Вирус-вымогатель атаковал IT-системы компаний в нескольких странах. Мощный вирус поразил IT-системы крупного банка и металлургической компании Evraz
МОСКВА, 27 июн — РИА Новости. Глобальная атака вируса-вымогателя во вторник поразила IT-системы компаний в нескольких странах мира, в большей степени затронув Украину. Атаке подверглись компьютеры нефтяных, энергетических, телекоммуникационных, фармацевтических компаний, а также госорганов.
Вирус блокирует компьютеры и требует 300 долларов в биткоинах, сообщили РИА Новости в компании Group-IB. Атака началась около 11.00. Способ распространения в локальной сети аналогичен вирусу WannaCry. По данным СМИ, на 18:00 биткоин-кошелек, который был указан для перевода средств вымогателям, получил девять переводов, с учетом комиссии за переводы пострадавшие перевели хакерам порядка 2,7 тысячи долларов.
По данным антивирусной компании ESET, атака началась с Украины, которая больше других стран пострадала от нее. Согласно рейтингу компании по странам, пострадавшим от вируса, на втором месте после Украины — Италия, а на третьем — Израиль. В первую десятку также вошли Сербия, Венгрия, Румыния, Польша, Аргентина, Чехия и Германия. Россия в данном списке занимает лишь 14-е место.
Petya или Misha
Эксперты по кибербезопасности разошлись во мнении относительно самого вируса. Компания Group-IB изначально сообщила об атаках вируса-вымогателя Petya.Президент ГК InfoWatch Наталья Касперская заявила, что Petya.A обнаружили еще в апреле 2016 года, и первый его вариант был бессильным, если ему не давались права администратора. "Поэтому он объединился с некоторым другим вымогателем-вирусом Misha, который имел права администратора. Это был улучшенная версия, резервный шифровальщик", — сказала Касперская.
В компании Dr.Web также заявили, что вирус, поражавший компьютеры по всему миру во вторник, отличается от вируса-вымогателя Petya способом распространения. По данным Dr.Web, троянец распространяется самостоятельно, как и нашумевший WannaCry.
В "Лаборатории Касперского" заявили, что вирус не принадлежит к ранее известным семействам вредоносного программного обеспечения. Специалисты компании проводит расследование, и в ближайшее время компания сможет предоставить больше информации по сценарию заражения и схеме работы вредоносного кода, сказали в "Лаборатории Касперского".
Атаки на Украине
Как сообщил советник главы МВД Украины Антон Геращенко, хакерская атака началась во вторник в 11.00 с внедрением модифицированной под Украину версии вируса WannaCry - cryptolocke, который рассылался по почте под видом деловых писем. По его словам, кибератака имела своей конечной целью попытку дестабилизации ситуации в экономике. Работа компьютерных сетей на Украине, подвергшихся хакерской атаке, будет полностью восстановлена через несколько дней, заверил Геращенко.Вице-премьер Украины Павел Розенко сообщил, что хакерской атаке подверглись все компьютеры в кабмине страны. По информации пресс-службы кабмина, компьютерные сети центральных органов власти подверглись масштабной хакерской атаке с 14.00. Вечером около 19:00 мск сайт кабмина возобновил работу, но деятельность по пресечению распространения вируса и преодолению последствий кибератак продолжается, сообщил премьер Владимир Гройсман. Он также заявил, что в результате хакерской атаки важные системы инфраструктуры страны не пострадали, атака будет отражена.
При этом в администрации президента Украины заявили, что она работает в штатном режиме, уделяя повышенное внимание ситуации в связи с кибератакой.
Секретарь Совета национальной безопасности и обороны (СНБО) Украины Александр Турчинов заявил, что все государственные учреждения, использовавшие защищенный интернет-доступ, не пострадали из-за хакерской атаки.Департамент киберполиции получил 22 сообщения о вмешательстве в работу персональных компьютеров от государственных и частных учреждений. Украинские правоохранители возбудили уголовное дело по факту хакерских атак на предприятия и государственные учреждения.
Национальный банк Украины в середине дня предупредил об атаках на несколько украинских банков, а также на некоторые предприятия коммерческого и государственного секторов. Украинский государственный Ощадбанк ограничил предоставление ряда услуг.
Вследствие атак на украинские банки в киевском метро невозможно было оплатить проезд банковскими картами. Из-за атаки на медиахолдинг ТРК "Люкс" украинский информационный "24 канал", входящий в него, прекратил вещание.
