SECURITATEA CIBERNETICĂ ȘI RISCURI ÎN

DOMENIUL MARITIM

ATACUL PETYA/NOTPETYA

Student: Lăzărescu Andrei

Grupa IMOTNM 61
 1. Generalități

Până în 2010, majoritatea atacurilor cibernetice au fost determinate de încercarea de a

obține date personale sau sensibile din punct de vedere financiar. Astăzi, natura amenințărilor
se schimbă și firmele de afaceri din toate sectoarele au început să sufere atacuri extrem de
sofisticate și complexe, care încearcă să producă pagube materiale și operațiuni prin
încercarea de a prelua controlul asupra sistemelor. Economia europeană este dependentă în
mod critic de deplasarea maritimă a încărcăturii și a containerelor. Ca o consecință, este
dependentă de sistemele software care controlează operațiunile lor.
Ca răspuns la creșterea amenințărilor cibernetice, BIMCO alături de alte organizații
internaționale de transport maritim precum: INTERCARGO, INTERTANKO, CSA, CLIA;
au dezvoltat aceste recomandări, cu scopul de a ajuta companiile să pună în aplicare
procedurile și acțiunile necesare pentru a menține securitatea sistemelor informatice de la
bordul navelor.
Scopul acestor linii directoare:
Înțelegerea amenințărilor cibernetice (tipuri și etape)
Determinarea vulnerabilităților pentru tehnologia informațională și tehnologia operațională
Evaluarea riscurilor
Cybersecurity: controale tehnice și operaționale
Planificarea pentru situații neprevăzute (de răspuns, de recuperare, de investigare)
Manualele SMM si SSP ar trebui să includă documente care să facă trimiteri la politicile de
securitate cibernetică maritimă, precum:
Măsurile de securitate preventive desfășurate pe navă și pe uscat pentru a diminua riscurile
în sistemele IT la un nivel acceptabil.
Politica accesului la internet care indică restricțiile aplicabile în funcție de operațiunile
efectuate pe navă
Politici pentru utilizarea cd-urilor,stick-urilor usb,dvd-urilor
Politica și procedurile pentru actualizarea și întreținerea sistemelor informatice și de
navigație.
Proceduri de gestionare a incidentelor cibernetice: detectare, raportare, evaluare și decizie,
recuperare
Formarea ofițerilor, inginerilor și a echipajului cu privire la riscurile securității cibernetice
Amenințările și vulnerabilitățile cibernetice pot include exploatarea înregistrărilor
bancare, accesarea software-ului logistic precum și preluarea controlului comenzilor de
navigație și ale motoarelor navelor. Marinarii de astăzi se bazează foarte mult pe rețelele,
sistemele și sursele externe pentru navigare. Multe amenințări cibernetice semnificative sunt
rezultatul unor vulnerabilități în echipamentele utilizate de către industria maritimă din
întreaga lume.
Echipamentele vulnerabile la atacurile cibernetice includ sistemele de navigație, iar
acest subcapitol examinează patru dintre aceste sisteme critice: sistemul de identificare
automată (Automatic Identification System - AIS), sistemul de poziționare globală (Global
Positioning System - GPS), și sistemul de afișare a hărților electronice (Electronic Chart
Display Information System - ECDIS) și orice alt echipament conectat la internet sau în rețea.
Motivele atacatorilor din sectorul maritim nu sunt diferite față de alte sectoare. Anumite
atacuri sunt motivate de câștigul financiar, văzut din diferite unghiuri. Unii au ca scop furtul
de bani direct de la companiile vizate, altele vizează mărfurile de contrabandă.
naționale.
 2. Consecințe ale unui atac cibernetic

Consecințele întreruperii operațiunilor unui port datorită unui atac cibernetic asupra
sectorului de producție. Multe industrii din cadrul sectorului de producție se bazează pe
lanțurile de aprovizionare “just-in-time”, care ar putea fi perturbate în cazul în care importul
de materiale necesare pentru producție ar fi întârziată de o întrerupere a operațiunilor
portuare. În funcție de durata întreruperilor portuare, companiile din sectorul de producție ar
putea fi nevoite să reducă sau să oprească producția anumitor produse până când operațiunile
portuare revin la normal sau se aplică o altă metodă de import care să nu includă porturile
afectate.
O întrerupere a lanțului de aprovizionare pentru importul produselor chimice ar putea
duce la o creștere temporară a prețurilor interne pentru produsele chimice afectate. În cazul în
care unul sau mai multe porturi sunt închise sau se reduc în mod semnificativ operațiunile
timp de câteva zile sau săptămâni, companiile atât din interiorul cât și în afara sectorului
chimic s-ar putea confrunta cu o penurie de anumite substanțe chimice care împiedică
producția unor chimicale sau a altor bunuri.

