Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2025:lk006908911 [2026/02/03 12:03]
Lucija Klanjac [Istaknute žrtve napada] 		racfor_wiki:seminari2025:lk006908911 [2026/02/03 12:27] (trenutno)
Lucija Klanjac [Zaključak]
Redak 21: Redak 21:
   * Pogođene žrtve i sustavi uključivali su: **Kyivenergo** (energetska tvrtka), **Ukrtelecom** (telekom operater) te sustav za nadzor radijacije **Nuklearne elektrane Černobil** .   * Pogođene žrtve i sustavi uključivali su: **Kyivenergo** (energetska tvrtka), **Ukrtelecom** (telekom operater) te sustav za nadzor radijacije **Nuklearne elektrane Černobil** .
   * Na razini sektora prijavljeno je: **4 bolnice** u Kijevu, **6 energetskih tvrtki** (uključujući Kyivenergo), **2 zračne luke**, **više od dvadeset i dvije banke** te **gotovo sve državne agencije**.   * Na razini sektora prijavljeno je: **4 bolnice** u Kijevu, **6 energetskih tvrtki** (uključujući Kyivenergo), **2 zračne luke**, **više od dvadeset i dvije banke** te **gotovo sve državne agencije**.
-  * Procjenjuje se da je kompromitirano oko 10 % računala u cijeloj zemlji.+  * Procjenjuje se da je** kompromitirano oko 10 % računala u cijeloj zemlji**.
  
 **Ostatak svijeta: [2]** **Ostatak svijeta: [2]**
Redak 29: Redak 29:
   * **FedEx** (kurirska logistika) je prijavio veliku štetu, uključujući učinak na svoju dansku podružnicu.   * **FedEx** (kurirska logistika) je prijavio veliku štetu, uključujući učinak na svoju dansku podružnicu.
   * **Saint-Gobain** (građevinski materijali) je procijenio snažan negativan financijski utjecaj napada.   * **Saint-Gobain** (građevinski materijali) je procijenio snažan negativan financijski utjecaj napada.
-  * Prema procjenama Bijele kuće, ukupna šteta napada bila je na razini više milijardi dolara.+  * Prema procjenama Bijele kuće, ukupna šteta napada bila je na razini **više milijardi dolara**.
  
 ===== Tko je odgovoran? ===== ===== Tko je odgovoran? =====
Redak 52: Redak 52:
  
  
-Nakon napada na elektroenergetsku mrežu 2015. i 2016., jedno od ključnih pitanja bilo je tko stoji iza njih. **Ukrajina je brzo optužila Rusiju** (odnosno ruske sigurnosne službe), ali bez javno priloženih konkretnih dokaza, a kasnije je istu stranu optužila i za napad NotPetyom. S vremenom su se tim optužbama pridružile i vlade Ujedinjenog Kraljevstva i SAD-a. ESET je u listopadu 2018. objavio poveznice između napada na ukrajinski energetski sektor i napada NotPetya te naveo indikacije da iza njih stoji ista grupa, poznata kao  [[https://lumu.io/resources/threat-glossary/sandworm-team/|Sandworm / TeleBots]], koja se dovodi u vezu i s drugim napadima na organizacije u Ukrajini. [2]+Nakon napada na elektroenergetsku mrežu 2015. i 2016., jedno od ključnih pitanja bilo je tko stoji iza njih. **Ukrajina je brzo optužila Rusiju** (odnosno ruske sigurnosne službe), ali bez javno priloženih konkretnih dokaza, a kasnije je istu stranu optužila i za napad NotPetyom. S vremenom su se tim optužbama pridružile i vlade Ujedinjenog Kraljevstva i SAD-a. **ESET je u listopadu 2018. objavio poveznice između napada na ukrajinski energetski sektor i napada NotPetya** te naveo indikacije da iza njih stoji ista grupa, poznata kao  [[https://lumu.io/resources/threat-glossary/sandworm-team/|Sandworm / TeleBots]], koja se dovodi u vezu i s drugim napadima na organizacije u Ukrajini. [2]
 Na //slici 2// vizualno su prikazane poveznice između napada na ukrajinsku elektroenergetsku mrežu i napada NotPetyom. Na //slici 2// vizualno su prikazane poveznice između napada na ukrajinsku elektroenergetsku mrežu i napada NotPetyom.
  
