Meniu
AcasăBrowsere

A apărut un nou virus ransomware periculos Petya.A: Rosneft și zeci de alții sunt infectați

Serviciul de presă al Group-IB, care investighează infracțiunile cibernetice, a declarat pentru RBC că atacul hackerilor asupra unui număr de companii care utilizează virusul de criptare Petya a fost „foarte asemănător” cu atacul care a avut loc la mijlocul lunii mai folosind programul malware WannaCry. Petya blochează computerele și cere în schimb 300 USD în bitcoini.

„Atacul a avut loc în jurul orei 14.00. Judecând după fotografii, acesta este criptolockerul Petya. Metoda de distribuție în rețeaua locală este similară cu virusul WannaCry”, reiese din mesajul serviciului de presă Group-IB.

Totodată, un angajat al uneia dintre subsidiarele Rosneft, care este implicată în proiecte offshore, spune că calculatoarele nu s-au oprit, au apărut ecrane cu text roșu, dar nu pentru toți angajații. Cu toate acestea, compania se prăbușește și lucrările s-au oprit. Interlocutorii mai notează că toată energia electrică a fost oprită complet la biroul Bashneft din Ufa.

La ora 15:40, ora Moscovei, site-urile oficiale ale Rosneft și Bashneft nu sunt disponibile. Faptul că nu există niciun răspuns poate fi confirmat pe resursele de verificare a stării serverului. De asemenea, site-ul web al celei mai mari subsidiare a lui Rosneft, Yuganskneftegaz, nu funcționează.

Compania a postat ulterior pe Twitter că hack-ul ar fi putut duce la „consecințe grave”. În ciuda acestui fapt, procesele de producție, producția și prepararea uleiului nu au fost oprite din cauza trecerii la un sistem de control de rezervă, a explicat compania.

În prezent, Curtea de Arbitraj din Bashkortostan a încheiat o ședință la care a analizat cererea lui Rosneft și a lui Bashneft controlat împotriva AFK Sistema și Sistema-Invest pentru recuperarea a 170,6 miliarde de ruble, care, potrivit companiei petroliere, „Bashneft a suferit pierderi. ca urmare a reorganizării din 2014.

Un reprezentant al AFK Sistema a cerut instanței să amâne cu o lună următoarea ședință, astfel încât părțile să aibă timp să se familiarizeze cu toate petițiile. Judecătorul a programat următoarea ședință peste două săptămâni - pe 12 iulie, menționând că AFC are mulți reprezentanți și aceștia vor face față în această perioadă.

Compania Rosneft a fost supusă unui atac puternic de hackeri, după cum a raportat pe Twitter.

„Un atac puternic al hackerilor a fost efectuat pe serverele companiei. Sperăm că acest lucru nu are nimic de-a face cu procedurile legale în curs”, se arată în comunicat. Site-ul web Rosneft nu era disponibil la momentul publicării notei.

Compania petrolieră a raportat că a contactat autoritățile de aplicare a legii în legătură cu incidentul. Datorită acțiunilor prompte ale serviciului de securitate, activitatea lui Rosneft nu a fost întreruptă și continuă în mod normal.

„Un atac de hacker ar putea duce însă la consecințe grave, din cauza faptului că compania a trecut la un sistem de rezervă pentru gestionarea proceselor de producție, nici producția de petrol, nici pregătirea uleiului nu a fost oprită”, au declarat reprezentanții companiei unui corespondent Gazeta.Ru.

Aceștia au avertizat că oricine răspândește informații false „va fi considerat complici ai organizatorilor atacului și va fi tras la răspundere împreună cu aceștia”.

În plus, computerele companiei Bashneft au fost infectate, au informat aceștia "Vedomosti". Virusul ransomware, precum infamul WannaCry, a blocat toate datele computerului și cere ca o răscumpărare în bitcoini echivalentă cu 300 USD să fie transferată criminalilor.

Din păcate, acestea nu sunt singurele victime ale unui atac pe scară largă a hackerilor - canalul Cybersecurity and Co. Telegram. raportează un hack cibernetic al Mondelez International (mărcile Alpen Gold și Milka), Oschadbank, Mars, Nova Poshta, Nivea, TESA și alte companii.

