Močan virus je udaril v IT sisteme velike banke in metalurškega podjetja Evraz
Klon izsiljevalskega virusa Wanna Cry Petya, ki šifrira vsebino trdega diska in nato za dešifriranje zahteva odkupnino, je udaril v sisteme IT banke Home Credit Bank.in metalurško podjetje Evraz, vključno z Novokuznetskom.
Dopisniku Prokopyevsk.ru so zaposleni v Evrazu povedali, da je delo podjetja moteno. Strokovnjaki poskušajo obnoviti sistem.
Po zadnjih podatkih Group-IB je na predvečer virusa trpelo že več kot 80 podjetij in oddelkov v Rusiji in Ukrajini. Poleg tega je dansko podjetje Maersk poročalo o okvarah v svojih sistemih.
Zlasti Rosneft in Bashneft, ruski urad, sta postala žrtev hekerjev. V Ukrajini je virus okužil računalnike kabineta ministrov, kijevskega metroja, energetskih podjetij in letališča Borispil. FAN poroča.
Portal Meduza podrobno opisuje delovanje virusa in pot okužbe. Mi vam zagotovimo material.
Mehanizem, kako deluje izsiljevalska programska oprema, je bil najbolj podrobno opisan že aprila 2016 v objavi na blogu Malwarebytes Labs. Nato je bil virus razdeljen kot pismo z življenjepisom zaposlenega: s klikom nanj se je odprl program Windows, ki je zahteval skrbniške pravice. Če se je nepozoren uporabnik strinjal, je namestitveni program prepisal zagonsko območje trdega diska in prikazal " moder zaslon smrt«: sporočilo o zrušitvi, ki vas poziva, da znova zaženete računalnik.
Na tej stopnji, kot pišejo raziskovalci, trdi disk še ni šifriran, podatke pa je mogoče shraniti - na primer, če izklopite računalnik in trdi disk povežete z drugim, vendar se ne zaženete z njega. V tem primeru je mogoče vse podatke kopirati.
Po ponovnem zagonu Petya zažene program, ki se maskira kot pripomoček CHKDSK. Trdega diska pravzaprav ne preverja za napake, temveč ga šifrira, in to, kot so ugotovili raziskovalci iz Malwarebytes Labs, ne v celoti, ampak le delno. Konec marca 2016 je Kaspersky Lab trdil, da metoda šifriranja, uporabljena v Petya, omogoča obnovitev vseh podatkov s pomočjo strokovnjakov.
Po končanem šifriranju se na računalniku prikaže rdeč zaslon s sporočilom »Bili ste žrtev izsiljevalskega virusa Petya« in ponudbo za plačilo 300 $ v bitcoinih. Podrobna navodila o tem, kako kupiti zahtevani znesek v bitcoinih in kako ga nakazati, so bila na strani v "temnem spletu".
Sodeč po posnetkih zaslona sodobne različice Petya zdaj ni spletne strani in podrobna navodila ne: okuženi uporabniki so pozvani, da pišejo na določeno poštni naslov in v zameno za dokazilo o prenosu sredstev prejmete kodo za dešifriranje trdega diska.
Raziskovalci ugotavljajo, da del Petya, ki je odgovoren za blokiranje dostopa, prestreže nadzor nad računalnikom v zelo zgodnji fazi zagona. Napisali so ga visoko usposobljeni programerji.
Od začetka leta 2016 se je Petya večkrat spremenila. Obstajajo različice z rumenim zaslonom z opombo o odkupnini in obstajajo tiste, kjer ime virusa ni navedeno.
Kako natančno deluje in se distribuira različica Petya, na katero so uporabniki naleteli 27. junija, še niso poročali. Po obsegu okužbe sodeč je virus dokončno oblikovan in ima nekoliko bolj zapleten distribucijski sistem. Na Githubu se je že pojavila povezava do ene izmed bitcoin denarnic, ki zbira denar iz računalnikov, okuženih z virusom. Od tega pisanja je Meduza prejela nekaj več kot 2300 dolarjev.
Pred Petyo in podobno izsiljevalsko programsko opremo se najlažje zaščitite tako, da ne kliknete priponk v sumljivih elektronskih sporočilih ljudi, ki jih ne poznate.
Vir v podjetju uredništvu sporočila, da delo glavnih delavnic EVRAZ-ZSMK je paralizirano zaradi težav z računalniki. Okuženi so bili tehnološki osebni računalniki glavnih delavnic računalniški virus WannaCry.
