Snažan virus pogodio je IT sisteme velike banke i metalurške kompanije Evraz
Klon virusa Wanna Cry Petya ransomware koji šifrira sadržaj tvrdog diska, a zatim traži otkupninu za dešifriranje, pogodio je IT sisteme Home Credit BankI metalurško preduzeće Evraz, uključujući i Novokuznjeck.
Zaposleni u Evrazu rekli su dopisniku Prokopyevsk.ru da je rad preduzeća poremećen. Stručnjaci pokušavaju da obnove sistem.
Prema najnovijim podacima Group-IB, uoči virusa već je stradalo više od 80 kompanija i odjela u Rusiji i Ukrajini. Osim toga, danska kompanija Maersk prijavila je kvarove u svojim sistemima.
Konkretno, Rosnjeft i Bashneft, ruski ured, postali su žrtve hakera. U Ukrajini je virus zarazio kompjutere Kabineta ministara, kijevskog metroa, energetskih kompanija i aerodroma Borispil. javlja FAN.
Portal Meduza detaljno opisuje kako virus djeluje, kao i put zaraze. Mi Vam obezbjeđujemo materijal.
Mehanizam rada ransomware-a najdetaljnije je opisan još u aprilu 2016. u blog postu Malwarebytes Labs. Zatim je virus distribuiran kao pismo sa životopisom zaposlenog: klikom na njega otvara se Windows program koji zahteva administratorska prava. Ako se nepažljivi korisnik složio, tada je instalater prepisao područje za pokretanje tvrdog diska i prikazao " plavi ekran smrt": poruka o padu koja od vas traži da ponovo pokrenete računar.
U ovoj fazi, kako pišu istraživači, tvrdi disk još nije šifriran, a podaci se mogu sačuvati - na primjer, ako isključite računar i povežete hard disk na drugi, ali ne i pokrenete sistem sa njega. U ovoj situaciji svi podaci se mogu kopirati.
Nakon ponovnog pokretanja, Petya pokreće program maskiran kao CHKDSK uslužni program. Zapravo, ne provjerava hard disk na greške, već ga šifrira, i, kako su ustanovili istraživači iz Malwarebytes Labsa, ne u potpunosti, već samo djelimično. Krajem marta 2016. godine, Kaspersky Lab je tvrdio da metoda šifriranja koja se koristi u Petya omogućava oporavak svih podataka uz pomoć stručnjaka.
Nakon što je enkripcija završena, računar prikazuje crveni ekran sa porukom "Bili ste žrtva virusa Petya ransomware" i ponudom da platite 300 dolara u bitcoinima. Detaljna uputstva o tome kako kupiti potreban iznos u bitcoinima i kako ga prenijeti nalazila se na stranici u "dark webu".
Sudeći po snimcima ekrana moderne verzije Petya, sada nema web stranice i detaljnih uputa: zaraženi korisnici su pozvani da pišu na navedeni poštanska adresa i u zamjenu za dokaz o prijenosu sredstava, primite kod za dešifriranje tvrdog diska.
Istraživači napominju da dio Petya odgovoran za blokiranje pristupa presreće kontrolu kompjutera u vrlo ranoj fazi pokretanja. Piše ga visoko kvalifikovani programeri.
Od početka 2016. Petya se nekoliko puta promijenila. Postoje verzije sa žutim ekranom s napomenom o otkupnini, a postoje i one u kojima naziv virusa nije naznačen.
Kako tačno funkcionira i distribuira verzija Petya s kojom su se korisnici susreli 27. juna još uvijek nije objavljeno. Sudeći po obimu zaraze, virus je finaliziran i ima složeniji sistem distribucije. Na Githubu se već pojavio link do jednog od bitcoin novčanika koji prikuplja novac sa računara zaraženih virusom. U trenutku pisanja ovog teksta, Meduza je dobila nešto više od 2.300 dolara.
Najlakši način da se zaštitite od Petya i sličnog ransomwarea je da ne kliknete na priloge u sumnjivim e-porukama od ljudi koje ne poznajete.
Izvor u preduzeću prijavio je uredniku da rad glavnih radionica EVRAZ-ZSMK-a je paralizovan zbog problema sa kompjuterima. Tehnološki računari glavnih radionica su zaraženi kompjuterski virus WannaCry.