Атакам также подверглись "Укрэнерго", "Киевэнерго", международный аэропорт "Борисполь", крупнейшая на Украине частная компания по оказанию услуг доставки "Новая почта". По данным Group-IB, на Украине пострадали также "Запорожьеоблэнерго", "Днепроэнерго" и "Днепровские электроэнергетические системы", "Ашан", украинские телеком-операторы.
Советник главы МВД Украины Зорян Шкиряк обвинил в хакерских атаках Россию, но при этом он не привел никаких доказательств.Россия
Во вторник "Роснефть" сообщила, что ее серверы подверглись мощной хакерской атаке, в связи с чем компания обратилась в правоохранительные органы.
Кроме того, хакерской атаке подверглись информационные системы Evraz. В то же время в ряде других крупнейших металлургических компаний РФ, в частности в "Северстали", НЛМК, ММК, "Норникеле" и ТМК, заявили об отсутствии каких-либо инцидентов, связанных с кибератакой.
Банк России заявил, что выявил хакерские атаки, направленные на системы российских кредитных организаций; в результате этих атак зафиксированы единичные случаи заражения объектов информационной инфраструктуры. При этом нарушений работы систем банков и нарушений предоставления сервисов клиентам зафиксировано не было. В крупнейших российских банках РИА Новости сообщили, что не зафиксировали масштабных хакерских атак и работают в штатном режиме. В Сбербанке сообщили, что банк работает в штатном режиме на фоне произошедших во вторник хакерских атак.
Хакерская атака никак не отразилась на работе атомных электростанций, действующих в России, все АЭС работают в штатном режиме, заявил РИА Новости во вторник представитель концерна "Росэнергоатом". В пресс-службе "Системного оператора" Единой энергосистемы России сообщили, что специалисты по информационной безопасности компании не зафиксировали никаких целенаправленных атак на информационную инфраструктуру компании. В пресс-службе компании "Россети" сообщили, что ситуация находится на контроле, меры для отражения атак приняты.Российские телекоммуникационные операторы также сообщили, что работают в штатном режиме, компании не затронул вирус-шифровальщик Petya.
Московская биржа также не зафиксировала хакерских атак на свои IТ-системы, сообщили РИА Новости в пресс-службе Московской биржи.
Другие страны
В Испании хакеры совершили атаку на серверы представительств международных компаний Mondelēz International (производитель продуктов питания и растворимых напитков) и DLA Piper (международная юридическая фирма), Saint-Gobain (французская компания-производитель строительных материалов). Национальный центр криптологии при Национальном центре разведки Испании заявил, что вирус — вариация вируса-вымогателя Petya, и что его жертвами стали "несколько международных компаний, имеющих представительства в Испании".
Один из ведущих морских грузоперевозчиков — датская компания A.P. Moller-Maersk - также подверглась кибератаке, которая вывела из строя ее компьютерные системы во многих подразделениях компании.Транснациональная фармацевтическя компания со штаб-квартирой в США Merck & Co. подтвердила, что стала одной из жертв глобальной хакерской атаки, начато расследование. Немецкие компании также пострадали из-за хакерской атаки, сообщила Федеральная служба безопасности в сфере информационной техники (BSI) Германии. Сообщения о заражении вирусом появились и в Литве.
© AP Photo / Isaac Brekken
© AP Photo / Isaac Brekken
Участники конференции хакеров DefCon в Лас-Вегасе
Как обезопаситься
Как рассказал РИА Новости российский технологический инвестор, эксперт в IT-области Денис Черкасов, одним из наиболее надежных методов защиты от вирусов являются правильные действия сотрудников компании, а именно — игнорирование подозрительных писем и особенно просьб перейти по ссылкам. "В противном случае, вирус может расти, как снежный ком, благодаря таким "безобидным" действиям", — отметил Черкасов.
Поэтому, по его словам, продумывая тактику защиты бизнеса, в первую очередь, необходимо проводить тренинги по простым правилам кибербезопасности для коллектива. Во-вторых, даже самые современные системы защиты нуждаются в регулярном обновлении, для того чтобы не попасть под удар нового вирусного ПО. В-третьих, необходимы системы контроля целостности систем, чтобы быть в состоянии обнаружить распространение вируса в компьютерной сети до того, как он начал свое вредоносное действие.
"Лаборатория Касперского" рекомендует своим пользователям для обеспечения безопасности убедиться, что защитное решение включено и использует актуальные вирусные базы, а также удостовериться, что оно подключено к облачной системе KSN и активирован мониторинг системы (System Watcher)."В качестве дополнительной меры с помощью функции AppLocker можно запретить исполнение файла с названием perfc.dat, а также заблокировать запуск утилиты PSExec из пакета Sysinternals", — советует представитель компании.
