ضرب فيروس قوي أنظمة تكنولوجيا المعلومات لبنك كبير وشركة المعادن Evraz
ضرب استنساخ لفيروس Wanna Cry Petya ransomware الذي يقوم بتشفير محتويات القرص الصلب ثم يطلب فدية لفك التشفير أنظمة تكنولوجيا المعلومات لبنك الائتمان المنزليو شركة المعادن Evraz ، بما في ذلك في نوفوكوزنتسك.
أخبر موظفو Evraz مراسل Prokopyevsk.ru أن عمل المؤسسة قد تعطل. يحاول الخبراء استعادة النظام.
وفقًا لأحدث بيانات Group-IB ، عشية الفيروس ، عانت بالفعل أكثر من 80 شركة وإدارات في روسيا وأوكرانيا. بالإضافة إلى ذلك ، أبلغت شركة Maersk الدنماركية عن أعطال في أنظمتها.
على وجه الخصوص ، وقع مكتب روسنفت وباشنفت الروسي ضحيتين للمتسللين. في أوكرانيا ، أصاب الفيروس أجهزة كمبيوتر مجلس الوزراء ومترو كييف وشركات الطاقة ومطار بوريسبيل. تقارير FAN.
توضح بوابة Meduza كيفية عمل الفيروس ، بالإضافة إلى طريق العدوى. نحن نقدم لك المواد.
تم وصف آلية عمل برامج الفدية بأكبر قدر من التفاصيل في أبريل 2016 في منشور مدونة بواسطة Malwarebytes Labs. ثم تم توزيع الفيروس كرسالة مع السيرة الذاتية للموظف: النقر فوقه يؤدي إلى فتح برنامج Windows يتطلب حقوق المسؤول. إذا وافق مستخدم غافل ، فسيقوم المثبت بالكتابة فوق منطقة التمهيد لمحرك الأقراص الثابتة وعرض " شاشة زرقاءالموت ": رسالة تعطل تطالبك بإعادة تشغيل جهاز الكمبيوتر.
في هذه المرحلة ، كما كتب الباحثون ، لم يتم تشفير القرص الصلب بعد ، ويمكن حفظ البيانات - على سبيل المثال ، إذا قمت بإيقاف تشغيل الكمبيوتر وتوصيل القرص الصلب بمحرك آخر ، ولكن لم تقم بالتمهيد منه. في هذه الحالة ، يمكن نسخ كافة البيانات.
بعد إعادة التشغيل ، يُطلق Petya برنامجًا يتنكر في شكل الأداة المساعدة CHKDSK. في الواقع ، لا يقوم بفحص القرص الصلب بحثًا عن الأخطاء ، ولكنه يقوم بتشفيره ، وكما أنشأ باحثون من Malwarebytes Labs ، ليس بالكامل ، ولكن جزئيًا فقط. في نهاية مارس 2016 ، ادعت Kaspersky Lab أن طريقة التشفير المستخدمة في Petya تسمح باستعادة جميع البيانات بمساعدة المتخصصين.
بعد اكتمال التشفير ، يعرض الكمبيوتر شاشة حمراء بها رسالة "لقد كنت ضحية لبرمجيات الفدية Petya" وعرضًا لدفع 300 دولار من عملات البيتكوين. تم تضمين تعليمات مفصلة حول كيفية شراء المبلغ المطلوب من عملات البيتكوين وكيفية تحويلها على الموقع في "الويب المظلم".
انطلاقًا من لقطات الشاشة للإصدار الحديث من Petya ، لا يوجد الآن موقع ويب وإرشادات مفصلة: المستخدمون المصابون مدعوون للكتابة إلى الموقع المحدد العنوان البريديومقابل إثبات تحويل الأموال ، احصل على رمز لفك تشفير القرص الصلب.
لاحظ الباحثون أن جزء Petya المسؤول عن منع الوصول يعترض التحكم في الكمبيوتر في مرحلة مبكرة جدًا من التمهيد. هو مكتوب من قبل المبرمجين المؤهلين تأهيلا عاليا.
منذ بداية عام 2016 ، تغير بيتيا عدة مرات. هناك إصدارات بها شاشة صفراء مع ملاحظة فدية ، وهناك إصدارات لا يُذكر فيها اسم الفيروس.