Autorul canalului, Alexander Litreyev, a spus că virusul se numește Petya.A și că este într-adevăr similar cu WannaCry, care a infectat peste 300 de mii de computere din întreaga lume în luna mai a acestui an. Petya.A atacă hard disk-ul și criptează tabelul de fișiere master (MFT). Potrivit Litreev, virusul a fost distribuit în e-mailuri de phishing cu atașamente infectate.

ÎN blog Kaspersky Lab a publicat o publicație cu informații despre cum se produce infecția. Potrivit autorului, virusul se răspândește în principal prin managerii de resurse umane, deoarece scrisorile sunt deghizate în mesajul unui candidat pentru o anumită funcție.

„Un specialist în resurse umane primește un e-mail fals cu un link către Dropbox, care se presupune că vă permite să accesați și să descărcați un „cv”. Dar fișierul din link nu este un document text inofensiv, ci o arhivă autoextractabilă cu extensia .EXE”, spune expertul.

După deschiderea fișierului, utilizatorul vede un „ecran albastru al morții”, după care Petya.A blochează sistemul.

Specialiștii Group-IB au declarat pentru Gazeta.Ru că criptatorul Petya a fost folosit recent de grupul Cobalt pentru a ascunde urmele unui atac țintit asupra instituțiilor financiare.

Din nou hackeri ruși

Ucraina a fost lovită cel mai greu de virusul Petya.A. Printre victime se numără Zaporozhyeoblenergo, Dneproenergo, Metroul Kiev, operatorii ucraineni de telefonie mobilă Kyivstar, LifeCell și Ukrtelecom, magazinul Auchan, Privatbank, aeroportul Boryspil și alte organizații și structuri.

În total, peste 80 de companii din Rusia și Ucraina au fost atacate.

Membru al Radei Ucrainene de la Frontul Popular, membru al consiliului de conducere al Ministerului Afacerilor Interne, Anton Gerashchenko, a spus că serviciile speciale ruse sunt de vină pentru atacul cibernetic.

„Conform informațiilor preliminare, acesta este un sistem organizat de serviciile speciale ruse. Țintele acestui atac cibernetic sunt băncile, mass-media, Ukrzaliznytsia, Ukrtelecom. Virusul a ajuns pe computere timp de câteva zile, chiar săptămâni, sub formă de diferite tipuri de mesaje de e-mail, utilizatorii care au deschis aceste mesaje au permis virusului să se răspândească pe toate computerele. Acesta este un alt exemplu de utilizare a atacurilor cibernetice într-un război hibrid împotriva țării noastre”, a spus Gerașcenko.

Atacul ransomware WannaCry a avut loc la mijlocul lui mai 2017 și a paralizat activitatea mai multor companii internaționale din întreaga lume. Prejudiciul cauzat comunității globale de virusul WannaCry pe scară largă a fost estimat la 1 miliard de dolari.

Malware-ul a exploatat o vulnerabilitate a sistemului de operare Windows, a blocat computerul și a cerut o răscumpărare. Răspândirea virusului a fost oprită accidental de către un programator britanic - el a înregistrat numele de domeniu pe care l-a accesat programul.

În ciuda faptului că atacul cibernetic WannaCry a avut o amploare planetară, în total au fost înregistrate doar 302 cazuri de plăți de răscumpărare, în urma cărora hackerii au reușit să câștige 116 mii de dolari.

Unul dintre vorbitorii cheie la Positive Hack Days 9 va fi celebrul cercetător în domeniul securității rețelei GSM Karsten Nohl. În timpul studenției, a fost cunoscut ca membru al comunității Chaos Computer Club astăzi, Carsten este un expert în domeniul criptării și securității datelor. pune sub semnul întrebării și adesea respinge înțelepciunea convențională despre software-ul proprietar. În activitatea sa, se bazează pe sprijinul Reliance Jio, compania cu cea mai rapidă creștere din lume.

Karsten și-a făcut cunoscută prezența pentru prima dată în 2009, când a reușit să spargă algoritmul de codificare a datelor în rețelele GSM. La Chaos Communication Congress de la Berlin, el a fost primul care a demonstrat public procesul de hacking.

