Centar za edukaciju-BiH

Predmet:Novi zlonamjerni softver koji zaobilazi sve antiviruse

---

IZVOR: http://www.net.hr

Prijetnja rachunalima diljem svijeta: Novi zlonamjerni softver zaobilazi sve antiviruse
Struchnjaci savjetuju da se odmah provjeri jesu li rachunala azurirana i je li instalirana najnovija verzija BIOS/UEFI softvera
Sigurnosni istrazivachi iz ESET-a nedavno su otkrili novu varijantu zlonamjernog softvera koju su nazvali HybridPetya, a koja predstavlja izuzetno ozbiljnu prijetnju rachunalima diljem svijeta.
Rijech je o sofisticiranom zlonamjernom programu koji kombinira znachajke starih ransomware virusa Petya i NotPetya (za koje se vjeruje da su ih razvili ruski hakeri), ali ide i korak dalje, jer je sposoban ugroziti sam firmware rachunala, tochnije UEFI (Unified Extensible Firmware Interface). UEFI je dio rachunala koji se pokreche prije samog operativnog sustava i zaduzen je za inicijalizaciju hardvera i pokretanje sustava. Napad na ovaj dio rachunala izuzetno je opasna tehnika jer zlonamjerni softver tako dobiva potpunu kontrolu nad uređajem i izuzetno ga je teshko ukloniti.
Posebno je zabrinjavajuche shto HybridPetya uspjeshno zaobilazi mehanizam zashtite Secure Boot, koji bi trebao sprijechiti uchitavanje opasnog rachunalnog koda tijekom pokretanja rachunala. Istrazivachi su otkrili da zlonamjerni softver iskorishtava ranjivost oznachenu s CVE-2024-7344, koja omoguchuje hakerima da iskoriste zlonamjerni softver i da ga operativni sustav prihvati kao legitimnog. Ako uređaj nije azuriran i nema najnovije sigurnosne zakrpe, ovaj napad moze potpuno ugroziti cijelu rachunalnu mrezu vech u ranim fazama pokretanja.
Gubitak pristupa podacima
Nakon shto se instalira na rachunalo, virus HybridPetya ne radi kao tipichni ransomware koji shifrira svaku datoteku zasebno. Umjesto toga, napada glavnu tablicu datoteka (Master File Table), uzrokujuchi da operativni sustav vishe ne pronalazi nijednu datoteku na disku. Na taj nachin korisnik trenutno gubi pristup svim podacima, bez obzira na njihovu velichinu ili broj. Na zaslonu se zatim pojavljuje poruka sa zahtjevom za otkupninom i uputama o nachinu plachanja, ali do sada nije potvrđeno da napadachi zapravo imaju kljuch koji bi se mogao koristiti za otkljuchavanje podataka, shto sugerira da bi se moglo raditi o chistoj destruktivnoj sabotazi, a ne o pravom ransomwareu s profitnim motivom.
Josh jedan ozbiljan problem je shto HybridPetya moze prezivjeti ponovnu instalaciju operativnog sustava. Buduchi da je ushao u UEFI, ne brishe se jednostavnim formatiranjem diska ili ponovnom instalacijom sustava Windows, shto znachi da ostaje prisutan i aktivan chak i nakon potpune ponovne instalacije sustava. To ga chini gotovo nevidljivim za vechinu antivirusnih programa, jer oni obichno ne provjeravaju UEFI zonu.
Struchnjaci savjetuju korisnicima i administratorima da odmah provjere jesu li im rachunala azurirana i je li instalirana najnovija verzija BIOS/UEFI softvera. Također, vazno je ukljuchiti Secure Boot i redovito primjenjivati sigurnosne zakrpe koje ispravljaju poznate ranjivosti. Preporuchuje se i redovito izrada sigurnosnih kopija svih vaznih podataka na vanjski disk ili u pouzdan oblak, kako bi u sluchaju napada gubici bili minimalni. HybridPetya je pokazatelj da kibernetichke prijetnje postaju dublje i teze ih je otkriti te da zashtita vishe nije samo stvar antivirusa, vech odrzavanja cijelog sustava azurnim od temelja.

---