لم يتم حتى الآن الإبلاغ عن كيفية عمل نسخة Petya التي واجهها المستخدمون في 27 يونيو وتوزيعها. إذا حكمنا من خلال حجم العدوى ، فقد تم الانتهاء من الفيروس ولديه نظام توزيع أكثر تعقيدًا. ظهر بالفعل رابط على Github لإحدى محافظ البيتكوين التي تجمع الأموال من أجهزة الكمبيوتر المصابة بالفيروس. حتى كتابة هذه السطور ، تلقى Meduza ما يزيد قليلاً عن 2300 دولار.
أسهل طريقة للحماية من Petya وبرامج الفدية المشابهة هي عدم النقر فوق المرفقات في رسائل البريد الإلكتروني المشبوهة الواردة من أشخاص لا تعرفهم.
المصدر في المؤسسة أبلغ المحرر أنعمل ورش العمل الرئيسية في EVRAZ-ZSMK مشلول بسبب مشاكل في أجهزة الكمبيوتر. أصيبت الحواسيب التكنولوجية الخاصة بالورش الرئيسية فيروس الكمبيوترأريدك.
WannaCry هو أحد فيروسات رانسوم وير يقوم بتشفير البيانات المخزنة في ذاكرة الكمبيوتر ويطلب أموالاً لفتحها.
وفقًا للخدمة الصحفية لشركة Positive Technologies ، وهي شركة متخصصة في أمن المعلومات ، فقد عانى آلاف المستخدمين حول العالم خلال الشهر الماضي من هجوم WannaCry الفدية الضخم في جميع أنحاء العالم. ومن بين الضحايا شركات دولية كبيرة ووكالات حكومية وبالطبع مستخدمو الإنترنت العاديون. تجاوزت تغطية العدوى حاجز 200000 آلة ، ومن الواضح أنها ستستمر في النمو. تم تسجيل هجمات في 150 دولة في العالم ، وروسيا أيضًا من بين الضحايا. توجد معلومات حول محاولات العدوى في العديد من المنظمات - MegaFon و VimpelCom و Sberbank و Russian Railways ووزارة الصحة ووزارة حالات الطوارئ ووزارة الشؤون الداخلية. اتضح أن الهجوم كان واسع النطاق لدرجة أن Microsoft أصدرت تحديثًا مطابقًا حتى لنظام التشغيل Windows XP ، والذي تم تعليق دعمه منذ عام 2014. لنشر WannaCry ، يتم استخدام استغلال ETERNALBLUE لنظام التشغيل Windows من مجموعة مجموعات Shadow Brokers التي تم تسريبها إلى الشبكة. وتجدر الإشارة إلى أن التحديث الذي يعمل على إصلاح هذه الثغرة الأمنية قد تم إصداره مرة أخرى في شهر مارس ، أي قبل شهرين من هذا الهجوم. تمكن المهاجمون (بالمناسبة ، الذين تلقوا حوالي 90 ألف دولار حتى الآن ، بناءً على مدفوعات محافظ البيتكوين) بالفعل من إصدار العديد من التعديلات على البرامج الضارة. ربما يرجع هذا إلى حد ما إلى التسجيل المبكر لمجال التبديل من قبل أخصائي الأمن السيبراني. أدت هذه الخطوة إلى إبطاء انتشار البرامج الضارة لعدة ساعات. يكافح العديد من المتخصصين لحل مشكلة فك تشفير الملفات دون الدفع مقابل "خدمات" موزعي الحجب. قدم عدد من الشركات بالفعل تحليلاً لمبدأ تشغيل WannaCry ، والذي يتم توزيعه عبر SMB ثم يصيب محطات العمل الموجودة على الشبكة المحلية.
