Вирусу-вымогателю WannaCry пришел на смену такой же шифровальщик, но с менее замысловатым названием — Petya. Днем 27 июня «Петя» поразил сети крупнейших компаний мира, инфраструктурные объекты в разных странах, и даже правительственные сети. Речь идет о сети кабинета министров Украины, компании «Роснефть» и «Башнефть», Mars, Nivea и многие другие. В Кремле между тем заявили, что правительственные сети России вирус не затронул.
По данным «Лаборатории Касперского», шифровальщик Petya.A использует поддельную электронную подпись Microsoft. Технология электронной подписи кода используется для того, чтобы показать пользователям, что программа разработана доверенным автором и гарантирует, что не нанесет вреда. В «Лаборатории Касперского» полагают, что вирус был создан 18 июня 2017 года.
Больше всего пострадала Украина
На Украине массовой хакерской атаке подверглись компьютерные сети кабинета министров, Киевской городской администрации, десятков государственных и частных крупных банков и компаний, аэропортов и столичного метро. Позднее официальный Киев возложил ответственность за атаку на российские спецслужбы, назвав происходящее элементом гибридной войны.
По информации телеканала «112.Украина», масштабная атака началась около 11:30 утра. Вскоре вирус распространился на десятки государственных и частных организаций.
Журналисты также опубликовали предварительный список жертв хакеров: банки ТАСС, «Ощадбанк», «Пивденный», ОТП, «Приватбанк»; аэропорт Борисполь, «Укрпочта», Киевский метрополитен, «Новая почта», «Укрэнерго», «Киевэнерго», сеть заправок ТНК, канал ATR, Киевводоканал, официальный сайт правительства, ГП «Антонов», ГП «Документ».
По предварительной информации, большинство из этих организаций были атакованы одним вирусом mbr locker 256, который относится к разряду вирусов-вымогателей. Заражение компьютера проявляется в отказе работы. После перезагрузки на экране появляется черный экран с текстом-требованием заплатить вымогателям в обмен на получение доступа к информации.
MBR — главная загрузочная запись, код, необходимый для последующей загрузки операционной системы и расположенный в первом секторе устройства. После включения питания компьютера проходит так называемая процедура POST, тестирующая аппаратное обеспечение, по прохождению которой BIOS загружает MBR в оперативную память по адресу 0x7C00 и передает ему управление. Так вирус попадает в компьютер и поражает его. Модификаций вируса существует много. Сообщается, что, как правило, самыми уязвимыми к вирусу являются компьютеры на операционной системе Windows.
По другой информации, украинская инфраструктура была атакована вирусом-вымогателем Petya. Он блокирует не только рабочий стол или окно браузера, а полностью предотвращает загрузку операционной системы. Сообщение с требование выкупа при этом гласит, что малварь использует «военный алгоритм шифрования» и шифрует весь жесткий диск сразу.
Хакеры атаковали правительство, банки, метро, аэропорт и СМИ
Национальный банк Украины (НБУ) уже предупредил банки и других участников финансового сектора о внешней хакерской атаке неизвестным вирусом. «В результате кибератак банки испытывают сложности с обслуживанием клиентов и осуществлением банковских операций», — говорится в пресс-релизе НБУ.
В НБУ также отметили, что в связи с кибератаками в финансовом секторе Украины были усилены меры безопасности и противодействия хакерским атакам. «Национальный банк уверен, что защита банковской инфраструктуры от мошенничества в киберпространстве организована должным образом, а попытки кибератак на информационные системы банков будут нейтрализованы», — добавили в НБУ.
В «Укртелекоме» заявили, что компания продолжает предоставлять услуги доступа в интернет и телефонии, а вот компьютерные системы, сопровождающие колл-центр и центры обслуживания абонентов, не работают. «Вероятность что вирус атакует сервисы оказания услуг, очень мала. Они работают на Unix-платформе», — пояснил собеседник журналистов в «Укртелекоме».
