Un puissant virus frappe les systèmes informatiques d'une grande banque et de l'entreprise métallurgique Evraz

Un clone du virus rançongiciel Wanna Cry Petya qui crypte le contenu du disque dur et demande ensuite une rançon pour le décryptage a frappé les systèmes informatiques de Home Credit Banket entreprise métallurgique Evraz, y compris à Novokuznetsk.

Un correspondant de Prokopyevsk.ru a été informé par les employés d'Evraz que le travail de l'entreprise avait été interrompu. Les experts tentent de restaurer le système.

Selon les dernières données du Groupe-IB, à la veille du virus, plus de 80 entreprises et départements en Russie et en Ukraine ont déjà souffert. De plus, la société danoise Maersk a signalé des pannes dans ses systèmes.

En particulier, Rosneft et Bashneft, le bureau russe, ont été victimes de pirates informatiques. En Ukraine, le virus a infecté les ordinateurs du Cabinet des ministres, du métro de Kiev, des compagnies énergétiques et de l'aéroport de Boryspil. Rapports des FAN.

Le portail Meduza détaille le fonctionnement du virus, ainsi que la voie d'infection. Nous mettons à votre disposition du matériel.

Le mécanisme de fonctionnement des rançongiciels a été décrit en détail en avril 2016 dans un article de blog de Malwarebytes Labs. Ensuite, le virus a été distribué sous forme de lettre avec le curriculum vitae d'un employé : cliquer dessus ouvrait un programme Windows qui nécessitait des droits d'administrateur. Si l'utilisateur inattentif a accepté, le programme d'installation a écrasé la zone de démarrage du disque dur et a affiché " écran bleu death": Un message de plantage vous invitant à redémarrer votre ordinateur.

À ce stade, comme l'écrivent les chercheurs, le disque dur n'est pas encore crypté et les données peuvent être sauvegardées - par exemple, si vous éteignez l'ordinateur et connectez le disque dur à un autre, mais ne démarrez pas à partir de celui-ci. Dans cette situation, toutes les données peuvent être copiées.

Après le redémarrage, Petya lance un programme se faisant passer pour l'utilitaire CHKDSK. En fait, il ne vérifie pas les erreurs du disque dur, mais le crypte et, comme l'ont établi les chercheurs de Malwarebytes Labs, pas entièrement, mais seulement partiellement. Fin mars 2016, Kaspersky Lab a affirmé que la méthode de cryptage utilisée dans Petya permet de récupérer toutes les données avec l'aide de spécialistes.

Une fois le cryptage terminé, l'ordinateur affiche un écran rouge avec le message "Vous avez été victime du ransomware Petya" et une offre de payer 300 $ en bitcoins. Des instructions détaillées sur la façon d'acheter le montant requis en bitcoins et de le transférer figuraient sur le site Web dans le "dark web".

À en juger par les captures d'écran de la version moderne de Petya, il n'y a plus de site Web ni d'instructions détaillées : les utilisateurs infectés sont invités à écrire au destinataire spécifié. Adresse postale et en échange de la preuve du transfert de fonds, recevez un code pour déchiffrer le disque dur.

Les chercheurs notent que la partie de Petya chargée de bloquer l'accès intercepte le contrôle de l'ordinateur au tout début du démarrage. Il est écrit par des programmeurs hautement qualifiés.

Depuis début 2016, Petya a changé plusieurs fois. Il existe des versions avec un écran jaune avec une note de rançon, et il y a celles où le nom du virus n'est pas indiqué.

Comment exactement la version de Petya que les utilisateurs ont rencontrée le 27 juin fonctionne et est distribuée n'a pas encore été signalée. À en juger par l'ampleur de l'infection, le virus a été finalisé et possède un système de distribution plus complexe. Un lien est déjà apparu sur Github vers l'un des portefeuilles bitcoin qui collecte l'argent des ordinateurs infectés par le virus. Au moment d'écrire ces lignes, Meduza a reçu un peu plus de 2 300 $.

Le moyen le plus simple de se protéger contre Petya et les ransomwares similaires est de ne pas cliquer sur les pièces jointes des e-mails suspects provenant de personnes que vous ne connaissez pas.

Source à l'entreprise signalé à l'éditeur que le travail des principaux ateliers d'EVRAZ-ZSMK est paralysé en raison de problèmes informatiques. Les PC technologiques des principaux ateliers ont été infectés virus informatique Vouloir pleurer.