WannaCry je izsiljevalski virus, ki šifrira podatke, shranjene v pomnilniku računalnika, in za odklepanje zahteva denar.
Po navedbah tiskovne službe podjetja Positive Technologies, specializiranega za informacijsko varnost, je v zadnjem mesecu na tisoče uporabnikov po vsem svetu utrpelo ogromen napad izsiljevalske programske opreme WannaCry po vsem svetu. Med žrtvami so velika mednarodna podjetja, vladne agencije in seveda navadni uporabniki interneta. Pokritost z okužbo je presegla mejo 200.000 strojev in bo očitno še rasla. Napade so zabeležili v 150 državah sveta, med žrtvami je tudi Rusija. Obstajajo informacije o poskusih okužbe v več organizacijah - MegaFon, VimpelCom, Sberbank, Ruske železnice, Ministrstvo za zdravje, Ministrstvo za izredne razmere in Ministrstvo za notranje zadeve. Napad se je izkazal za tako obsežen, da je Microsoft izdal ustrezno posodobitev celo za Windows XP, katerega podpora je bila prekinjena od leta 2014. Za širjenje WannaCry se uporablja ETERNALBLUE exploit za Windows OS iz kompleta za združevanje Shadow Brokers, ki je pricurljal v omrežje. Omeniti velja, da je bila posodobitev, ki odpravlja to ranljivost, izdana že marca, torej dva meseca pred tem napadom. Napadalci (mimogrede, ki so do zdaj prejeli približno 90.000 dolarjev, sodeč po izplačilih v bitcoin denarnice) so že uspeli izdati več modifikacij zlonamerne programske opreme. To je verjetno do neke mere posledica prezgodnje registracije preklopne domene s strani strokovnjaka za kibernetsko varnost. Ta poteza je za nekaj ur upočasnila širjenje zlonamerne programske opreme. Mnogi strokovnjaki se trudijo rešiti problem dešifriranja datotek, ne da bi plačali "storitve" distributerjev blokatorjev. Več podjetij je že predstavilo analizo principa delovanja WannaCry, ki se distribuira preko SMB in nato okuži delovne postaje v LAN.
Nevarnost uporabe SMBv1 je znana že dolgo. Popravek za odpravo ranljivosti je bil izdan pred tremi meseci. O uhajanju paketa exploit s strani skupine Shadow Brokers se je govorilo dobesedno povsod. Samo oseba, ki še nikoli ni uporabljala interneta, ni slišala za potrebo po uporabi varnostnih kopij. Zdi se, da v takih razmerah sploh ne bi smelo biti epidemije, a žal. Vse govori o neodgovornem odnosu administratorjev, varnostnikov in do neke mere o nepoznavanju informacijske varnosti s strani uporabnikov. Rezultati raziskav Positive Technologies potrjujejo razširjenost problema uporabe ranljivih različic programske opreme v korporativni infrastrukturi. Hkrati, kot je prikazano Epidemija WannaCry, varnost sistema ni odvisna od panoge podjetja, kar na splošno potrjujejo razpoložljive analitike. Napadi prek ranljivosti v zastareli programski opremi v enako prizadeti so sistemi industrijskih podjetij, IT, telekomunikacije, finančni sektor in vladne institucije.
Moskva, 28. junija - Vesti.Ekonomika. Izkazalo se je, da je izsiljevalski virus Petya močnejši in nevarnejši od nedavno senzacionalnega WannaCry. Najprej so trpela podjetja v Rusiji in Ukrajini, vendar se je virus že razširil po vsem planetu.
Forbes, ki se sklicuje na strokovnjake za kibernetsko varnost, piše, da zaradi posebnosti distribucije in razlik od že znanih programov novi virus nevarnejši od podobnih, zato se še hitreje širi, prav tako ni »magic knife switch«, kot je bilo pri WannaCry.
Hkrati je WannaCry napadel več kot 200 tisoč uporabnikov v 150 državah sveta, strokovnjaki pa se še vedno ne morejo zediniti o ocenah škode, a pogovarjamo se okoli sto milijard dolarjev.
Omeniti velja, da je bil napad virusa Petya usmerjen na infrastrukturna podjetja: naftna, telekomunikacijska in finančna podjetja v Rusiji in Ukrajini. V drugih državah so bila napadena tudi velika podjetja, tudi logistična.