În 2013, a descoperit o vulnerabilitate în cardurile SIM, care era conținută în algoritmul de criptare DES (Data Encryption Standard) - a fost folosit de mulți producători și susținut de milioane de carduri SIM. Esența atacului a fost trimiterea unui mesaj special către telefon, dispozitivul l-a confundat cu un SMS de la operator și a emis o semnătură criptografică în mesajul de răspuns. După ce a primit acest lucru, atacatorul ar putea să asculte cu urechea conversațiile proprietarului telefonului, să intercepteze SMS-urile și să facă plăți. Un atacator ar putea dura doar câteva minute pentru a sparge un telefon.

Împreună cu Jakob Lell, cercetător la Security Research Labs, Karsten a raportat o vulnerabilitate în dispozitivele USB în 2014. Cu ajutorul acestuia, atacatorii ar putea sparge microcontrolerul și ar putea obține capacitatea de a controla computerul victimei. Metoda se numește BadUSB. În același an, la Chaos Communication Congress, Carsten Nohl și cercetătorul Tobias Engel au descris vulnerabilități grave în SS7 care permit atacatorilor să intercepteze cu ușurință conversațiile telefonice și mesajele SMS, chiar și atunci când rețelele celulare folosesc cele mai recente standarde de criptare. Toate telefoanele și smartphone-urile sunt vulnerabile, indiferent de sistemul de operare.

Anul trecut, Carsten Nohl și Jakob Lell au împărtășit rezultatele unui studiu de doi ani la conferința Hack In The Box în care au examinat compoziția actualizărilor de securitate lansate de cei mai mari producători de dispozitive Android. A arătat că mulți producători mari creează doar aspectul lansării de patch-uri, dar, în realitate, multe erori rămân neremediate.

La PHDays 9, care va avea loc în perioada 21-22 mai 2019, Karsten Nohl va susține o prezentare „Ce se află sub aisberg: să vorbim despre amenințările cibernetice reale”. O analiză globală a datelor de securitate de la mii de companii din zeci de industrii arată cât de dificil este pentru majoritatea organizațiilor să integreze principiile de bază de securitate. Karsten va discuta cu participanții la forum despre ce ar trebui să-i pese cu adevărat unei societăți care luptă pentru securitatea informațiilor.

Pe baza materialelor media

Pe 27 iunie, lumea a suferit un alt atac de hacker: un virus cu numele batjocoritor de frivol Petya a blocat computerele în multe țări, cerând 300 de dolari pentru returnarea accesului la bazele de date ale companiei. După ce a strâns aproximativ 8 mii, „Petya” s-a calmat, lăsând, totuși, o mulțime de întrebări.

Cel mai presant, desigur, este cine, unde? Potrivit revistei Fortune, o publicație foarte autorizată, „Petya” a venit la noi din Ucraina. Poliția cibernetică germană este înclinată spre același punct de vedere și, în mod caracteristic, și cea ucraineană. „Petya” a intrat în lumea mare din adâncurile companiei ucrainene „Intellect-Service” - un dezvoltator personalizat al unei game largi de software.

În special, cel mai mare client al companiei este operatorul de telefonie celulară ucraineană Vodafone, mai cunoscut sub numele de MTS Ukraine - așa a fost numit până în 2015. În general, MTS este un activ cheie al corporației AFK Sistema, deținută de binecunoscutul Vladimir Yevtushenkov. Omul de afaceri nu a intervenit în dezvoltarea și lansarea Petit?

Potrivit lui Versiya, acest lucru este mai mult decât probabil. „Petya” a pornit pe „drumul său” chiar înainte de întâlnirea Curții de Arbitraj din Bashkortostan, unde au fost luate în considerare pretențiile lui Rosneft împotriva AFK Sistema, fostul proprietar al Bashneft, care a fost transferată la dispoziția celei mai mari companii petroliere naționale. . Potrivit lui Rosneft, cu conducerea lor, Yevtushenkov și conducerea sa de vârf i-au cauzat lui Bashneft pierderi de 170 de miliarde de ruble, despăgubiri pentru care cer în instanță.