В аэропорту Борисполь, в свою очередь, предупредили, что «в связи с внештатной ситуацией возможны задержки рейсов». В настоящее время на официальном сайте аэропорта пассажирам недоступно онлайн-расписание рейсов.
Пресс-секретарь аэропорта Киев Галина Богданенко также заявила, что у них есть информация о хакерской атаке. «Интернет в аэропорту отключен. Это профилактическая мера. Наши диспетчеры работают по внутреннему серверу. Сейчас все рейсы совершаются по расписанию. Аэропорт Киев работает в обычном режиме. Наши службы вовремя получили информацию», — пояснила она.
В Киевском метрополитене заявили, что в результате атаки была заблокирована функция оплаты банковскими карточками. «Бесконтактные карты метро работают в обычном режиме», — отметили в столичной подземке.
Источник в «Укрэнерго» сообщил журналистам, что в компании уже проводят расследование по факту кибератаки. «Что касается офисной техники, компьютеров, они не работают. При этом с энергосистемой, с энергообеспечением никаких проблем нет. Это коснулось только офисных компьютеров (работают на платформе Windows). Нам дали команду отключить компьютеры», — сообщили в компании.
Вице-премьер Украины Павел Розенко на своей странице в Facebook сообщил о том, что в секретариате правительства по неустановленной причине перестала работать сеть. «Та-дам! Если что, то у нас тоже сеть «легла», по ходу! Такую картинку показывают все компьютеры кабинета министров Украины», — написал он.
Киев уже обвинил Россию в хакерских атаках
Тем временем народный депутат Верховной Рады от «Народного фронта», член коллегии МВД Антон Геращенко в эфире телеканала уже заявил, что кибератака под видом внедрения вируса-вымогателя была организована со стороны российских спецслужб.
«Кибератака сделана под маскировкой, что это якобы вирус, который вымогает с пользователей компьютера деньги. По предварительной информации, это организованная система со стороны спецслужб РФ. Целью данной кибератаки являются банки, СМИ, «Укрзализниця», «Укртелеком», — заявил Геращенко.
«Вирус попадал на компьютеры несколько дней, даже недель в виде разного рода сообщений на почту, пользователи, которые открывали это сообщения, позволяли вирусу разойтись по всем компьютерам. Это еще один пример использования кибератак в гибридной войне против нашей страны», — продолжил он.
По словам Геращенко, в результате кибератаки «физически никто не пострадал». Он также отметил, что «Украина, как и США, Европа, является мишенью для кибератак РФ. Вы знаете, что в США проводится расследования о прямом вмешательстве в ход избирательной кампании. Мы видим сейчас такую попытку по дестабилизации экономики в СМИ. Мы и не такое переживали, и это переживем», — подчеркнул депутат.
В России вирус атаковал «Роснефть»
Компьютерные серверы «Роснефти» подверглись мощной хакерской атаке, сообщил официальный Twitter компании. Немногим позже начали поступать сообщении о заражении вирусом других компаний.
В связи с кибератакой «Роснефть» уже обратилась в правоохранительные органы. В компании надеются, что произошедшее никак не связано с текущими судебными процедурами.
Между тем в последовавших сообщениях в Twitter в компании сообщили, что «Роснефть» и ее дочерние общества работают в штатном режиме. «Хакерская атака могла привести к серьезным последствиям, однако благодаря тому, что компания перешла на резервную систему управления производственными процессами, ни добыча, ни подготовка нефти не остановлены.
Пресс-секретарь «Роснефти» Михаил Леонтьев сообщил РБК, что большинство серверов компании имеет надежную защиту, и заверил, что компания разбирается с последствиями хакерской атаки на свою систему.
Собеседник в правоохранительных органах, в свою очередь, рассказал изданию, что компьютеры «Роснефти» поразил вирус, похожий по своему действию на WannaCry, 12 мая атаковавший компьютеры в разных точках мира.