WannaCry je ransomware virus koji šifrira podatke pohranjene u memoriji računala i zahtijeva novac da ih otključa.
Prema pres-službi Positive Technologies, kompanije specijalizovane za informacionu bezbednost, tokom proteklog meseca hiljade korisnika širom sveta pretrpele su masovni WannaCry ransomware napad širom sveta. Među žrtvama su velike međunarodne kompanije, vladine agencije i, naravno, obični korisnici interneta. Pokrivenost infekcijom je premašila granicu od 200.000 mašina i, po svemu sudeći, nastaviće da raste. Napadi su registrovani u 150 zemalja svijeta, a među žrtvama je i Rusija. Postoje informacije o pokušajima zaraze u nekoliko organizacija - MegaFon, VimpelCom, Sberbank, Ruske željeznice, Ministarstvo zdravlja, Ministarstvo za vanredne situacije i Ministarstvo unutrašnjih poslova. Napad se pokazao toliko velikih da je Microsoft objavio odgovarajuće ažuriranje čak i za Windows XP, čija je podrška obustavljena od 2014. godine. Za širenje WannaCryja koristi se ETERNALBLUE exploit za Windows OS iz Shadow Brokers grupisanog kompleta koji je procurio na mrežu. Vrijedi napomenuti da je ažuriranje koje popravlja ovu ranjivost objavljeno još u martu, odnosno dva mjeseca prije ovog napada. Napadači (usput rečeno, koji su do sada primili oko 90.000 dolara, sudeći po isplatama u bitcoin novčanike) već su uspjeli izbaciti nekoliko modifikacija malvera. Ovo je vjerovatno zbog neke mjere preuranjene registracije switch domene od strane stručnjaka za cyber sigurnost. Ovaj potez usporio je širenje zlonamjernog softvera za nekoliko sati. Mnogi stručnjaci se bore da riješe problem dešifriranja datoteka bez plaćanja "usluga" distributera blokatora. Nekoliko kompanija je već predstavilo analizu principa rada WannaCry-a, koji se distribuira preko SMB-a i potom inficira radne stanice na LAN-u.
Nesigurnost korištenja SMBv1 je poznata već duže vrijeme. Zakrpa za uklanjanje ranjivosti objavljena je prije tri mjeseca. O curenju exploit paketa grupe Shadow Brokers pričalo se bukvalno svuda. Samo osoba koja nikada nije koristila internet nije čula za potrebu korištenja rezervnih kopija. Čini se da u takvim uslovima uopšte ne bi trebalo da bude epidemije, ali avaj. Sve govori o neodgovornom odnosu administratora, stručnjaka za sigurnost i, u određenoj mjeri, nepoznavanja korisnika pitanja sigurnosti informacija. Rezultati istraživanja Positive Technologies potvrđuju rasprostranjen problem korištenja ranjivih verzija softvera u korporativnoj infrastrukturi. Istovremeno, kao što je prikazano WannaCry epidemija, sigurnost sistema ne zavisi od industrije kompanije, što generalno potvrđuje i dostupna analitika. Napadi kroz ranjivosti u zastarjelom softveru u jednako Pogođeni su sistemi industrijskih kompanija, IT, telekomunikacija, finansijskog sektora i državnih institucija.
Moskva, 28. juna - Vesti.Ekonomika. Petya ransomware virus se pokazao moćnijim i opasnijim od nedavno senzacionalnog WannaCryja. Prvo su patile kompanije u Rusiji i Ukrajini, ali virus se već proširio širom planete.
Forbes, pozivajući se na stručnjake za kibernetičku sigurnost, piše da zbog posebnosti distribucije i razlika od već poznatih programa novi virus opasniji od sličnih, pa se još brže širi, a nema "magic knife switch", kao što je bio slučaj sa WannaCryjem.
Istovremeno, WannaCry je napao više od 200 hiljada korisnika u 150 zemalja svijeta, a stručnjaci se još uvijek ne mogu složiti oko procjena štete, ali mi pričamo oko stotina milijardi dolara.
Važno je napomenuti da je napad virusa Petya bio usmjeren na infrastrukturne kompanije: naftne, telekomunikacijske i finansijske kompanije u Rusiji i Ukrajini. U drugim zemljama napadnute su i velike kompanije, uključujući i logističke kompanije.