 {{ :racfor_wiki:seminari2025:poveznice.png?nolink&600 |}} {{ :racfor_wiki:seminari2025:poveznice.png?nolink&600 |}}
-Slika 2 Poveznice između napada na ukrajinsku elektroenergetsku mrežu i napada NotPetyom [2]+  Slika 2 Poveznice između napada na ukrajinsku elektroenergetsku mrežu i napada NotPetyom [2]
  
  
 ===== Sličnosti s prethodnim ransomwareima ===== ===== Sličnosti s prethodnim ransomwareima =====
-Sličnosti s prethodnim ransomwareima vidljive su već kod same Petye. **Petya** je varijanta ransomwarea prvi put zabilježena 2016. godine. Kao i drugi ransomware, šifrira datoteke i podatke na računalu žrtve te od korisnika traži uplatu u Bitcoinu kako bi (navodno) omogućio dešifriranje. Međutim, za razliku od starijih varijanti koje šifriraju samo pojedine „važne” datoteke, Petya zaključava cijeli tvrdi disk. To postiže šifriranjem Master File Tablea (MFT), čime pristup datotekama na disku postaje nemoguć. Primijećeno je da cilja isključivo Windows računala, a najčešće se širi putem privitaka u elektroničkoj pošti. Napadači su se pritom često predstavljali kao kandidati za posao i slali lažne prijave HR odjelima, dok su priloženi PDF-ovi sadržavali zaraženu Dropbox poveznicu ili su bili izvršne datoteke (npr. .exe) prerušene u dokument.+Sličnosti s prethodnim ransomwareima vidljive su već kod same Petye. **Petya** je varijanta ransomwarea prvi put zabilježena 2016. godine. Kao i drugi ransomware, šifrira datoteke i podatke na računalu žrtve te od korisnika traži uplatu u Bitcoinu kako bi (navodno) omogućio dešifriranje. Međutim, za razliku od starijih varijanti koje šifriraju samo pojedine „važne” datoteke, Petya zaključava cijeli tvrdi disk. To postiže šifriranjem Master File Tablea (MFT), čime pristup datotekama na disku postaje nemoguć. Primijećeno je da cilja isključivo Windows računala, a najčešće se širi putem privitaka u elektroničkoj pošti. Napadači su se pritom često predstavljali kao kandidati za posao i slali lažne prijave HR odjelima, dok su priloženi PDF-ovi sadržavali zaraženu Dropbox poveznicu ili su bili izvršne datoteke (npr. .exe) prerušene u dokument. [3]
  
 Kada se 2017. pojavio napad NotPetya, Kaspersky mu je dodijelio takvo ime zbog izraženih sličnosti s Petyom. [5] I **napad NotPetya je utjecao na cijeli disk**, ali je **uz šifriranje MFT-a šifrirao i velik broj datoteka**. Posebno je bio opasan zbog načina širenja: **širio se naglo i iznimno brzo**, zahvaćajući čitave mreže korištenjem različitih exploita ranjivosti, krađom vjerodajnica (credential theft) te metodama lateralnog širenja unutar mreže. Kada se 2017. pojavio napad NotPetya, Kaspersky mu je dodijelio takvo ime zbog izraženih sličnosti s Petyom. [5] I **napad NotPetya je utjecao na cijeli disk**, ali je **uz šifriranje MFT-a šifrirao i velik broj datoteka**. Posebno je bio opasan zbog načina širenja: **širio se naglo i iznimno brzo**, zahvaćajući čitave mreže korištenjem različitih exploita ranjivosti, krađom vjerodajnica (credential theft) te metodama lateralnog širenja unutar mreže.
  