يُعرف عدم الأمان من استخدام SMBv1 لفترة طويلة. تم إصدار التصحيح للقضاء على الثغرة الأمنية قبل ثلاثة أشهر. تم الحديث عن تسرب حزمة الاستغلال من قبل مجموعة Shadow Brokers حرفيًا في كل مكان. فقط الشخص الذي لم يستخدم الإنترنت مطلقًا لم يسمع بالحاجة إلى استخدام النسخ الاحتياطية. يبدو أنه في مثل هذه الظروف لا ينبغي أن يكون هناك أي وباء على الإطلاق ، ولكن للأسف. كل شيء يتحدث عن الموقف غير المسؤول للمسؤولين والمتخصصين في الأمن ، وإلى حد ما ، عن جهل المستخدمين بقضايا أمن المعلومات. تؤكد نتائج أبحاث التقنيات الإيجابية المشكلة الواسعة الانتشار المتمثلة في استخدام إصدارات ضعيفة من البرامج في البنية التحتية للشركة. في نفس الوقت ، كما هو مبين وباء WannaCry، لا يعتمد أمان النظام على صناعة الشركة ، وهو ما تؤكده التحليلات المتاحة بشكل عام. الهجمات من خلال نقاط الضعف في البرامج القديمة في بالتساويتتأثر أنظمة الشركات الصناعية وتكنولوجيا المعلومات والاتصالات والقطاع المالي والمؤسسات الحكومية.
موسكو ، 28 يونيو - Vesti.Ekonomika. تبين أن فيروس Petya ransomware أقوى وأكثر خطورة من WannaCry المثير مؤخرًا. أولاً ، عانت الشركات في روسيا وأوكرانيا ، لكن الفيروس انتشر بالفعل في جميع أنحاء الكوكب.
فوربس ، نقلاً عن خبراء الأمن السيبراني ، يكتب ذلك بسبب خصوصيات التوزيع والاختلافات عن البرامج المعروفة بالفعل فيروس جديدأكثر خطورة من الأنواع المماثلة ، لذلك ينتشر بشكل أسرع ، ولا يوجد "مفتاح سكين سحري" ، كما كان الحال مع WannaCry.
في الوقت نفسه ، هاجم WannaCry أكثر من 200 ألف مستخدم في 150 دولة حول العالم ، ولا يزال الخبراء غير قادرين على الاتفاق على تقديرات الأضرار ، ولكن نحن نتكلممئات المليارات من الدولارات.
يشار إلى أن هجوم فيروس بيتيا استهدف شركات البنية التحتية: النفط والاتصالات السلكية واللاسلكية والشركات المالية في روسيا وأوكرانيا. في بلدان أخرى ، تعرضت الشركات الكبيرة ، بما في ذلك شركات الخدمات اللوجستية ، للهجوم أيضًا.
روسيا
روسنفت وباشنفتفي 27 يونيو ، أعلنت شركة Rosneft عن "هجوم قراصنة قوي" على خوادمها. بعد وقوع الهجوم السيبراني ، لجأت الشركة إلى وكالات إنفاذ القانون.
وفقًا لـ Mikhail Leontiev ، كان من الممكن أن يؤدي هجوم القراصنة إلى عواقب وخيمة ، ولكن نظرًا لحقيقة أن الشركة تحولت إلى نظام التحكم في العمليات الاحتياطية ، لم يتم إيقاف الإنتاج أو إعداد الزيت.
يلاحظ فيدوموستي أن أجهزة الكمبيوتر في باشنفت لا تعمل ، ولم يتم فتح موقع روسنفت أيضًا.
قال ميخائيل ليونتيف المتحدث باسم روسنفت إن هدف المتسللين في مهاجمة خوادم روسنفت قد يكون معلومات مهمة للدعاوى القضائية التي تشارك فيها الشركة.
"إذا نظرت إلى الدوافع العقلانية التي يمكن أن يمتلكها المتسللون ، فمن المستحيل ، مع ذلك ، عدم ملاحظة أن مثل هذا الدافع العقلاني سيكون" قتل "أجهزة كمبيوتر باشنفت ، التي تحتوي على عدد كبير منمعلومات عن أنشطة باشنفت خلال فترة ملكيتها من قبل المالكين السابقين ".
إيفراز
كما تعرض نظام معلومات Evraz لهجوم قراصنة.
وقالت الخدمة الصحفية: "لقد تم اختراق نظام معلومات Evraz. تواصل منشآت الإنتاج الرئيسية العمل ، ولا يوجد تهديد لأمن الشركات والموظفين".
مونديليز
نشأت مشاكل بسبب هجوم القراصنة في قسم مونديليز الروسي ، الذي ينتج بشكل خاص شوكولاتة ألبن جولد وميلكا.
البنوك
تعرضت أنظمة بنك الائتمان العقاري للهجوم ، لكن البنك المركزي لم يستبعد أن تكون البنوك الأخرى ضحايا أيضًا.