Rusija
Rosneft in Bashneft27. junija je Rosneft objavil "močan hekerski napad" na svoje strežnike. Ob dejstvu kibernetskega napada se je podjetje obrnilo na organe pregona.
Po mnenju Mihaila Leontjeva bi hekerski napad lahko povzročil resne posledice, vendar zaradi dejstva, da je podjetje prešlo na rezervni sistem za nadzor procesov, nista ustavili niti proizvodnje niti priprave olja.
Vedomosti ugotavljajo, da računalniki v Bashneftu ne delujejo, prav tako ni bila odprta spletna stran Rosnefta.
Cilj hekerjev pri napadu na Rosneftove strežnike bi lahko bile informacije, pomembne za tožbe, v katere je vpleteno podjetje, je dejal tiskovni predstavnik Rosnefta Mihail Leontjev.
"Če pogledate racionalne motive, ki bi jih lahko imeli hekerji, potem je kljub temu nemogoče ne opaziti, da bi bil tak racionalen motiv" ubiti "Bashneftove računalnike, ki vsebujejo veliko število informacije o dejavnostih Bashnefta v obdobju lastništva prejšnjih lastnikov," je dejal Leontiev, ki ga citira portal BFM.
Evraz
Hekerskemu napadu je bil izpostavljen tudi informacijski sistem Evraz.
"Informacijski sistem Evraz je napadel heker. Glavni proizvodni obrati še naprej delujejo, varnost podjetij in zaposlenih ni ogrožena," je sporočila tiskovna služba.
Mondelez
Težave zaradi hekerskega napada so se pojavile v ruski diviziji Mondeleza, ki proizvaja predvsem čokoladi Alpen Gold in Milka.
Banke
Napadeni so bili sistemi banke Home Credit, centralna banka pa ni izključila, da bi lahko bile prizadete tudi druge banke.
Ukrajina
27. junija zjutraj so bili udarjeni računalniki največjih ukrajinskih energetskih podjetij.Kyivenergo je potrdil dejstvo o porazu virusa in opozoril, da je bilo osebje prisiljeno izklopiti vse računalnike.
Zaradi nizke likvidnosti se napad ni odrazil na borznih tečajih.
Kasneje je dejstvo o napadu potrdila ukrajinska vlada. Virus je okužil sisteme Oschadbank, " Nova pošta", letališče "Borispol" in podzemna železnica v Kijevu.
Druge države
V Združenem kraljestvu je zaradi Petye trpelo veliko oglaševalsko podjetje WPP.Vzrok obsežnega napada na naftna, telekomunikacijska in finančna podjetja v Rusiji in Ukrajini je bil šifrirni virus Petya. Napad, ki se je začel danes okoli 14. ure, je prizadel že več deset podjetij. Virus blokira računalnike in zahteva 300 $ v bitcoinih. Širi se po vsem svetu in je po podatkih družbe Kaspersky Lab prizadela že "ogromno število držav".
Kot so Kommersantu povedali v podjetju Group-IB, ki se ukvarja s preprečevanjem in preiskovanjem kibernetske kriminalitete ter prevar, se kriptolocker Petya distribuira podobno kot virus WannaCry. Med žrtvami kibernetskega napada so bila omrežja ruskih Bashneft, Rosneft, ukrajinskega Zaporozhyeoblenergo, Dneproenergo in Dnieper Electricity System. Tudi v Rusiji so bili napadeni Mondelez International, Mars in Nivea. Poleg tega so bili po podatkih Group-IB v Ukrajini napadeni vladni računalniki, kijevski metro, trgovine Auchan, telekomunikacijski operaterji (Kyivstar, LifeCell, Ukrtelecom), Privatbank, jedrska elektrarna v Černobilu in domnevno letališče Boryspil.
Tiskovni predstavnik Rosnefta Mihail Leontjev je za Kommersant povedal, da je bil napad zelo močan in da bi lahko bila škoda velika, če proizvodnih enot ne bi takoj prestavili na rezervne nadzorne sisteme. "Zaradi tega zdaj vsa proizvodna sredstva delujejo normalno in v tem segmentu ni bilo nobene škode," je poudaril Mihail Leontjev. Eden od sogovornikov Kommersanta v centralni pisarni Rosnefta pravi, da znakov virusa ni opazil. "Po poročilih o napadu so nas prosili, naj izklopimo svoje računalnike," je dejal. Drug vir Kommersanta, ki je blizu Rosnefta, je povedal, da so v številnih hčerinskih podjetjih družbe, tudi v zveznem okrožju Ural, računalnike zaposlenih blokirala pojavna okna z virusi.