-Napad NotPetya se često uspoređuje i s napadom [[https://www.kaspersky.com/resource-center/threats/ransomware-wannacry|WannaCry]] , ponajviše zato što je koristio istu ranjivost **EternalBlue** (CVE-2017-0144) koja je iskorištena i u globalnom WannaCry napadu ranije 2017. godine. Upravo je to omogućilo širenje kroz mrežu bez potrebe za interakcijom korisnika, za razliku od Petye kod koje je infekcija tipično započinjala otvaranjem zlonamjernog privitka. Iako je Microsoft izdao **zakrpu za EternalBlue** i upute za zaštitu [[https://www.microsoft.com/en-us/msrc/blog/2017/05/customer-guidance-for-wannacrypt-attacks|upute za zaštitu]], velik broj organizacija je nije pravovremeno instalirao, što je značajno doprinijelo razmjeru širenja napada. +Napad NotPetya se često uspoređuje i s napadom [[https://www.kaspersky.com/resource-center/threats/ransomware-wannacry|WannaCry]] , ponajviše zato što je koristio istu ranjivost **EternalBlue** (CVE-2017-0144) koja je iskorištena i u globalnom WannaCry napadu ranije 2017. godine. Upravo je to omogućilo širenje kroz mrežu bez potrebe za interakcijom korisnika, za razliku od Petye kod koje je infekcija tipično započinjala otvaranjem zlonamjernog privitka. Iako je Microsoft izdao **zakrpu za EternalBlue** i  [[https://www.microsoft.com/en-us/msrc/blog/2017/05/customer-guidance-for-wannacrypt-attacks|upute za zaštitu]], velik broj organizacija je nije pravovremeno instalirao, što je značajno doprinijelo razmjeru širenja napada. 
  
 Za razliku od većine ransomware napada, koji privremeno ograniče pristup datotekama u zamjenu za otkupninu, napad NotPetya u praksi je bio izrazito **destruktivan**. **Često nije postojao realan način da se šteta poništi, pa je oporavak sustava i podataka bio vrlo težak ili nemoguć.** Za razliku od većine ransomware napada, koji privremeno ograniče pristup datotekama u zamjenu za otkupninu, napad NotPetya u praksi je bio izrazito **destruktivan**. **Često nije postojao realan način da se šteta poništi, pa je oporavak sustava i podataka bio vrlo težak ili nemoguć.**
  
 Naziv, poruka o otkupnini na ekranu i sličan „kriptoviralni” profil činili su napad NotPetya naizgled ransomwareom, no ta je taktika vjerojatno služila za prikrivanje stvarne namjere napadača. Poruka je prikazivala lažnu (nefunkcionalnu) bitcoin adresu, pa žrtve u praksi nisu imale smislen način plaćanja otkupnine, odnosno **napad NotPetya nije imao financijsku dobit kao primarni cilj**. Naziv, poruka o otkupnini na ekranu i sličan „kriptoviralni” profil činili su napad NotPetya naizgled ransomwareom, no ta je taktika vjerojatno služila za prikrivanje stvarne namjere napadača. Poruka je prikazivala lažnu (nefunkcionalnu) bitcoin adresu, pa žrtve u praksi nisu imale smislen način plaćanja otkupnine, odnosno **napad NotPetya nije imao financijsku dobit kao primarni cilj**.
- + Pravi ransomware napadači u pravilu pokušavaju motivirati žrtvu na plaćanje kako bi dobila podatke natrag, pa im je primarni motiv novac, a ne trajno oštećenje sustava. Kako je napad kasnije potencijalno povezan s ruskom skupinom, **zaključuje se da je napad NotPetya vjerojatno imao i političku motivaciju**. [3]
-Pravi ransomware napadači u pravilu pokušavaju motivirati žrtvu na plaćanje kako bi dobila podatke natrag, pa im je primarni motiv novac, a ne trajno oštećenje sustava. +
- +
-Kako je napad kasnije potencijalno povezan s ruskom skupinom, **zaključuje se da je napad NotPetya vjerojatno imao i političku motivaciju**. [3]+
  
 ===== Početak zaraze ===== ===== Početak zaraze =====
Redak 99: Redak 96:
  
 Objašnjenje slike: Objašnjenje slike:
-Crveno su poruke koje šalje klijent → poslužitelj (zaraženo računalo prema serveru). +  * Crveno su poruke koje šalje klijent → poslužitelj (zaraženo računalo prema serveru). 
-Plavo su poruke koje šalje poslužitelj → klijent.+  Plavo su poruke koje šalje poslužitelj → klijent. 
 Ključna stvar je da komunikacija ide prema upd.me-doc.com.ua (izgleda kao legitiman update server), a prikupljeni podaci se skrivaju u HTTP Cookie zaglavlju. Ključna stvar je da komunikacija ide prema upd.me-doc.com.ua (izgleda kao legitiman update server), a prikupljeni podaci se skrivaju u HTTP Cookie zaglavlju.
  
