Snažan virus pogodio je IT sustave velike banke i metalurške tvrtke Evraz
Klon ransomware virusa Wanna Cry Petya koji šifrira sadržaj tvrdog diska, a zatim zahtijeva otkupninu za dešifriranje, pogodio je IT sustave Home Credit Banki metalurško poduzeće Evraz, uključujući i Novokuznjeck.
Dopisniku Prokopyevsk.ru zaposlenici Evraza rekli su da je rad poduzeća poremećen. Stručnjaci pokušavaju vratiti sustav.
Prema posljednjim podacima Group-IB, uoči virusa već je stradalo više od 80 tvrtki i odjela u Rusiji i Ukrajini. Osim toga, danska tvrtka Maersk prijavila je kvarove u svojim sustavima.
Konkretno, Rosneft i Bashneft, ruski ured, postali su žrtve hakera. U Ukrajini je virus zarazio računala Kabineta ministara, kijevskog metroa, energetskih tvrtki i zračne luke Boryspil. javlja FAN.
Portal Meduza detaljno opisuje kako virus djeluje, kao i put zaraze. Pružamo vam materijal.
Mehanizam rada ransomwarea najdetaljnije je opisan još u travnju 2016. u blog postu Malwarebytes Labsa. Zatim je virus distribuiran kao pismo s životopisom zaposlenika: klikom na njega otvara se Windows program koji zahtijeva administratorska prava. Ako se nepažljivi korisnik složio, tada je instalater prepisao područje za pokretanje tvrdog diska i prikazao " plavi ekran smrt": poruka o padu koja vas poziva da ponovno pokrenete računalo.
U ovoj fazi, kako pišu istraživači, tvrdi disk još nije šifriran, a podaci se mogu spremiti - na primjer, ako isključite računalo i povežete tvrdi disk s drugim, ali ne i dizanje s njega. U ovoj situaciji svi podaci se mogu kopirati.
Nakon ponovnog pokretanja, Petya pokreće program koji se maskira kao uslužni program CHKDSK. Zapravo, ne provjerava tvrdi disk na greške, već ga šifrira, i, kako su ustanovili istraživači iz Malwarebytes Labsa, ne u potpunosti, već samo djelomično. Krajem ožujka 2016. Kaspersky Lab je tvrdio da metoda enkripcije koja se koristi u Petyu omogućuje oporavak svih podataka uz pomoć stručnjaka.
Nakon što je šifriranje završeno, računalo prikazuje crveni ekran s porukom “Bili ste žrtva virusa Petya ransomware” i ponudom da platite 300 dolara u bitcoinima. Detaljne upute kako kupiti potreban iznos u bitcoinima i kako ga prenijeti nalazile su se na stranici u "dark webu".
Sudeći prema snimkama zaslona moderne verzije Petya, sada nema web-stranice i detaljnih uputa: zaraženi korisnici pozvani su da pišu na navedeni poštanska adresa a u zamjenu za dokaz o prijenosu sredstava primite kod za dešifriranje tvrdog diska.
Istraživači primjećuju da dio Petye koji je odgovoran za blokiranje pristupa presreće kontrolu računala u vrlo ranoj fazi podizanja sustava. Napisali su ga visoko kvalificirani programeri.
Od početka 2016. Petya se nekoliko puta promijenila. Postoje verzije sa žutim zaslonom s napomenom o otkupnini, a postoje i one u kojima naziv virusa nije naznačen.
Kako točno funkcionira i distribuira verzija Petye s kojom su se korisnici susreli 27. lipnja, još nije objavljeno. Sudeći po razmjerima zaraze, virus je finaliziran i ima složeniji sustav distribucije. Na Githubu se već pojavila poveznica na jedan od bitcoin novčanika koji prikuplja novac s računala zaraženih virusom. U trenutku pisanja ovog teksta, Meduza je dobila nešto više od 2300 dolara.
Najlakši način da se zaštitite od Petye i sličnog ransomwarea je da ne kliknete na privitke u sumnjivim e-porukama od ljudi koje ne poznajete.
Izvor u poduzeću izvijestio urednika da paraliziran je rad glavnih radionica EVRAZ-ZSMK-a zbog problema s računalima. Zaražena su tehnološka računala glavnih radionica računalni virus WannaCry.
