Jak vypadají ransomware útoky Petya

28. června 2017

Posledních několik dní se internetem aktivně šíří ransomware  Petya/Petrwrap. Je to první větší útok, kdy můžeme využít nového dohledového centra se zaintegrovanými výstupy sběru dat z routerů Turris.

Od 22. června dramaticky vzrostl počet pokusů o připojení na honeypoty. Honeypot records udávají počty pokusů o neoprávněné přihlášení do “naivně zabezpečených klientských zařízení” emulovaných našimi servery. Dosavadní vcelku stabilní úroveň byla do té doby narušována ojedinělými útoky, ale po 22.6. se počet honeypot records zdvíhá o polovinu a růst polevuje jen mírně. 


Petya Honeypot


Je rovněž zajímavé si všimnout, že v první třetině června významně vzrostl počet zaznamenaných refused connections, která udávají počet pokusů o spojení do internetu, při nichž protistrana neodpovídá. Takové záznamy jsou dnes typické pro malware a ransomware, který se připojuje do internetu na již nefunkční řídící servery nebo se pokouší dále šířit do internetu. 


Petya attacks


Z dat bychom mohli usuzovat, že se pohybujeme blízko vrcholu útoku Petya a jeho největší současná vlna (až do další modifikace) odezní. To ale neznamená, že nezabezpečené počítače se nemohou stát terčem útoku. Routery Turris aktivně nefiltrují obsah a  nemohou tedy zabránit infikaci počítače ransomware šířícím se zavlečením emailem či jinak do lokální sítě. Další informace o ochraně před Petya na webu csirt.cz


Majitelé routerů Turris Omnia mohou pomoci zvýšit bezpečnost na internetu a zapnout si sběr dat, díky němuž se o podobném nebezpeční včas dozvíme. Jak na to, je popsáno v dokumentaci Turrisu. Uživatelé modrých Turrisů jsou automaticky součástí takového sběru dat. Za účast v programu sběru dat všem děkujeme.