebas kohtusse kindlustusettevõtte Zurich Insurance Group, kuna kindlustusettevõte keeldus viiruse tekitatud kahjusid hüvitamast, väites, et see oli sõjaakt, mistõttu ei allu kindlustusjuhtum lepingu tingimustele. ^[14]

Viited

1. "Petya: the two-in-one trojan". Securelist. 04.05.2016. Vaadatud 04.01.2022.
2. "Petya – Taking Ransomware To The Low Level". Malwarebytes Labs. 01.04.2016. Vaadatud 04.01.2022.
3. "What is Petya Ransomware & How to Protect Against It?". Comparitech. 04.07.2021. Vaadatud 10.01.2022.
4. "Petya või… NotPetya". RIA blogi. Vaadatud 04.01.2022.
5. "Euroopat tabas uus suur lunavararünnak". Geenius. 27.06.2017. Vaadatud 04.01.2022.
6. "Ehituse ABC avas taas kõik kauplused". Kaubandus.ee. 4. juuli 2017. Vaadatud 04.01.2022.
7. "Küberturvalisus 2018" (PDF). RIA. Originaali (PDF) arhiivikoopia seisuga 4.01.2022. Vaadatud 04.01.2022.
8. "Petya starts with Ukraine and then goes global". Group-IB. 27.06.2017. Vaadatud 04.01.2022.
9. "Email Provider Shuts Down Petya Inbox Preventing Victims From Recovering Files". Bleeping Computer. 27.06.2017. Vaadatud 04.01.2022.
10. "U.S., Canada, Australia Attribute NotPetya Attack to Russia". Security Week. 16.02.2018. Vaadatud 10.01.2022.
11. "Ukrainian Man Arrested For Distributing NotPetya Ransomware And Helping Tax Evaders". The hacker news. 10.08.2017. Vaadatud 10.01.2022.
12. "Six Russian GRU Officers Charged in Connection with Worldwide Deployment of Destructive Malware and Other Disruptive Actions in Cyberspace". 19.10.2020. Vaadatud 10.01.2022.
13. "The Impacts Of NotPetya Ransomware: What You Need To Know". Vaadatud 10.01.2022.
14. "Cyber-insurance shock: Zurich refuses to foot NotPetya ransomware clean-up bill – and claims it's 'an act of war'". 11.01.2019. Vaadatud 10.01.2022.