Rusija
Rosnjeft i BašnjeftRosnjeft je 27. juna najavio "snažan hakerski napad" na svoje servere. Nakon činjenice o cyber napadu, kompanija se obratila agencijama za provođenje zakona.
Prema riječima Mihaila Leontjeva, hakerski napad je mogao dovesti do ozbiljnih posljedica, ali zbog činjenice da je kompanija prešla na rezervni sistem kontrole procesa, ni proizvodnja ni priprema nafte nisu zaustavljeni.
Vedomosti napominju da računari u Bašnjeftu ne rade, a nije otvoren ni sajt Rosnjefta.
Cilj hakera u napadu na servere Rosnjefta mogu biti informacije važne za sudske procese u koje je kompanija uključena, rekao je portparol Rosnjefta Mihail Leontjev.
“Ako pogledate racionalne motive koje bi hakeri mogli imati, onda je, ipak, nemoguće ne primijetiti da bi takav racionalni motiv bio da se “ubiju” Bašnjeftovi kompjuteri, koji sadrže veliki broj informacije o aktivnostima Bašnjefta tokom perioda njegovog vlasništva od strane prethodnih vlasnika“, rekao je Leontjev, a prenosi portal BFM.
Evraz
Hakerskom napadu bio je i informacioni sistem Evraz.
"Evrazov informacioni sistem je napao haker. Glavni proizvodni pogoni i dalje rade, nema prijetnje po sigurnost preduzeća i zaposlenih", saopštila je pres služba.
Mondelez
Problemi zbog hakerskog napada nastali su u ruskoj diviziji Mondelez, koja se posebno bavi proizvodnjom čokolade Alpen Gold i Milka.
Banke
Napadnuti su sistemi Home Credit banke, ali Centralna banka nije isključila da žrtve mogu biti i druge banke.
Ukrajina
Ujutro 27. juna pogođeni su kompjuteri najvećih ukrajinskih energetskih kompanija.Kyivenergo je potvrdio činjenicu poraza virusom, ističući da je osoblje bilo prinuđeno da isključi sve računare.
Zbog niske likvidnosti, napad se nije odrazio na kotacije dionica.
Kasnije je činjenicu napada potvrdila i vlada Ukrajine. Virus je zarazio sisteme Oschadbank, " Nova pošta", aerodrom "Borispolj" i metro u Kijevu.
Drugim zemljama
U Velikoj Britaniji, velika reklamna kompanija WPP patila je od Petye.Uzrok velikog napada na naftne, telekomunikacione i finansijske kompanije u Rusiji i Ukrajini bio je virus za šifrovanje Petya. Napad, koji je počeo danas oko 14 sati, zahvatio je već desetine kompanija. Virus blokira računare i traži 300 dolara u bitcoinima. Širi se po cijelom svijetu i, prema Kaspersky Lab-u, već je zahvatio "ogromni broj zemalja".
Kako je Kommersantu rečeno u Group-IB, kompaniji za prevenciju i istraživanje kibernetičkog kriminala i prevara, Petya cryptolocker distribuira se slično virusu WannaCry. Među žrtvama sajber napada bile su mreže ruskog Bašnjefta, Rosnjefta, ukrajinskog Zaporožjeoblenerga, Dnjeproenerga i Dnjeparskog elektroenergetskog sistema. Takođe u Rusiji napadnuti su Mondelez International, Mars i Nivea. Osim toga, prema Grupi-IB, u Ukrajini su napadnuti vladini kompjuteri, kijevski metro, prodavnice Auchan, telekom operateri (Kyivstar, LifeCell, Ukrtelecom), Privatbank, nuklearna elektrana u Černobilu i, vjerovatno, aerodrom Borispil.
Portparol Rosnjefta Mihail Leontjev rekao je za Komersant da je napad bio veoma moćan i da bi, da proizvodne jedinice nisu odmah prebačene na rezervne sisteme upravljanja, šteta mogla biti značajna. „Kao rezultat toga, sada sva proizvodna sredstva rade normalno i u ovom segmentu nije bilo štete“, naglasio je Mihail Leontjev. Jedan od sagovornika Komersanta u centralnom uredu Rosnjefta kaže da nije primijetio znakove virusa. “Nakon izvještaja o napadu, od nas je zatraženo da isključimo naše kompjutere”, rekao je on. Drugi izvor Kommersanta blizak Rosnjeftu rekao je da su u brojnim podružnicama kompanije, uključujući Uralski federalni okrug, kompjuteri zaposlenih bili blokirani iskačućim prozorima virusa.