Redak 160: Redak 158:
 Napad NotPetya se za širenje često oslanja na krađu pristupnih podataka. To radi na nekoliko načina: Napad NotPetya se za širenje često oslanja na krađu pristupnih podataka. To radi na nekoliko načina:
   *  **čita LSASS memoriju** (kao alat Mimikatz) i pokušava izvući spremljena korisnička imena i lozinke,   *  **čita LSASS memoriju** (kao alat Mimikatz) i pokušava izvući spremljena korisnička imena i lozinke,
-  *  uzima vjerodajnice iz Credential Managera (mjesta gdje Windows može čuvati spremljene prijave),+  *  **uzima vjerodajnice iz Credential Managera** (mjesta gdje Windows može čuvati spremljene prijave),
   *  **krade ili kopira access tokene iz drugih procesa**, kako bi se mogao **predstavljati kao drugi korisnik** (npr. administrator) i dobiti pristup bez ponovnog upisivanja lozinke.   *  **krade ili kopira access tokene iz drugih procesa**, kako bi se mogao **predstavljati kao drugi korisnik** (npr. administrator) i dobiti pristup bez ponovnog upisivanja lozinke.
  
Redak 179: Redak 177:
 [3] [3]
  
- Osim toga, mijenja i kôd na početku diska, u **MBR-u** (Master Boot Record). MBR se izvršava prije pokretanja operacijskog sustava, a napad NotPetya ga prepravlja tako da se pri sljedećem paljenju računala pokrene njegov kôd, koji zatim šifrira ključne strukture datotečnog sustava (MFT – Master File Table) i prikaže ucjenjivačku poruku. Zbog toga korisnici često primijete da se **računalo ubrzo nakon zaraze samo ponovno pokrene, a nakon restarta ih dočeka zaslon prikazan na //slici 6// na kojemu piše da je sustav u procesu „popravka diska”**, ali se u pozadini zapravo odvija šifriranje podataka. Kad postupak završi, pojavljuje se **ucjenjivačka poruka** prikazana na //slici 7//. Ovakav pristup (izmjena MBR-a i „zaključavanje” diska) neuobičajen je, ali nije potpuno nov — slična tehnika viđena je i kod ransomwarea Petya.+ Osim toga, mijenja i kôd na početku diska, u **MBR-u** (Master Boot Record). MBR se izvršava prije pokretanja operacijskog sustava, a napad NotPetya ga prepravlja tako da se pri sljedećem paljenju računala pokrene njegov kôd, koji zatim šifrira ključne strukture datotečnog sustava (MFT – Master File Table) i prikaže ucjenjivačku poruku. Zbog toga korisnici često primijete da se **računalo ubrzo nakon zaraze samo ponovno pokrene**, a nakon restarta ih dočeka zaslon prikazan na //slici 6// na kojemu piše da je **sustav u procesu „popravka diska”**, ali se u pozadini zapravo odvija šifriranje podataka. Kad postupak završi, pojavljuje se **ucjenjivačka poruka** prikazana na //slici 7//. Ovakav pristup (izmjena MBR-a i „zaključavanje” diska) neuobičajen je, ali nije potpuno nov jer je slična tehnika viđena i kod ransomwarea Petya.
  
 {{ :racfor_wiki:seminari2025:popravak_diska.png?nolink&600 | Slika 6 Lažna poruka o popravku diska}} {{ :racfor_wiki:seminari2025:popravak_diska.png?nolink&600 | Slika 6 Lažna poruka o popravku diska}}
Redak 193: Redak 191:
 ===== Zaštita ===== ===== Zaštita =====
  
-Napad NotPetya kombinira brzo širenje mrežom i destruktivno djelovanje, pa zaštita uključuje mjere za sprječavanje zaraze i ograničavanje širenja. 
  
 ==== Prevencija zaraze ==== ==== Prevencija zaraze ====
Redak 227: Redak 224:
  
  
-===== Zaključak =====+
 ===== Zaključak ===== ===== Zaključak =====
  
racfor_wiki/seminari2025/lk006908911.1770120223.txt.gz · Zadnja izmjena: 2026/02/03 12:03 od Lucija Klanjac
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0