أوكرانيا
في صباح يوم 27 يونيو ، أصيبت أجهزة الكمبيوتر الخاصة بأكبر شركات الطاقة الأوكرانية.وأكد Kyivenergo حقيقة هزيمة الفيروس ، مشيرا إلى أن الموظفين اضطروا لإغلاق جميع أجهزة الكمبيوتر.
نظرًا لانخفاض السيولة ، لم ينعكس الهجوم في أسعار الأسهم.
في وقت لاحق ، أكدت حكومة أوكرانيا حقيقة الهجوم. أصاب الفيروس أنظمة Oschadbank ". بريد جديد"، مطار" بوريسبول "ومترو الأنفاق في كييف.
بلدان اخرى
في المملكة المتحدة ، عانت شركة الإعلانات الكبيرة WPP من Petya.كان سبب هجوم واسع النطاق على شركات النفط والاتصالات والمالية في روسيا وأوكرانيا هو فيروس تشفير Petya. الهجوم ، الذي بدأ اليوم حوالي الساعة 14:00 ، أثر بالفعل على عشرات الشركات. يحجب الفيروس أجهزة الكمبيوتر ويطلب 300 دولار من عملات البيتكوين. إنه ينتشر في جميع أنحاء العالم ، ووفقًا لـ Kaspersky Lab ، فقد أثر بالفعل على "عدد كبير من البلدان".
كما قيل لـ Kommersant في Group-IB ، وهي شركة مكافحة الجرائم الإلكترونية والاحتيال والتحقيق فيها ، يتم توزيع Petya cryptolocker بشكل مشابه لفيروس WannaCry. ومن بين ضحايا الهجوم السيبراني شبكات Bashneft الروسية ، و Rosneft ، و Zaporozhyeoblenergo الأوكرانية ، و Dneproenergo ، ونظام كهرباء دنيبر. أيضا في روسيا ، تعرضت مونديليز إنترناشيونال ومريخ ونيفيا للهجوم. بالإضافة إلى ذلك ، وفقًا لـ Group-IB ، تعرضت أجهزة الكمبيوتر الحكومية ومترو كييف ومتاجر أوشان ومشغلي الاتصالات (Kyivstar و LifeCell و Ukrtelecom) و Privatbank ومحطة تشيرنوبيل للطاقة النووية ، ومن المفترض ، للهجوم في أوكرانيا.
وقال ميخائيل ليونتيف المتحدث باسم روسنفت لصحيفة كوميرسانت إن الهجوم كان قوياً للغاية وأنه إذا لم يتم نقل وحدات الإنتاج على الفور إلى أنظمة التحكم الاحتياطية ، فقد يكون الضرر كبيرًا. وأكد ميخائيل ليونتييف: "نتيجة لذلك ، تعمل الآن جميع أصول الإنتاج بشكل طبيعي ولم يكن هناك أي ضرر في هذا القطاع". قال أحد محاوري كوميرسانت في المكتب المركزي لشركة روسنفت إنه لم يلاحظ علامات الفيروس. قال: "بعد ورود أنباء عن الهجوم ، طُلب منا إغلاق أجهزة الكمبيوتر الخاصة بنا". قال مصدر آخر من كوميرسانت مقرب من روسنفت إنه في عدد من الشركات التابعة للشركة ، بما في ذلك في مقاطعة الأورال الفيدرالية ، تم حظر أجهزة كمبيوتر الموظفين بواسطة نوافذ فيروسات منبثقة.
وقال مصدر من Kommersant في LUKOIL إن الأنظمة تعمل بشكل طبيعي. وقال: "تم تحذير الموظفين من فتح رسائل من عناوين مجهولة ومرفقات مشبوهة".
قال أحد ممثلي شركة Evraz إن نظام معلومات الشركة تعرض للهجوم ، لكن منشآت الإنتاج الرئيسية تواصل العمل. قال "لا يوجد تهديد لسلامة الشركات والموظفين".
كما كشف البنك المركزي (CB) عن حالات إصابة بأنظمة تكنولوجيا المعلومات لمؤسسات الائتمان الروسية نتيجة هجوم قراصنة. وفقًا لبنك روسيا ، تم تسجيل حالات متفرقة من إصابة مرافق البنية التحتية للمعلومات نتيجة للهجمات. لم يتم تسجيل انتهاكات لأنظمة البنوك وانتهاكات تقديم الخدمات للعملاء ”، ونقل بيان البنك المركزي عن RNS.