WannaCry je ransomware virus koji šifrira podatke pohranjene u memoriji računala i zahtijeva novac da ih otključa.
Prema press službi Positive Technologies, tvrtke specijalizirane za informacijsku sigurnost, tijekom proteklog mjeseca tisuće korisnika diljem svijeta pretrpjele su masovni WannaCry ransomware napad diljem svijeta. Među žrtvama su velike međunarodne tvrtke, vladine agencije i, naravno, obični korisnici interneta. Pokrivenost zarazom premašila je granicu od 200.000 strojeva i, po svemu sudeći, nastavit će rasti. Napadi su zabilježeni u 150 zemalja svijeta, među žrtvama je i Rusija. Postoje informacije o pokušajima zaraze u nekoliko organizacija - MegaFon, VimpelCom, Sberbank, Ruske željeznice, Ministarstvo zdravstva, Ministarstvo za izvanredne situacije i Ministarstvo unutarnjih poslova. Napad se pokazao toliko velikim da je Microsoft izdao odgovarajuće ažuriranje čak i za Windows XP, čija je podrška obustavljena od 2014. godine. Za širenje WannaCryja koristi se ETERNALBLUE exploit za Windows OS iz Shadow Brokers grupirajućeg kita koji je procurio na mrežu. Vrijedi napomenuti da je ažuriranje koje popravlja ovu ranjivost objavljeno još u ožujku, odnosno dva mjeseca prije ovog napada. Napadači (usput rečeno, koji su do sada dobili oko 90.000 dolara, sudeći po isplatama u bitcoin novčanike) već su uspjeli izbaciti nekoliko modifikacija zlonamjernog softvera. To je vjerojatno zbog toga što je stručnjak za kibernetičku sigurnost prerano registrirao preklopnu domenu. Ovaj potez usporio je širenje zlonamjernog softvera za nekoliko sati. Mnogi stručnjaci bore se riješiti problem dešifriranja datoteka bez plaćanja "usluga" distributera blokatora. Niz tvrtki je već predstavilo analizu principa rada WannaCryja, koji se distribuira preko SMB-a, a zatim inficira radne stanice na LAN-u.
Nesigurnost korištenja SMBv1 poznata je već duže vrijeme. Zakrpa za uklanjanje ranjivosti objavljena je prije tri mjeseca. O curenju exploit paketa grupe Shadow Brokers pričalo se doslovno posvuda. Samo osoba koja nikada nije koristila internet nije čula za potrebu korištenja sigurnosne kopije. Čini se da u takvim uvjetima uopće ne bi trebalo biti epidemije, ali nažalost. Sve govori o neodgovornom odnosu administratora, stručnjaka za sigurnost i donekle o nepoznavanju problema informacijske sigurnosti korisnika. Rezultati istraživanja Positive Technologies potvrđuju raširen problem korištenja ranjivih verzija softvera u korporativnoj infrastrukturi. U isto vrijeme, kao što je prikazano WannaCry epidemija, sigurnost sustava ne ovisi o djelatnosti tvrtke, što općenito potvrđuje dostupna analitika. Napadi kroz ranjivosti u zastarjelom softveru u jednako Pogođeni su sustavi industrijskih tvrtki, IT, telekomunikacija, financijskog sektora i državnih institucija.
Moskva, 28. lipnja - Vesti.Ekonomika. Petya ransomware virus pokazao se snažnijim i opasnijim od nedavno senzacionalnog WannaCryja. Prvo su patile tvrtke u Rusiji i Ukrajini, ali virus se već proširio po cijelom planetu.
Forbes, pozivajući se na stručnjake za kibernetičku sigurnost, piše da zbog osobitosti distribucije i razlika od već poznatih programa novi virus opasniji od sličnih pa se još brže širi, a nema "čarobnog prekidača noža", kao što je to bio slučaj s WannaCryjem.
Istovremeno, WannaCry je napao više od 200 tisuća korisnika u 150 zemalja svijeta, a stručnjaci se još ne mogu složiti oko procjena štete, ali pričamo oko stotina milijardi dolara.
Važno je napomenuti da je napad virusa Petya bio usmjeren na infrastrukturne tvrtke: naftne, telekomunikacijske i financijske tvrtke u Rusiji i Ukrajini. U drugim zemljama napadnute su i velike tvrtke, uključujući i logističke.