3. Cazul Petya/NotPetya

Companii din întreaga lume estimează pierderi mai mari de un miliard de dolari din cauza
atacului cibernetic din 2017 al virusului NotPetya (o variantă a ransomware-ului Petya). Mai
multe companii din industria de logistică vorbesc chiar despre pierderi de sute de milioane de
dolari. Din cauza NotPetya, a avut de suferit chiar și gigantul A.P. Møller-Mærsk A/S, unul
dintre cei mai mari operatori de containere din Europa, care pentru 48 de ore a trebuit să
execute toate operațiunile manual. Terminalele de containere APM din întreaga lume nu au
putut efectua operații de încărcare-descărcare nave sau în cel mai bun caz, aceste operațiuni s-
au efectuat manual. La doar două zile după atac, acesta a fost capabil să reia preluarea de
comenzi din partea clienților și manipularea marfurilor în porturi, însă a fost suficient pentru
ca pierderile să fie uriașe. „La finalul celui de-al doilea trimestru al anului trecut (2017)
virusul a afectat operațiunile Maersk Line, APM Terminals și Damco” declară CEO-ul
companiei, Soren Skou pentru cnbc.com, la scurt timp după atac, menționând că pierderile s-
au situat între 200 și 300 milioane de dolari.

Figura 1 – Manipularea containerelor

 NotPetya a lovit companiile de curierat dar și pe producători. Situația este similară și
pentru grupul de curierat FedEx. Veniturile companiei au scăzut cu 300 de milioane de dolari,
iar filiala sa TNT Express a fost forțată să-și suspende temporar operațiunile, menționează
cnn.com.
Gerard Morrison, directorul general Maersk Australia și Noua Zeelandă, a declarat astăzi
(n.r data atacului) că telefoanele și sistemele de e-mail ale unității sale au fost închise în mod
intenționat de către companie pentru a opri răspândirea virusului malware. Morrison a
declarat că personalul din Noua Zeelandă al Maersk a continuat operațiunile manual, folosind
foile de calcul Microsoft Excel și informații scrise în tabele pentru a informa porturile
Auckland și Tauranga ce să facă cu încărcătura care trebuia descărcată de pe navele sale.
Portul Auckland a dezvăluit că primea manual informații despre mărfurile importate de la
Maersk printr-un cont Gmail. Între timp, în India, Terminalul de Container Visakha a început
să manipuleze încărcăturile navelor Maersk Line manual în urma atacului Petya.
Principalul hub indian al APM Terminals a fost, de asemenea, puternic lovit de atacul
cibernetic.
Presa menționează că pierderile globale din cauza NotPetya pot ajunge la un total de peste
1,2 miliarde USD. Nu e, deci, de mirare ca atacul cibernetic care a avut loc în luna iunie a
anului 2017 a fost considerat cel mai costisitor din istorie. Inițial, au fost afectate computerele
instituțiilor guvernamentale și financiare din Ucraina, dar NotPetya sa răspândit rapid și în
Occident, inclusiv Germania, Polonia, Statele Unite și Marea Britanie.

3.1 Ce este Ransomware

Ransomware este un malware care este proiectat pentru a cripta fișiere pe un sistem
informatic și apoi cere o răscumpărare, de obicei, sub formă de plăți digitale, cum ar fi Bitcoin
pentru a decripta fișierele. În cazul în care valoarea de răscumpărare nu este plătită, toate
fișierele de pe computer, care nu au fost salvate vor fi pierdute pentru totdeauna.

3.2 Cum funcționează Petya Ransomware Work

Petya ransomware se răspândește folosind EternalBlue, care este o vulnerabilitate în