WannaCry est un virus ransomware qui crypte les données stockées dans la mémoire de l'ordinateur et demande de l'argent pour le déverrouiller.

Selon le service de presse de Positive Technologies, une société spécialisée dans la sécurité de l'information, au cours du mois dernier, des milliers d'utilisateurs à travers le monde ont souffert d'une attaque massive du rançongiciel WannaCry dans le monde entier. Parmi les victimes figurent de grandes entreprises internationales, des agences gouvernementales et, bien sûr, des internautes ordinaires. La couverture des infections a dépassé la barre des 200 000 machines et, apparemment, continuera de croître. Des attentats ont été enregistrés dans 150 pays du monde, la Russie fait également partie des victimes. Il existe des informations sur les tentatives d'infection dans plusieurs organisations - MegaFon, VimpelCom, Sberbank, les chemins de fer russes, le ministère de la Santé, le ministère des Situations d'urgence et le ministère de l'Intérieur. L'attaque s'est avérée d'une telle ampleur que Microsoft a publié une mise à jour correspondante même pour Windows XP, dont le support est suspendu depuis 2014. Pour diffuser WannaCry, l'exploit ETERNALBLUE pour le système d'exploitation Windows du kit de regroupement Shadow Brokers divulgué sur le réseau est utilisé. Il convient de noter que la mise à jour qui corrige cette vulnérabilité a été publiée en mars, soit deux mois avant cette attaque. Les attaquants (d'ailleurs, qui ont reçu environ 90 000 $ à ce jour, à en juger par les paiements aux portefeuilles bitcoin) ont déjà réussi à publier plusieurs modifications du malware. Cela est probablement dû dans une certaine mesure à l'enregistrement prématuré du domaine du commutateur par le spécialiste de la cybersécurité. Cette décision a ralenti la propagation du logiciel malveillant de plusieurs heures. De nombreux spécialistes ont du mal à résoudre le problème du décryptage des fichiers sans payer les "services" des distributeurs de bloqueurs. Un certain nombre d'entreprises ont déjà présenté une analyse du principe de fonctionnement de WannaCry, qui est distribué via SMB et infecte ensuite les postes de travail sur le LAN.

L'insécurité de l'utilisation de SMBv1 est connue depuis longtemps. Le correctif pour éliminer la vulnérabilité a été publié il y a trois mois. La fuite du pack d'exploits par le groupe Shadow Brokers a été évoquée littéralement partout. Seule une personne qui n'a jamais utilisé Internet n'a pas entendu parler de la nécessité d'utiliser des sauvegardes. Il semblerait que dans de telles conditions il ne devrait pas y avoir d'épidémie du tout, mais hélas. Tout parle de l'attitude irresponsable des administrateurs, des spécialistes de la sécurité et, dans une certaine mesure, de l'ignorance des utilisateurs des questions de sécurité de l'information. Les résultats de la recherche de Positive Technologies confirment le problème répandu de l'utilisation de versions vulnérables de logiciels dans l'infrastructure des entreprises. En même temps, comme le montre Épidémie WannaCry, la sécurité du système ne dépend pas du secteur d'activité de l'entreprise, ce qui est généralement confirmé par les analyses disponibles. Attaques via des vulnérabilités dans des logiciels obsolètes dans également les systèmes des entreprises industrielles, informatiques, télécoms, du secteur financier et des institutions gouvernementales sont touchés.

Moscou, 28 juin - Vesti.Ekonomika. Le virus rançongiciel Petya s'est avéré plus puissant et plus dangereux que le récent sensationnel WannaCry. Premièrement, les entreprises russes et ukrainiennes ont souffert, mais le virus s'est déjà propagé sur toute la planète.

Forbes, citant des experts en cybersécurité, écrit qu'en raison des particularités de la distribution et des différences par rapport aux programmes déjà connus nouveau virus plus dangereux que les similaires, donc il se propage encore plus vite, et il n'y a pas de "commutateur de couteau magique", comme c'était le cas avec WannaCry.

Dans le même temps, WannaCry a attaqué plus de 200 000 utilisateurs dans 150 pays du monde, et les experts ne peuvent toujours pas s'entendre sur les estimations des dommages, mais nous parlons environ des centaines de milliards de dollars.

Il est à noter que l'attaque du virus Petya visait des sociétés d'infrastructure : sociétés pétrolières, de télécommunications et financières en Russie et en Ukraine. Dans d'autres pays, de grandes entreprises, dont des sociétés de logistique, ont également été attaquées.