Все отделения банка «Хоум Кредит» в России были вынуждены приостановить клиентские операции из-за масштабной хакерской атаки. По данным РБК, за помощью к специалистам в области компьютерной безопасности обратились во вторник около десяти российских банков
Фото: Светлана Холявчук / Интерпресс / ТАСС
Банк «Хоум Кредит» приостановил работу в связи с хакерской атакой, сообщил РБК источник в банке. Сотрудникам банка рекомендовали выключить все компьютеры, сайт банка на момент написания материала также был недоступен. По данным собеседника РБК, вирус затронул все офисы кредитной организации, в том числе центральный.
В пресс-службе банка «Хоум Кредит» сказали РБК, что сейчас они устроили проверку безопасности всех систем, но ни подтвердить, ни опровергнуть факт хакерской атаки на банк на данный момент они не могут.
Позднее в пресс-службе уточнили, что банк не проводит клиентские операции, но отделения работают в «консультационном режиме» по стандартному графику. Также можно воспользоваться банкоматами, отметили в пресс-службе банка.
Одновременно на странице банка «Хоум Кредит» в сети Facebook появилось сообщение о проведении проверки защищенности компьютерных систем банка. О возобновлении обслуживания обещают сообщить дополнительно.
Источник РБК в одной из компаний, занимающихся кибербезопасностью, сообщил, что к ним обратились около десяти банков, которые предположительно пострадали от вируса Petya, вероятно, использованного хакерами.
В Сбербанке РБК заверили, что все системы банка работают в штатном режиме. Представитель Альфа-банка сообщил, что никаких атак не фиксировали.
«Подобным атакам банк «Открытие», как и другие банки, подвергается несколько раз в неделю. Наши системы безопасности их успешно отражают. Мы функционируем в стандартном режиме и не прекращаем совершенствовать свои системы защиты», — пояснил РБК директор по информационной безопасности банка «Открытие» Вячеслав Касимов.
В пресс-службе Банка России сообщили о выявлении компьютерных атак, направленных на кредитные организации. По информации ЦБ, в результате атак зафиксированы единичные случаи заражения объектов информационной инфраструктуры. Нарушений работы систем банков и предоставления сервисов клиентам не зафиксировано.
«В настоящее время Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России совместно с кредитными организациями работает над устранением последствий выявленных компьютерных атак», — сообщили РБК в пресс-службе регулятора.
Ранее во вторник Национальный банк Украины (НБУ) о том, что сразу несколько украинских коммерческих банков и других предприятий подверглись «внешней хакерской атаке неизвестным вирусом».
«В результате таких кибератак эти банки испытывают трудности с обслуживанием клиентов и выполнением банковских операций», — отмечается в сообщении НБУ.
Об атаке, в частности, сообщил один из крупнейших банков Украины, Ощадбанк, а также банки ОТП, «Пивденный» и другие.
«Мы принимаем меры для обеспечения безопасности банка в киберпространстве. В этой связи вы можете испытывать временные сложности по обслуживанию в банке. Отделения банка сегодня работают в консультационном режиме», — говорится в сообщении банка «Пивденный».
Распространяющийся по Украине вирус в работе не только банков, но и целого ряда других предприятий и учреждений — от «Укрэнерго» до «Укрпочты».
Проблемы возникли и у российских компаний. В частности, хакерской атаке подверглась информационная система компании Evraz, крупнейшим из совладельцев которой является Роман Абрамович. Как сообщил представитель компании, в информационной системе произошел сбой, но основные производства продолжают работу, угрозы безопасности предприятий и сотрудников нет.
Стало известно также об атаке хакеров на компьютерные системы туроператоров «Музенидис Трэвел» и Anex tour. Как сообщил порталу TourDom.ru гендиректор «Музенидис Трэвел» Александр Цандекиди, злоумышленники взломали систему онлайн-бронирования и одновременно заблокировали доступ к локальным компьютерам компании, за возвращение которого требовали денег.
«Это никак не скажется на вылетах туристов к местам отдыха и возвращении их домой», — заверил Цандекиди.
Ранее во вторник о «мощной хакерской атаке» на свои серверы «Роснефть», из-за вирусной атаки вышли из строя компьютеры целого ряда банков и предприятий на Украине.
Иточник на предприятии сообщил в редакцию о том, что работа основных цехов ЕВРАЗ-ЗСМК парализована из-за неполадок с компьютерами. Технологические ПК основных цехов оказались заражены компьютерным вирусом WannaCry.
WannaCry - это вирус-вымогатель, который шифрует данные, находящиеся в памяти компьютера и требует деньги за разблокировку.
