Ráno 27. júna zaznamenala spoločnosť Kaspersky Lab vlnu ďalších rozsiahlych ransomvérových útokov, ktoré zasiahli organizácie najmä na Ukrajine, v Rusku a západnej Európe. Ransomvér je vyšetrovaný pod názvom ExPetr (nejde o variant ransomvéru Petya ako naznačovali prvé správy).
Vzhľadom na stále prebiehajúce vyšetrovanie sa nedá ešte hovoriť o konkrétnom rozsahu, systémy Kaspersky Lab však predbežne zachytili okolo 2-tisic útokov.
Útočníci požadujú vo väčšine prípadov výkupné vo výške 300 dolárov v bitcoinoch za sprístupnenie dešifrovacieho kľúča na odblokovanie zašifrovaných súborov. Na rozdiel od prípadu Wannacry je táto technika účinná, pretože útočníci požadovali od obeti zaslanie čísla peňaženiek prostredníctvom emailu na “wowsmith123456@posteo.net”, čím potvrdia transakciu. Zdá sa ale, že memontálne je už tento e-mailový účet zrušený, čo znemožňuje súčasným obetiam dostať sa k dešifrovacím kľúčom.
Včera v neskorých večerných v hodinách obsahovala bitcoinová peňaženka 24 transakcií v hodnote 2.54 BTC, čo je približne 6-tisíc amerických dolárov.
Ransomvér využíva na svoje rozšírenie vlastne nástroje a la Mimikatz. Tie dokážu vytiahnuť potrebné prístupové dáta z procesu lsass.exe. Hneď po tom sú tieto dáta presunuté ďalej cez PsExec nástroje alebo WMIC na distribúciu vo vnútri siete (cez PsExec nástroje alebo WMIC).