Russie

Rosneft et Bashneft

Le 27 juin, Rosneft a annoncé une "puissante attaque de hackers" sur ses serveurs. Sur le fait de la cyberattaque, la société s'est tournée vers les forces de l'ordre.

Selon Mikhail Leontiev, une attaque de pirate pourrait avoir de graves conséquences, mais étant donné que l'entreprise est passée à un système de contrôle de processus de production de secours, ni la production ni le traitement de l'huile n'ont été arrêtés.

Vedomosti note que les ordinateurs de Bashneft ne fonctionnent pas et que le site Web de Rosneft n'a pas été ouvert non plus.

L'objectif des pirates en attaquant les serveurs de Rosneft pourrait être une information importante pour les poursuites judiciaires dans lesquelles la société est impliquée, a déclaré le porte-parole de Rosneft, Mikhail Leontyev.

"Si vous regardez les motifs rationnels que les pirates pourraient avoir, alors, néanmoins, il est impossible de ne pas remarquer qu'un tel motif rationnel serait de" tuer "les ordinateurs de Bashneft, qui contiennent un grand nombre de des informations sur les activités de Bashneft pendant la période où il était détenu par les anciens propriétaires", a déclaré Leontiev, cité par le portail BFM.

Évraz

Le système d'information d'Evraz a également fait l'objet d'une attaque de pirates.

"Le système d'information d'Evraz a été piraté. Les principales installations de production continuent de fonctionner, il n'y a aucune menace pour la sécurité des entreprises et des employés", a déclaré le service de presse.

Mondelez

Des problèmes dus à une attaque de pirates sont apparus dans la division russe de Mondelez, qui produit notamment les chocolats Alpen Gold et Milka.

Banques

Les systèmes de la Home Credit Bank ont ​​été attaqués, mais la Banque centrale n'a pas exclu que d'autres banques puissent également être victimes.

Ukraine

Le matin du 27 juin, les ordinateurs des plus grandes sociétés énergétiques ukrainiennes ont été touchés.

Kyivenergo a confirmé le fait de la défaite du virus, notant que le personnel a été contraint d'éteindre tous les ordinateurs.

En raison de la faible liquidité, l'attaque n'a pas été reflétée dans les cotations boursières.

Plus tard, le fait de l'attaque a été confirmé par le gouvernement ukrainien. Le virus a infecté les systèmes d'Oschadbank, " Nouveau courrier", l'aéroport "Borispol" et le métro de Kiev.

Autres pays

Au Royaume-Uni, la grande société de publicité WPP a souffert de Petya.

La cause d'une attaque à grande échelle contre des sociétés pétrolières, de télécommunications et financières en Russie et en Ukraine était le virus de cryptage Petya. L'attaque, qui a débuté aujourd'hui vers 14h00, a déjà touché des dizaines d'entreprises. Le virus bloque les ordinateurs et exige 300 $ en bitcoins. Il se répand dans le monde entier et, selon Kaspersky Lab, a déjà touché "un grand nombre de pays".

Comme on l'a dit à Kommersant dans Group-IB, une société de prévention et d'enquête sur la cybercriminalité et la fraude, le cryptolocker Petya est distribué de la même manière que le virus WannaCry. Parmi les victimes de la cyberattaque figuraient les réseaux russe Bashneft, Rosneft, ukrainien Zaporozhyeoblenergo, Dneproenergo et le système électrique du Dniepr. Toujours en Russie, Mondelez International, Mars et Nivea ont été attaqués. En outre, selon Group-IB, des ordinateurs gouvernementaux, le métro de Kiev, des magasins Auchan, des opérateurs de télécommunications (Kyivstar, LifeCell, Ukrtelecom), Privatbank, la centrale nucléaire de Tchernobyl et, vraisemblablement, l'aéroport de Boryspil ont été attaqués en Ukraine.

Le porte-parole de Rosneft, Mikhail Leontiev, a déclaré à Kommersant que l'attaque était très puissante et que si les unités de production n'avaient pas été immédiatement transférées vers des systèmes de contrôle de secours, les dégâts auraient pu être importants. "En conséquence, tous les actifs de production fonctionnent désormais normalement et il n'y a eu aucun dommage dans ce segment", a souligné Mikhail Leontiev. L'un des interlocuteurs de Kommersant au bureau central de Rosneft dit qu'il n'a pas remarqué de signes du virus. "Après les rapports sur l'attaque, on nous a demandé d'éteindre nos ordinateurs", a-t-il déclaré. Une autre source de Kommersant proche de Rosneft a déclaré que dans un certain nombre de filiales de l'entreprise, y compris dans le district fédéral de l'Oural, les ordinateurs des employés étaient bloqués par des fenêtres de virus contextuelles.