Instanța, de altfel, este înclinată să-l creadă pe noul proprietar, deoarece a sechestrat deja 185 de miliarde de ruble aparținând celui vechi, inclusiv, de altfel, 31,76% din acțiunile MTS. În consecință, starea lui Yevtushenkov „a dispărut” la aproape jumătate, iar nervii omului de afaceri au început să cedeze din ce în ce mai des. Care este valoarea unui fals acord de soluționare care a ajuns la instanță de nicăieri - reclamantul, după cum s-a dovedit, nu l-a văzut niciodată, cu atât mai puțin l-a semnat.

Dacă scrisorile anonime nu au funcționat, atunci următorul pas logic este ascunderea dovezilor faptelor dubioase ale inculpatului incriminate împotriva sa. Și aceste dovezi sunt stocate în computerele lui Bashneft, care au fost transferate împreună cu toate celelalte proprietăți ale sale către Rosneft. Așa că nu ar trebui să râzi de „Petya” - creatorii săi nu au vrut să „face bani cu ușurință”, ci să curețe punctele libere.

Și, în general, calculul nu a fost rău. Iar compania ucraineană nu a fost aleasă întâmplător - unde, dacă nu în Ucraina, toate anchetele oficiale vor rămâne blocate, iar colectarea probelor va ajunge într-o fundătură? Și sistemul informatic Rosneft a zguduit sub un atac de hacker, dar, datorită sistemului de rezervă, a supraviețuit, pe care fostul proprietar nu ar fi putut conta - probabil că se aștepta ca sistemul de apărare cibernetică al adversarului să fie plin de găuri, așa cum era la Bashneft în timpul AFK Sistema.

De aceea, probabil, autorii atacului s-au grăbit să răspândească zvonuri că Rosneft a trebuit să suspende producția. Nu, producția nu s-a oprit, dar aceste zvonuri indică încă o dată că creatorii „Petit” au fost foarte interesați de acest lucru. Și astăzi, discreditarea lui Rosneft este primul punct de pe ordinea de zi a structurilor lui Vladimir Yevtushenkov.

Detalii

A închide

Cel mai interesant lucru despre inițiativa Gărzii Ruse de a înăspri pedepsele pentru activitățile ilegale de securitate privată nu sunt sancțiunile propuse, ci obiectul forței definit clar de cel mai tânăr serviciu special rus. De fapt, se plănuiește declararea unui adevărat război asupra diversei armate de paznici și administratori.

În după-amiaza zilei de 27 iunie, Rosneft a raportat un atac de hacker asupra serverelor sale. În același timp, au apărut informații despre un atac similar asupra calculatoarelor Bashneft, Ukrenergo, Kyivenergo și a altor companii și întreprinderi.

Virusul blochează computerele și stoarce bani de la utilizatori, este similar cu .



O sursă apropiată uneia dintre structurile companiei notează că toate computerele de la rafinăria Bashneft, Bashneft-Production și managementul Bashneft „au repornit imediat, după care au descărcat software-ul dezinstalat și au afișat ecranul de splash cu virusul WannaCry”. Pe ecran, utilizatorilor li s-a cerut să transfere 300 USD în bitcoini la adresa specificată, după care utilizatorilor li se trimitea o cheie pentru a-și debloca computerele prin e-mail. Virusul, judecând după descriere, a criptat toate datele de pe computerele utilizatorilor.

"Vedomosti"


„Banca Națională a Ucrainei a avertizat băncile și alți participanți din sectorul financiar cu privire la un atac de hacker extern de către un virus necunoscut asupra mai multor bănci ucrainene, precum și asupra unor întreprinderi din sectorul comercial și public, ceea ce se întâmplă astăzi.

Ca urmare a unor astfel de atacuri cibernetice, aceste bănci întâmpină dificultăți în deservirea clienților și în efectuarea tranzacțiilor bancare.”

Banca Națională a Ucrainei


Sistemele informatice ale companiei energetice a capitalei Kyivenergo au fost supuse unui atac de hackeri, a declarat compania pentru Interfax-Ucraina.

„Am fost supuși unui atac de hacker în urmă cu două ore, am fost forțați să oprim toate computerele, așteptăm permisiunea de a porni de la serviciul de securitate”, a spus Kievenergo.

La rândul său, NEC Ukrenergo a declarat pentru Interfax-Ucraina că compania a întâmpinat și probleme cu sistemele sale informatice, dar acestea nu au fost critice.