Как сообщает пресс-служба компании Positive Technologies , специализирующейся на информационной безопасности, за последний месяц от массовой ransomware-атаки WannaCry по всему миру пострадали тысячи пользователей по всему миру. Среди пострадавших крупные международные компании, правительственные учреждения и, конечно, рядовые пользователи Интернета. Охват заражения превысил планку в 200 тысяч машин и, судя по всему, продолжит расти. Атаки зарегистрированы в 150 странах мира, Россия также в числе пострадавших. Есть информация о попытках заражения в нескольких организациях — «Мегафоне», «ВымпелКоме», Сбербанке, «РЖД», Минздраве, МЧС и МВД. Атака оказалась столь масштабной, что Microsoft выпустила соответствующее обновление даже для ОС Windows XP, поддержка которой приостановлена с 2014 года. Для распространения WannaCry используется ETERNALBLUE-эксплойт для ОС Windows из утекшего в сеть набора группировки Shadow Brokers. Стоит отметить, что обновление, устраняющее данную уязвимость, было выпущено еще в марте, то есть за два месяца до этой атаки. Злоумышленники (к слову, получившие на текущий момент порядка 90 тысяч долларов, судя по выплатам на биткойн-кошельки) уже успели выпустить несколько модификаций вредоноса. Вероятно, в определенной степени это связано с преждевременной регистрацией домена-выключателя специалистом по кибербезопасности. Такой шаг замедлил распространение вредоноса на несколько часов. Над решением проблемы расшифровки файлов без оплаты «услуг» распространителей блокера бьются многие специалисты. Ряд компаний уже представили разбор принципа действия WannaCry, распространяемого через SMB и далее заражающего рабочие станции в ЛВС.
Про небезопасность использования SMBv1 известно уже достаточно давно. Патч для устранения уязвимости вышел три месяца назад. Про утечку эксплойт-пака группировки Shadow Brokers говорили буквально везде. О необходимости использования резервных копий не слышал только человек, никогда не пользовавшийся Интернетом. Казалось бы, в таких условиях никакой эпидемии и вовсе не должно быть, но увы. Все говорит о безответственном отношении администраторов, специалистов по безопасности и, в определенной степени, о неосведомленности пользователей в вопросах ИБ. Результаты исследований компании Positive Technologies подтверждают распространенную проблему использования уязвимых версий ПО в корпоративной инфраструктуре. При этом, как показала эпидемия WannaCry, защищенность системы не зависит от отрасли компании, что в целом подтверждается и имеющейся аналитикой. Атакам через уязвимости устаревшего ПО в равной степени подвержены системы промышленных компаний, ИТ, телекома, финансового сектора и государственные учреждения.
Москва, 28 июня - "Вести.Экономика". Вирус-вымогатель Petya оказался мощнее и опаснее недавно нашумевшего WannaCry. Сначала пострадали компании в России и на Украине, но вирус распространился уже по всей планете.
Forbes со ссылкой на экспертов по кибербезопасности пишет, что из-за особенностей распространения и отличия от уже известных программ новый вирус опаснее аналогичных, поэтому распространяется он еще быстрее, а "волшебного рубильника", как это было в случае с WannaCry, нет.
При этом WannaCry атаковал более 200 тыс. пользователей в 150 странах мира, а в оценках ущерба специалисты до сих пор не могут сойтись, но речь идет о сотнях миллиардов долларов.
Примечательно, что атака вируса Petya была нацелена на инфраструктурные компании: нефтяные, телекоммуникационные и финансовые компании России и Украины. В других странах также были атакованы крупные компании, в том числе логистические.
Россия
"Роснефть" и "Башнефть"27 июня "Роснефть" заявила о "мощной хакерской атаке" на свои серверы. По факту кибератаки компания обратилась в правоохранительные органы.
По словам Михаила Леонтьева, хакерская атака могла привести к серьезным последствиям, однако благодаря тому, что компания перешла на резервную систему управления производственными процессами, ни добыча, ни подготовка нефти не остановлены.
"Ведомости" отмечают, что компьютеры в "Башнефти" не работают, также не открывался сайт "Роснефти".
Целью хакеров при атаке на серверы "Роснефти" могла быть информация, важная для судебных процессов, в которых участвует компания, заявил пресс-секретарь "Роснефти" Михаил Леонтьев.
"Если смотреть на рациональные мотивы, которые могли быть у хакеров, то, тем не менее, нельзя не заметить, что таким рациональным мотивом было бы "убить" компьютеры "Башнефти", в которых содержится большое количество информации о деятельности "Башнефти" в период владения ею предыдущими собственниками", - сказал Леонтьев, которого цитирует портал БФМ.