Une source Kommersant à LUKOIL a déclaré que les systèmes fonctionnent normalement. "Les employés ont été avertis de ne pas ouvrir les lettres provenant d'adresses inconnues et de pièces jointes suspectes", a-t-il déclaré.

Un représentant d'Evraz a déclaré que le système d'information de l'entreprise avait été attaqué, mais que les principales installations de production continuaient de fonctionner. "Il n'y a aucune menace pour la sécurité des entreprises et des employés", a-t-il déclaré.

La Banque centrale (CB) a également révélé des cas d'infection des systèmes informatiques d'établissements de crédit russes à la suite d'une attaque de pirates. « Selon la Banque de Russie, des cas isolés d'infection d'infrastructures d'information ont été enregistrés à la suite d'attaques. Les violations des systèmes des banques et les violations de la fourniture de services aux clients n'ont pas été enregistrées », le communiqué de la Banque centrale cite RNS.

Dans le Mars russe, une attaque de hacker a affecté le travail de la division Royal Canin. Son représentant a déclaré à Kommersant qu'"il y a certaines difficultés dans le travail de l'informatique". « Nous n'avons pas d'ordinateurs. Des experts étudient le problème », a-t-il déclaré. Mondelez International a confirmé que les employés de l'entreprise étaient confrontés à des problèmes technologiques qui affectaient non seulement le bureau de représentation russe, mais également les succursales européennes. "Sur le ce moment nous ne pouvons pas commenter les détails de la situation et travaillons sur une solution au problème », a déclaré le service de presse.

Home Credit Bank a suspendu le service client en raison de attaque de pirate. Le service de presse de la banque a indiqué qu'à l'heure actuelle, toutes les succursales fonctionnent selon l'horaire habituel, mais en mode consultatif, les transactions des clients ne peuvent pas être effectuées dans les succursales, les guichets automatiques et le centre d'appels fonctionnent. Le site Web de la banque est indisponible.

Selon Kaspersky Lab, le virus rançongiciel Petya s'est propagé dans le monde entier. C'est ce qu'a déclaré le chef de l'équipe de recherche internationale de Kaspersky Lab Kostin Rayu dans son microblog en Twitter . « Virus Petya avec adresse de contact [courriel protégé] se répand dans le monde entier, un grand nombre de pays sont touchés », a-t-il déclaré.

Plusieurs entreprises européennes ont déjà signalé des cyberattaques sur leurs ordinateurs. Parmi eux figurent la société de publicité britannique WPP, la société néerlandaise compagnie de transport APM, société danoise A.P. Moller-Maersk, ainsi que l'une des sociétés internationales en Norvège. De plus, les serveurs des bureaux de représentation des sociétés internationales Mondelēz International et DLA Piper en Espagne ont été attaqués, leurs systèmes informatiques ont été complètement désactivés.

La société antivirus Dr. Web a mené une étude sur les cyberattaques. La société a déclaré que, malgré les parallèles tenus dans les médias avec Virus rançongiciel Petya, qui a affecté les ordinateurs d'un certain nombre d'entreprises en Russie et en Ukraine, le virus diffère de Petya par sa manière de se propager. Comme le précédent Virus WannaCry, le cheval de Troie se propage tout seul, mais il n'y a toujours pas de données exactes sur la méthode de sa distribution et le nom, Dr. La toile.

Sergey Ryzhikov, directeur général de 1C-Bitrix, sur les ondes de Kommersant FM :« Vous ne pouvez pas écrire un antivirus qui protège contre absolument tous les virus. Une modification du virus est effectuée, et il prend une longueur d'avance pendant quelques jours jusqu'à ce que les antivirus publient les mises à jour appropriées. Tout cela est possible car il y a avantage économique: en créant des clones de virus, les criminels ont la possibilité d'obtenir cet argent grâce au bitcoin. Et s'il y a une opportunité de recevoir et de ne pas être puni, alors cette histoire se poursuivra à plusieurs reprises. Il existe une moyen fiable ne pas être infecté est déconnecté en permanence d'Internet, et il n'y a aucune garantie absolue, car quelque chose sera coincé dans cet ordinateur - les mêmes lecteurs flash - et cela crée certains risques.

Julia Silence, Oleg Trutnev, Dmitry Kozlov, Anatoly Dzhumaylo, Olga Mordyushenko