Izvor Kommersanta u LUKOIL-u rekao je da sistemi rade normalno. "Zaposleni su upozoreni da ne otvaraju pisma sa nepoznatih adresa i sumnjive priloge", rekao je on.
Predstavnik Evraza je rekao da je napadnut informacioni sistem kompanije, ali da glavni proizvodni pogoni i dalje rade. „Ne postoji opasnost po bezbednost preduzeća i zaposlenih“, rekao je on.
Centralna banka (CB) je takođe otkrila slučajeve zaraze IT sistema ruskih kreditnih institucija kao rezultat hakerskog napada. “Prema podacima Banke Rusije, zabilježeni su izolovani slučajevi zaraze objekata informacione infrastrukture kao rezultat napada. Kršenja sistema banaka i kršenja u pružanju usluga klijentima nisu zabilježena”, navodi se u saopštenju Centralne banke RNS.
Na ruskom Marsu hakerski napad je uticao na rad odjela Royal Canin. Njegov predstavnik je za Komersant rekao da "postoje određene poteškoće u radu IT-a". “Nemamo kompjutere. Stručnjaci istražuju problem”, rekao je on. Mondelez International je potvrdio da su se zaposleni u kompaniji suočili sa tehnološkim problemima koji su uticali ne samo na rusko predstavništvo, već i na evropske filijale. "Na ovog trenutka ne možemo komentarisati detalje situacije i radimo na rješenju problema”, saopćeno je iz pres službe.
Home Credit banka je obustavila korisničku podršku zbog hakerski napad. Iz pres-službe banke saopćeno je da trenutno sve ekspoziture rade po uobičajenom rasporedu, ali da se u konsultativnom režimu transakcije klijenata ne mogu obavljati u ekspoziturama, rade bankomati i call centar. Web stranica banke je nedostupna.
Prema Kaspersky Lab-u, virus Petya ransomware se proširio svijetom. Ovo je izjavio šef međunarodnog istraživačkog tima Kaspersky Lab Kostin Rayu u svom mikroblogu u Twitter . « Petya virus sa kontakt adresom [email protected]širi se po cijelom svijetu, veliki broj zemalja je pogođen“, rekao je on.
Nekoliko evropskih kompanija je već prijavilo sajber napade na svoje računare. Među njima su i britanska reklamna firma WPP, holandska transportna kompanija APM, danska kompanija A.P. Moller-Maersk, kao i jedna od međunarodnih kompanija u Norveškoj. Osim toga, napadnuti su serveri predstavništava međunarodnih kompanija Mondelēz International i DLA Piper u Španiji, a njihovi kompjuterski sistemi su potpuno onemogućeni.
Antivirusna kompanija Dr. Web je sproveo istraživanje sajber napada. Kompanija je saopštila da, uprkos paralelama koje se vode u medijima sa Petya ransomware virus, koji je zahvatio računare brojnih kompanija u Rusiji i Ukrajini, virus se po načinu širenja razlikuje od Petya. Kao i prethodni WannaCry virus, Trojanac se širi sam, ali još uvijek nema tačnih podataka o načinu njegove distribucije i nazivu, Dr. Web.
Sergej Rižikov, generalni direktor 1C-Bitrixa, u emisiji Kommersant FM:“Ne možete napisati antivirusni program koji štiti od apsolutno svih virusa. Izvršena je modifikacija virusa, i on će dobiti prednost za nekoliko dana dok antivirusi ne objave odgovarajuća ažuriranja. Sve je to moguće jer postoji ekonomsku korist: stvaranjem klonova virusa, kriminalci imaju priliku doći do tog novca putem bitcoina. A ako postoji prilika da se primi, a ne bude kažnjen, onda će se ova priča nastaviti iznova. Postoji jedan pouzdan način Nezaraženost je trajno isključena sa interneta, i nema apsolutne garancije, jer će se nešto zaglaviti u ovom računaru - isti fleš diskovi - i to stvara određene rizike.
Julia Silence, Oleg Trutnev, Dmitry Kozlov, Anatoly Dzhumaylo, Olga Mordyushenko