Rusija
Rosnjeft i BašnjeftRosneft je 27. lipnja najavio "snažan hakerski napad" na svoje servere. Nakon činjenice cyber napada, tvrtka se obratila agencijama za provođenje zakona.
Prema riječima Mihaila Leontjeva, hakerski napad mogao je dovesti do ozbiljnih posljedica, ali zbog činjenice da je tvrtka prešla na rezervni sustav kontrole procesa, ni proizvodnja ni priprema nafte nisu zaustavljeni.
Vedomosti napominju da računala u Bashneftu ne rade, a nije otvorena ni web stranica Rosnefta.
Cilj hakera u napadu na Rosneftove servere mogu biti informacije važne za sudske procese u koje je tvrtka uključena, rekao je glasnogovornik Rosnefta Mihail Leontjev.
"Ako pogledate racionalne motive koje bi hakeri mogli imati, onda je, ipak, nemoguće ne primijetiti da bi takav racionalni motiv bio da" ubije "Bashneftova računala, koja sadrže veliki broj informacije o aktivnostima Bashnefta tijekom razdoblja njegovog vlasništva od strane prethodnih vlasnika", rekao je Leontiev, a citirao portal BFM.
Evraz
Informacijski sustav Evraz također je bio podvrgnut hakerskom napadu.
"Evrazov informacijski sustav napao je haker. Glavni proizvodni pogoni nastavljaju s radom, nema prijetnje sigurnosti poduzeća i zaposlenika", priopćila je press služba.
Mondelez
Problemi zbog hakerskog napada nastali su u ruskoj diviziji Mondelez, koja se posebno bavi proizvodnjom čokolade Alpen Gold i Milka.
Banke
Napadnuti su sustavi Home Credit banke, ali Središnja banka nije isključila da bi žrtve mogle biti i druge banke.
Ukrajina
Ujutro 27. lipnja pogođena su računala najvećih ukrajinskih energetskih kompanija.Kyivenergo je potvrdio činjenicu poraza virusom, ističući da je osoblje bilo prisiljeno isključiti sva računala.
Zbog niske likvidnosti napad se nije odrazio na kotacije dionica.
Kasnije je činjenicu napada potvrdila i ukrajinska vlada. Virus je zarazio sustave Oschadbank, " Nova pošta", zračna luka "Borispol" i metro u Kijevu.
Druge zemlje
U Velikoj Britaniji, velika reklamna tvrtka WPP patila je od Petye.Uzrok velikog napada na naftne, telekomunikacijske i financijske tvrtke u Rusiji i Ukrajini bio je virus šifriranja Petya. Napad, koji je počeo danas oko 14 sati, zahvatio je već desetke tvrtki. Virus blokira računala i traži 300 dolara u bitcoinima. Širi se po cijelom svijetu i, prema Kaspersky Labu, već je zahvatio "veliki broj zemalja".
Kako je Kommersant rečeno u Group-IB, tvrtki za prevenciju i istraživanje kibernetičkog kriminala i prijevara, Petya cryptolocker distribuira se slično virusu WannaCry. Među žrtvama kibernetičkog napada bile su mreže ruskog Bašnjefta, Rosnjefta, ukrajinskog Zaporozhyeoblenerga, Dneproenerga i Dnjeparskog elektroenergetskog sustava. Također u Rusiji su napadnuti Mondelez International, Mars i Nivea. Osim toga, prema Group-IB, u Ukrajini su napadnuta državna računala, kijevski metro, trgovine Auchan, telekomunikacijski operateri (Kyivstar, LifeCell, Ukrtelecom), Privatbank, nuklearna elektrana u Černobilu i, vjerojatno, zračna luka Borispil.
Glasnogovornik Rosnjefta Mihail Leontjev rekao je za Kommersant da je napad bio vrlo snažan i da je šteta mogla biti značajna da proizvodne jedinice nisu odmah prebačene na rezervne upravljačke sustave. "Kao rezultat toga, sada sva proizvodna sredstva rade normalno i u ovom segmentu nije bilo štete", naglasio je Mihail Leontjev. Jedan od Kommersantovih sugovornika u središnjem uredu Rosnjefta kaže da nije primijetio znakove virusa. “Nakon izvješća o napadu, zamoljeni smo da isključimo svoja računala”, rekao je. Drugi izvor Kommersanta blizak Rosnjeftu rekao je da su u brojnim podružnicama tvrtke, uključujući Uralski federalni okrug, računala zaposlenika blokirana skočnim prozorima virusa.