Vir Kommersanta v LUKOIL-u je dejal, da sistemi delujejo normalno. "Zaposleni so bili opozorjeni, naj ne odpirajo pisem z neznanih naslovov in sumljivih priponk," je dejal.
Predstavnik Evraza je dejal, da je bil napaden informacijski sistem podjetja, vendar glavni proizvodni obrati še naprej delujejo. "Varnost podjetij in zaposlenih ni ogrožena," je dejal.
Centralna banka (CB) je razkrila tudi primere okužbe ruskih informacijskih sistemov kreditne institucije kot posledica hekerskega napada. »Po podatkih Banke Rusije so bili zaradi napadov zabeleženi posamezni primeri okužbe objektov informacijske infrastrukture. Kršitve sistemov bank in kršitve zagotavljanja storitev strankam niso bile zabeležene, «izjavo centralne banke citira RNS.
V ruskem Marsu je hekerski napad vplival na delo oddelka Royal Canin. Njegov predstavnik je Kommersantu povedal, da "obstajajo določene težave pri delu IT." »Nimamo računalnikov. Strokovnjaki preučujejo problem,« je dejal. Mondelez International je potrdil, da so se zaposleni v podjetju soočili s tehnološkimi težavami, ki niso prizadele le ruskega predstavništva, temveč tudi evropske podružnice. "Na ta trenutek ne moremo komentirati podrobnosti situacije in delamo na rešitvi problema,« so sporočili iz tiskovne službe.
Banka Home Credit je prekinila storitve za stranke zaradi hekerski napad. Tiskovna služba banke je sporočila, da trenutno vse podružnice delujejo po običajnem urniku, vendar v načinu posvetovanja strank ni mogoče izvajati transakcij v poslovalnicah, bankomati in klicni center delujejo. Spletna stran banke ni na voljo.
Po podatkih Kaspersky Laba se je virus Petya ransomware razširil po vsem svetu. To je izjavil vodja mednarodne raziskovalne skupine Kaspersky Lab Kostin Rayu v svojem mikroblogu v Twitter . « Virus Petya s kontaktnim naslovom [e-pošta zaščitena]širi po vsem svetu, prizadetih je ogromno držav,« je dejal.
Več evropskih podjetij je že poročalo o kibernetskih napadih na njihove računalnike. Med njimi so britansko oglaševalsko podjetje WPP, nizozemski transportno podjetje APM, dansko podjetje A.P. Moller-Maersk, kot tudi eno od mednarodnih podjetij na Norveškem. Poleg tega so bili napadeni strežniki predstavništev mednarodnih podjetij Mondelēz International in DLA Piper v Španiji, njihovi računalniški sistemi so bili popolnoma onesposobljeni.
Protivirusno podjetje Dr. Web je izvedel študijo kibernetskih napadov. Družba je dejala, da kljub vzporednicam v medijih z Izsiljevalski virus Petya, ki je prizadel računalnike številnih podjetij v Rusiji in Ukrajini, se virus od Petye razlikuje po načinu širjenja. Tako kot prejšnji virus WannaCry se tudi trojanec širi sam od sebe, vendar še ni natančnih podatkov o načinu njegove distribucije in imenu, Dr. Splet.
Sergej Ryzhikov, generalni direktor 1C-Bitrix, v oddaji Kommersant FM:»Ne morete napisati protivirusnega programa, ki ščiti pred čisto vsemi virusi. Naredi se modifikacija virusa in dobi nekaj prednosti za nekaj dni, dokler antivirusi ne izdajo ustreznih posodobitev. Vse to je mogoče, ker obstaja gospodarska korist: z ustvarjanjem klonov virusov imajo kriminalci možnost pridobiti ta denar prek bitcoina. In če obstaja možnost prejeti in ne biti kaznovan, se bo ta zgodba ponavljala. Obstaja ena zanesljiv način da se ne okuži, je trajno odklopljen od interneta in ni absolutnega jamstva, ker se bo nekaj zataknilo v ta računalnik - isti bliskovni pogoni - in to ustvarja določena tveganja.
Julia Silence, Oleg Trutnev, Dmitrij Kozlov, Anatolij Džumajlo, Olga Mordjušenko