Еvraz
Информационная система Evraz также подверглась хакерской атаке.
"Информационная система Evraz подверглась хакерской атаке. Основные производства продолжают работу, угрозы безопасности предприятий и сотрудников нет", - отметили в пресс-службе.
Mondelez
Проблемы из-за хакерской атаки возникли у российского подразделения компании Mondelez, которая, в частности, производит шоколадки Alpen Gold и Milka.
Банки
Атаке подверглись системы банка "Хоум Кредит", но в ЦБ не исключили, что также пострадавшими могут быть и другие банки.
Украина
Утром 27 июня были поражены компьютеры крупнейших украинских энергетических компаний.В "Киевэнерго" подтвердили факт поражения вирусом, отметив, что персонал вынужден был выключить все компьютеры.
Из-за низкой ликвидности атака не нашла своего отражения в котировках акций.
Позже факт атаки подтвердили в правительстве Украины. Вирусом оказались заражены системы "Ощадбанка", "Новой почты", аэропорта "Борисполь" и метрополитена в Киеве.
Другие страны
В Великобритании от Petya пострадала крупная рекламная компания WPP .Клон вируса-вымогателя Wanna Cry Petya, шифрующий содержимое жесткого диска, а после требующий выкуп за расшифровку поразил IT-системы банка «Хоум Кредит» и металлургической компании Evraz, в том числе и в Новокузнецке.
Корреспонденту "Прокопьевск.ру" сообщили сотрудники Evraz, что работа предприятия нарушена. Специалисты пытаются восстановить систему.
По последним данным Group-IB, накануне от вируса пострадали уже более 80 компаний и ведомств в России и на Украине. Кроме того, о сбоях в работе своих систем сообщила датская компания Maersk.
В частности, жертвами хакеров стали «Роснефть»и «Башнефть», российский офис. На Украине вирус заразил компьютеры кабмина, метро Киева, энергетических компаний, аэропорта «Борисполь». Об этом сообщает ФАН .
Портал "Медуза" подробно описывает, как работает вирус, а также путь заражения. Предалагем вам материал.
Наиболее подробно механизм работы вирусов-вымогателей был описан еще в апреле 2016 года в блоге компании Malwarebytes Labs. Тогда вирус распространялся как письмо с резюме сотрудника: по клику на него открывалась Windows-программа, требовавшая прав администратора. Если невнимательный пользователь соглашался, то программа-установщик переписывала загрузочную область жесткого диска и показывала «синий экран смерти»: сообщение о сбое, предлагающее перезагрузить компьютер.
На этой стадии, как пишут исследователи, жесткий диск еще не зашифрован, и данные можно спасти — например, если выключить компьютер и подключить жесткий диск к другому, но не загружаться с него. В этой ситуации все данные можно будет скопировать.
После перезагрузки Petya запускает программу, маскирующуюся под утилиту CHKDSK. На самом деле она не проверяет жесткий диск на предмет ошибок, а шифрует его, причем, как установили исследователи из Malwarebytes Labs, не целиком, а лишь частично. В «Лаборатории Касперского» в конце марта 2016 года утверждали, что метод шифрования, применяемый в Petya, позволяет с помощью специалистов восстановить все данные.
После завершения шифрования компьютер показывает красный экран с сообщением «Вы стали жертвой вируса-вымогателя Petya» и предложением заплатить 300 долларов в биткоинах. Подробная инструкция, как купить необходимую сумму в биткоинах и как ее перечислить, содержалась на сайте в «дарквебе».
Судя по скриншотам современной версии Petya, теперь никакого сайта и подробной инструкции нет: зараженным пользователям предлагается написать на указанный почтовый адрес и в обмен на доказательство перечисления средств получить код для расшифровки жесткого диска.
Исследователи отмечают, что часть Petya, отвечающая за блокировку доступа, перехватывает управление компьютером на самом раннем этапе загрузки. Она написана высококвалифированными программистами.
С начала 2016 года Petya неоднократно видоизменялся. Существуют версии с желтым оформлением экрана с требованием выкупа, существуют и такие, где название вируса не указывается.
Как именно работает и распространяется та версия Petya, с которой столкнулись пользователи 27 июня, пока не сообщается. Судя по масштабу заражения, вирус доработан и имеет какую-то более сложную систему распространения. На Github уже появилась ссылка на один из биткоин-кошельков, который собирает деньги с зараженных вирусом компьютеров. На момент написания текста «Медузы» на него перечислили чуть более 2300 долларов.
Наиболее простой метод защиты от Petya и аналогичных вирусов-вымогателей — не кликать на вложения в подозрительных письмах от людей, которых вы не знаете.