prezent în sistemul de operare Windows. Mai mult decât atât, face, utilizarea a două
instrumente administrative Windows diferite, pentru propagarea acestuia. Petya încearcă să
infecteze sistemul folosind vulnerabilitatea în primul rând, iar în cazul în care eșuează în
această încercare atacă instrumentele administrative în loc. Această metodă dublă de
propagare face Petya un ransomware mai formidabil decât alte ransomware ce au ieșit la
suprafață din întreaga lume recent. După ce a infectat un computer, malware-ul încearcă să se
răspândească prin alte computere care sunt în aceeași rețea.
La infectarea unui sistem, Petya-l repornește imediat și începe criptarea fișierelor care sunt
prezente pe el. În cazul în care malware-ul nu este oprit, se blochează complet sistemul și face
toate fișierele inaccesibile. Odată ce acest proces este finalizat, o notă de răscumpărare apare
pe ecranul utilizatorilor cerându-le să depună o sumă de 300 $ sub formă de plăți Bitcoin.
Există o adresă de plată Bitcoin furnizată victimelor în care trebuie să depună suma de
răscumpărare. O adresă de e-mail este, de asemenea, cu condiția să comunice cu autorii
atacului, care urmează să fie utilizat pentru livrarea cheii digitale pentru deblocarea fișierele
criptate de pe sistemul infectat după ce suma de răscumpărare a fost plătită.
 Figura 2 – Mesajul generat de NotPetya pe Desktop-ul computerului infectat

3.3 Cum poate fi oprit

Petya poate fi oprit prin descărcarea unui patch lansat de Microsoft, care protejează
calculatoarele din vulnerabilitatea EternalBlue. Acest patch este descărcat automat și instalat
pe computere care utilizează o versiune înregistrată a Windows și au opțiunea de actualizări
automate activată pe ele. Pentru computerele care utilizează o versiune neînregistrată, cu toate
acestea, instalarea acestui patch necesită descărcarea de pe site-ul Web Microsoft și apoi
instalarea manuală. Mai mult decât atât, programe anti-virus, cum ar fi Symantec și
Kaspersky au fost actualizate cu privire la acest malware pentru a proteja fișierele. Astfel,
instalarea unei versiuni actualizate a acestor programe anti-virus vă poate ajuta, de asemenea,
în oprirea infectarii computerului.
În plus față de patch-uri și actualizări ale antivirușilor pentru Windows, o altă măsură
de apărare, care a fost identificată pentru această versiune specială a Petya este prezența unui
fișier read-only cu numele de C: \ Windows \ perfc.dat în sistemul informatic. Dacă acest
fișier este prezent pe computer, Petya nu va fi capabil de a cripta fișierele de pe sistemul
dumneavoastră. Cu toate acestea, nu ține cont de existența acestui fișier nu se va opri din
raspandirea malware-ului la alte calculatoare care împart aceeași rețea atunci când computerul
este pornit.

3.4 Ce trebuie să faceți dacă sunteți afectat de Ransomware

Prima acțiune ar trebui să fie oprirea imediată a computerului. Petya începe procesul de
criptare după repornirea sistemului sub masca unei proceduri chkdsk. Deci, dacă vedeți o
operațiune chkdsk care rulează pe PC după o repornire, imediat trebuie oprit pentru a opri
procesul de criptare.
În cazul în care ransomware-ul afișează biletul de răscumpărare după repornire, ar trebui ,
în nici un caz să vă gîndiți la plata sumei de răscumpărare. Motivul pentru aceasta este faptul
că adresa de e - mail care a fost furnizată care ar trebui să vă trimită cheia digitală pentru
deblocarea fișierelor a fost suspendată. Deci, nu veți intra în posesia codului pentru a decripta
fișierele. Singurul lucru rămas este de a opri răspândirea ransomware la alte computere din
rețea. Puteți face acest lucru prin deconectarea PC - ul de la internet și reinstalarea tuturor
fișierelor de rezervă după reformatarea hard disk-ului.

3.5 Cum se pot recupera fișierele

După atacul Petya, repornirea sistemului poate obține fișierele înapoi. Cu toate acestea, nu
prezintă o garanție. Există șansa ca la repornirea computerul să nu va puteți recupera fișierele
și vor fi în continuare criptate de malware. Singura cale pentru tine de a recupera fișierele
înapoi este de a face uz de un instrument de recuperare de date. Software - ul de recuperare
poate scana computerul pentru orice fișier șters sau criptat și vă poate ajuta în recuperarea lor.
Cu toate acestea, trebuie ținut cont de faptul că nu toate programele software de recuperare de
date sunt capabile să recupereze fișiere pierdute. Ar trebui doar să utilizeze un instrument
veritabil și autentic de recuperare pentru acest scop , spre exemplu, Recoverit .
Un atac cibernetic Petya este un ransomware care infectează sistemele informatice care
rulează sistemul de operare Windows prin vulnerabilitatea EternalBlue. Se criptează fișierele
prezente pe sistemele infectate si apoi se extinde la alte calculatoare care împart aceeași rețea.
Acest atac cibernetic a reușit să infecteze multe companii mari din tari precum Ucraina,
Germania, Rusia și Statele Unite ale Americii.