Tak samo jak za poprzednim razem, tj. podczas ataku WannaCry, teraz także wirus wykorzystuje luki w protokole SMB. To jest najbardziej oczywiste podobieństwo do WannaCry. Godzinę temu podejrzewano, że to Petya. Jednak pojawiły się już pierwsze sygnały, że jest to jednak zupełnie inny rodzaj oprogramowania ransomware (szyfrującego dane).- dodaje Syta. Złośliwy kod - na co wskazuje ekspert Exatela - rozprzestrzenia się poprzez załączniki, które są w poczcie elektronicznej. - Aby doszło do zakażenia ktoś musi otworzyć załącznik, np. dokument Word. Ale to nie jedyny sposób komunikacji. Po tym jak dostanie się do firmy i znajdzie w obrębie wewnętrznej sieci, wykorzystując windowsowe mechanizmy WMI, przemieszcza się dalej - tłumaczy Syta. Głównie to jest powodem tego, że skala infekcji jest tak szeroka. Co się dzieje po tym, jak już załącznik zostanie otwarty a złośliwy kod aktywowany? - Zaczyna on szyfrować dane. Przestępcy zaś żądają okupu. Stawka wynosi w tym momencie 300 dolarów. Z obserwacji wynika, że ludzie już zaczęli płacić. Około 10 tys. dolarów przelano przestępcom. Więcej już jednak nie będzie, bo portfel bitcoin wygląda na zablokowany. Ofiary najprawdopodobniej bezpowrotnie utraciły swoje dane - mówi Interii Syta. - To co mogę potwierdzić: Polska nie jest zieloną wyspą. WannaCry szczęśliwie ominął nasz kraj. Zanotowaliśmy pojedyncze przypadki. Tym razem również w Polsce ataki są obserwowane. Jest to sygnał ostrzegawczy, że czas najwyższy coś konkretnego w zakresie bezpieczeństwa zrobić - dodaje ekspert Exatela. Najpierw kradzione są hasła Co jednak szczególnie ważne - to nie tylko ransomware (kod szyfrujący dane). - Wszyscy skupiają się tylko na tym. Nam udało się ustalić, że zanim dojdzie do zaszyfrowania danych, najpierw są kradzione hasła - w rozmowie z Interią ostrzega Syta. Podobnie jak przy WannaCry cały świat jest w zasięgu ataku. - Wygląda na to, że celem była Ukraina, ale byłbym ostrożny z kategorycznymi twierdzeniami, kto za tym stoi. Poza Ukrainą kod rozprzestrzenia się w innych miejscach na całym świecie. Wiadomo, że Rosnieft (rosyjski państwowy koncern działający w branży petrochemicznej) został zaatakowany. Najnowsze ostrzeżenia wskazują na atak w elektrownię jądrową w Czarnobylu, która przeszła na sterowanie ręczne. To nie są żarty. Zagrożenie - czy mówimy o biurach, firmach, prywatnych użytkownikach czy systemach automatyki przemysłowej, jest realne - konstatuje Syta. Rozmawiał Bartosz Bednarz