„Au fost unele probleme cu funcționarea computerelor, dar, în general, totul este stabil și controlat, pe baza rezultatelor unei investigații interne”, a menționat compania.

„Interfax-Ucraina”


Rețelele Ukrenergo și DTEK, cele mai mari companii energetice din Ucraina, au fost infectate cu o nouă formă de ransomware care amintește de WannaCry. TJ a fost informat despre acest lucru de o sursă din cadrul uneia dintre companii care s-a confruntat direct cu atacul virusului.

Potrivit sursei, în după-amiaza zilei de 27 iunie, computerul său de la serviciu i-a repornit, după care sistemul ar fi început să verifice hard disk-ul. După aceea, a văzut că se întâmplă un lucru asemănător pe toate computerele din birou: „Mi-am dat seama că era în curs de atac, mi-am oprit computerul, iar când l-am pornit, era deja un mesaj roșu despre Bitcoin și bani."


Sunt afectate și calculatoarele din rețeaua companiei de soluții logistice Damco. Atât în ​​divizia europeană, cât și în cea rusă. Răspândirea infecției este foarte largă. Se știe că în Tyumen, de exemplu, totul este și el înșelat.

Dar să revenim la subiectul Ucrainei: aproape toate computerele Zaporozhyeoblenergo, Dneproenergo și Dnieper Electric Power System sunt, de asemenea, blocate de un atac de virus.

Pentru a fi clar, acesta nu este WannaCry, ci un malware similar ca comportament.

Rafinaria Rosneft Ryazan - rețeaua a fost oprită. De asemenea, un atac. Pe lângă Rosneft/Bashneft, au fost atacate și alte companii mari. Au fost raportate probleme la Mondelēz International, Oschadbank, Mars, Nova Poshta, Nivea, TESA și altele.

Virusul a fost identificat - este Petya.A. Petya.A mănâncă hard disk-uri. El criptează tabelul principal de fișiere (MFT) și stoarce bani pentru decriptare.

Metroul din Kiev a fost, de asemenea, supus unui atac de hacker. Au fost atacate calculatoarele guvernamentale din Ucraina, magazinele Auchan, operatorii ucraineni (Kyivstar, LifeCell, UkrTeleCom), PrivatBank. Există rapoarte despre un atac similar asupra KharkovGaz. Potrivit administratorului de sistem, pe mașini a fost instalat Windows 7 cu cele mai recente actualizări. Pavel Valerievich Rozenko, vicepremierul Ucrainei, a fost și el atacat. Aeroportul Boryspil a fost, de asemenea, supus unui atac de hacker.

Canalul Telegram „Cybersecurity and Co.


27 iunie, ora 16:27 Cel puțin 80 de companii rusești și ucrainene au fost afectate de virusul Petya.A, a declarat Valery Baulin, reprezentant al Group-IB, care este specializat în detectarea timpurie a amenințărilor cibernetice.
„Conform datelor noastre, peste 80 de companii din Rusia și Ucraina au fost afectate ca urmare a atacului folosind virusul de criptare Petya.A”, a spus el. Baulin a subliniat că atacul nu are legătură cu WannaCry.

Pentru a opri răspândirea virusului, este necesar să închideți imediat porturile TCP 1024–1035, 135 și 445, a subliniat Group-IB.<...>

„Printre victimele atacului cibernetic s-au numărat rețelele Bashneft, Rosneft, companiile ucrainene Zaporozhyeoblenergo, Dneproenergo și Dnieper Electric Power System, Mondelēz International, Oschadbank, Mars, Novaya Poshta, Nivea, TESA și altele au fost blocate de atacul virusului; Metroul din Kiev a fost, de asemenea, supus unui atac al hackerilor. Computerele guvernamentale din Ucraina, magazinele Auchan, operatori ucraineni (Kyivstar, LifeCell, UkrTeleCom) au fost atacate, iar Aeroportul Privat Bank Boryspil ar fi fost, de asemenea, supus unui atac de hacker. subliniază.

Specialiștii Group-IB au mai descoperit că ransomware-ul Petya.A a fost folosit recent de grupul Cobalt pentru a ascunde urmele unui atac țintit asupra instituțiilor financiare.