Izvor Kommersanta u LUKOIL-u rekao je da sustavi rade normalno. "Zaposlenici su upozoreni da ne otvaraju pisma s nepoznatih adresa i sumnjive priloge", rekao je.
Predstavnik Evraza rekao je da je informacijski sustav tvrtke napadnut, ali glavni proizvodni pogoni nastavljaju s radom. “Ne postoji prijetnja sigurnosti poduzeća i zaposlenika”, rekao je.
Središnja banka (CB) također je otkrila slučajeve zaraze IT sustava ruskih kreditnih institucija kao rezultat hakerskog napada. “Prema Banci Rusije zabilježeni su izolirani slučajevi zaraze objekata informacijske infrastrukture kao posljedica napada. Kršenja sustava banaka i kršenja pružanja usluga klijentima nisu zabilježena”, navodi RNS u priopćenju Centralne banke.
Na ruskom Marsu hakerski napad utjecao je na rad odjela Royal Canin. Njegov predstavnik je za Kommersant rekao da "postoje određene poteškoće u radu IT-a". “Nemamo računala. Stručnjaci istražuju problem”, rekao je. Mondelez International potvrdio je da su se zaposlenici tvrtke suočili s tehnološkim problemima koji su zahvatili ne samo rusko predstavništvo, već i europske podružnice. „Na ovaj trenutak ne možemo komentirati detalje situacije i radimo na rješenju problema”, poručili su iz press službe.
Home Credit Bank je obustavila korisničku podršku zbog hakerski napad. Tiskovna služba banke izvijestila je da trenutno sve poslovnice rade prema uobičajenom rasporedu, ali u konzultativnom modu, transakcije s klijentima ne mogu se obavljati u poslovnicama, rade bankomati i pozivni centar. Web stranica banke nije dostupna.
Prema Kaspersky Labu, virus Petya ransomware proširio se svijetom. To je izjavio voditelj međunarodnog istraživačkog tima Kaspersky Laba Kostin Rayu u svom mikroblogu u Cvrkut . « Petya virus sa kontakt adresom [e-mail zaštićen]širi se po cijelom svijetu, pogođen je ogroman broj zemalja”, rekao je.
Nekoliko europskih tvrtki već je prijavilo kibernetičke napade na svoja računala. Među njima su i britanska reklamna tvrtka WPP, nizozemska transportno poduzeće APM, danska tvrtka A.P. Moller-Maersk, kao i jedna od međunarodnih tvrtki u Norveškoj. Osim toga, napadnuti su serveri predstavništava međunarodnih tvrtki Mondelēz International i DLA Piper u Španjolskoj, čiji su računalni sustavi potpuno onemogućeni.
Antivirusna tvrtka Dr. Web je proveo studiju kibernetičkih napada. Iz tvrtke su poručili da, unatoč paralelama koje se vode u medijima s Petya ransomware virus, koji je zahvatio računala brojnih tvrtki u Rusiji i Ukrajini, virus se po načinu širenja razlikuje od Petya. Kao i prethodni WannaCry virus, Trojanac se širi sam od sebe, ali još uvijek nema točnih podataka o načinu njegove distribucije i nazivu, Dr. Mreža.
Sergey Ryzhikov, generalni direktor 1C-Bitrixa, u eteru Kommersant FM-a:“Ne možete napisati antivirusni program koji štiti od apsolutno svih virusa. Izvršena je modifikacija virusa i on će dobiti prednost za nekoliko dana dok antivirusni programi ne izdaju odgovarajuća ažuriranja. Sve je to moguće jer postoji ekonomsku korist: stvaranjem klonova virusa, kriminalci imaju priliku doći do tog novca putem bitcoina. A ako postoji prilika za primanje, a ne kažnjavanje, onda će se ova priča nastaviti iznova. postoji jedan pouzdan način da se ne zarazite trajno je isključeno s interneta i nema apsolutnog jamstva, jer će se nešto zaglaviti u ovo računalo - isti flash diskovi - i to stvara određene rizike.
Julia Silence, Oleg Trutnev, Dmitry Kozlov, Anatoly Dzhumaylo, Olga Mordyushenko