في كوكب المريخ الروسي ، أثر هجوم قراصنة على عمل فرقة رويال كانين. وقال ممثله لصحيفة كوميرسانت إن "هناك بعض الصعوبات في عمل تكنولوجيا المعلومات". "ليس لدينا أجهزة كمبيوتر. وقال إن الخبراء يبحثون في المشكلة. أكدت شركة Mondelez International أن موظفي الشركة واجهوا مشاكل تقنية لم تؤثر فقط على مكتب التمثيل الروسي ، ولكن أيضًا في الفروع الأوروبية. "على ال هذه اللحظةوقالت الخدمة الصحفية "لا يمكننا التعليق على تفاصيل الوضع ونعمل على حل المشكلة".
قام بنك التسليف المنزلي بتعليق خدمة العملاء بسبب هجوم القراصنة. أفادت الخدمة الصحفية للبنك أن جميع الفروع تعمل حاليًا وفقًا للجدول الزمني المعتاد ، ولكن في وضع استشاري ، لا يمكن إجراء معاملات العملاء في الفروع ، وتعمل أجهزة الصراف الآلي ومركز الاتصال. الموقع الإلكتروني للبنك غير متوفر.
وفقًا لـ Kaspersky Lab ، انتشر فيروس Petya ransomware في جميع أنحاء العالم. صرح بذلك رئيس فريق البحث الدولي في Kaspersky Lab Kostin Rayu في مدونته الصغيرة تويتر . « فيروس بيتيامع عنوان الاتصال [البريد الإلكتروني محمي]ينتشر في جميع أنحاء العالم ، ويتأثر عدد كبير من البلدان.
أبلغت العديد من الشركات الأوروبية بالفعل عن هجمات إلكترونية على أجهزة الكمبيوتر الخاصة بهم. من بينها شركة الإعلانات البريطانية WPP الهولندية شركة النقل APM ، الشركة الدنماركية A.P. Moller-Maersk وكذلك إحدى الشركات العالمية في النرويج. بالإضافة إلى ذلك ، تعرضت خوادم المكاتب التمثيلية لشركتي Mondelēz International و DLA Piper في إسبانيا للهجوم ، وتم تعطيل أنظمة الكمبيوتر الخاصة بهم تمامًا.
شركة مكافحة الفيروسات د. أجرى الويب دراسة للهجمات الإلكترونية. وقالت الشركة أنه على الرغم من أوجه الشبه التي تحدث في وسائل الإعلام مع فيروس Petya ransomwareالذي أثر على أجهزة كمبيوتر عدد من الشركات في روسيا وأوكرانيا ، يختلف الفيروس في طريقة انتشاره من بيتيا. مثل سابقتها فيروس WannaCryينتشر حصان طروادة من تلقاء نفسه ، لكن لا توجد حتى الآن بيانات دقيقة عن طريقة توزيعه واسمه د. الويب.
سيرجي ريجيكوف ، المدير العام لـ 1C-Bitrix ، على الهواء من Kommersant FM:"لا يمكنك كتابة مضاد فيروسات يحمي من جميع الفيروسات تمامًا. تم إجراء تعديل للفيروس ، وسيبدأ بعض الشيء لبضعة أيام حتى تصدر برامج مكافحة الفيروسات التحديثات المناسبة. كل هذا ممكن لأنه موجود فائدة اقتصادية: من خلال إنشاء نسخ من الفيروسات ، تتاح للمجرمين فرصة الحصول على هذه الأموال من خلال عملة البيتكوين. وإذا كانت هناك فرصة للاستلام وعدم المعاقبة ، فستستمر هذه القصة مرارًا وتكرارًا. هناك واحد طريقة موثوقةيتم قطع اتصال الإنترنت بعدم الإصابة بالعدوى بشكل دائم ، ولا يوجد ضمان مطلق ، لأن شيئًا ما سيعلق في هذا الكمبيوتر - نفس محركات الأقراص المحمولة - وهذا يؤدي إلى مخاطر معينة.
جوليا سايلنس ، أوليج تروتنيف ، وديمتري كوزلوف ، وأناتولي دزومايلو ، وأولغا مورديوشينكو