«Ведомости» со ссылкой на два источника, близких к «Башнефти» пишут, что вирусом-вымогателем заражены все компьютеры «Башнефти» (включая НПЗ «Башнефть», «Башнефть-добыча» и управление «Башнефти»). Вирус предупредил пользователей, что все их файлы заражены, а попытки самостоятельного восстановления — бесполезны.
«Вирус вначале отключил доступ к порталу, к внутреннему мессенджеру Skype for business, к MS Exchange, значения не придали, думали, просто сетевой сбой, далее компьютер перезагрузился с ошибкой. «Умер» жесткий диск, следующая перезагрузка уже показала красный экран», — рассказал газете один из сотрудников «Башнефти».
На экране пользователям было предложено перевести 300 долларов в биткоинах по указанному адресу, после чего им будет выслан ключ для разблокировки компьютеров на имейл. Все работники получили распоряжение выключить компьютеры.
Источник РБК в «Роснефти» подтвердил, что на экранах компьютеров сотрудников компании появилось сообщение с вирусом. В «Башнефти» это, по его словам, произошло только на части компьютеров.
При этом сотрудник одной из дочек «Роснефти», которая занимается шельфовыми проектами, рассказал, что компьютеры не выключались, а экраны с красным текстом появились не у всех сотрудников. «Тем не менее в компании коллапс, работа остановлена», — пишет РБК со ссылкой на источник. Собеседники также отмечают, что в офисе «Башнефти» в Уфе полностью выключили все электричество.
«Ведомости» со ссылкой на два источника, близких к «Башнефти» сообщают, что вирусом-шифровальщиком заражены все компьютеры «Башнефти» (включая НПЗ «Башнефть», «Башнефть-добыча» и управление «Башнефти»). Шифровальщик предупредил пользователей, что все их файлы заражены, а попытки самостоятельного восстановления — бесполезны
Сайты «Роснефти» и «Башнефти» по состоянию на 16:50 недоступны.
Помимо «Башнефти» атаке подверглись и другие крупные компании, сообщает автор telegram-канала «Сайберсекьюрити» Александр Литреев.
Литреев полагает, что сейчас речь идет не об известном вирусе WannaCry, а о подобной по своему поведению вредоносной программе. По его словам, вирус является модификацией известного вируса Petya.A, он поражает жесткий диск и распространяется при помощи ссылок в письмах. Стоит кому-то одному нажать на ссылку, как заражение распространяется по внутренней сети предприятия, объясняет Литреев.
По словам руководителя криминалистической лаборатории Group-IB Валерия Баулина, в атаке задействован вирус Petya, сообщает RNS. Баулин подчеркнул, что атака не связана с WannaCry. Для прекращения распространения вируса в Group-IB рекомендуют немедленно закрыть TCP-порты 1024-1035, 135 и 445.
Сообщения о кибератаке уже прокомментировал пресс-секретарь президента Дмитрий Песков. Новая хакерская атака на системы ряда компания в России не поставила под угрозу работу компьютерных систем администрации президента РФ и официальный сайт Кремля, сообщил он ТАСС. «(Все) работает стабильно», — заверил Песков.
Предыдущая масштабная атака организаций по всему миру, оружием которой стал вирус WannaCry, произошла 12 мая. Вирус-шифровальщик массово выводил из строя компьютеры и требовал выкуп за дешифровку файлов пользователей. Сообщалось, что Россия больше других стран пострадала от WannaCry. Кибератака, в частности, затронула компанию «МегаФон», МВД, «Сбербанк», Минздрав. О попытке заражения сообщали в РЖД и Центробанке, где подчеркнули, что атака была безуспешной.
Эксперты американской компании Flashpoint пришли к выводу, что создателями вируса-вымогателя WannaСry могут быть выходцы из Южного Китая, Гонконга, Тайваня или Сингапура. В Group-IB подозревают хакеров из КНДР, которые к тому же пытались выдать себя за российских.
Источник: