Вирус-шифровальщик атаковал компьютеры десятков компаний в России и на Украине, парализовав работу в том числе государственных структур, и начал распространяться по всему миру
В РФ жертвами вируса Petya - клона вымогателя WannaCry, поразившего компьютеры по всему миру в мае, - стали "Башнефть" и "Роснефть".
В "Башнефти" вирусом заражены все компьютеры, сообщил источник в компании "Ведомостям" . Вирус шифрует файлы и требует выкупа в размере 300 долларов на биткоин-кошелек.
"Вирус вначале отключил доступ к порталу, к внутреннему мессенджеру Skype for business, к MS Exchange, думали, просто сетевой сбой, далее компьютер перезагрузился с ошибкой. "Умер" жесткий диск, следующая перезагрузка уже показала красный экран", - рассказал источник.
Практически одновременно о "мощной хакерской атаке" на свои серверы заявила "Роснефть". IT-системы и управление добычей переведены на резервные мощности, компания работает в штатном режиме, а "распространители лживых и панических сообщений будут нести ответственность вместе с организаторами хакерской атаки", заявил ТАСС пресс-секретарь компании Михаил Леонтьев.
Сайты «Роснефти» и «Башнефти» не работают.
Атака была зафиксирована около 14.00 мск, среди ее жертв на данный момент 80 компаний. Помимо нефтяников пострадали представительства Mars, Nivea и Mondelez International (производитель шоколада Alpen Gold), сообщила Group-IB, которая занимается предотвращением и расследованием киберпреступлений.
Также об атаке на свои ресурсы сообщили металлургическая компания Evraz и банк "Хоум Кредит", который был вынужден приостановить работу всех своих отделений. По данным РБК , не менее 10 российских банков обратились во вторник к специалистам по кибербезопасности в связи с атакой.
На Украине вирус атаковал компьютеры правительства, магазины "Ашан", Приватбанк, операторов связи "Киевстар", LifeCell и "Укртелеком".
Под ударом оказались Аэропорт "Борисполь", Киевский метрополитен, "Запорожьеоблэнерго", "Днепроэнерго" и "Днепровская электроэнергетическая система".
Чернобыльская АЭС перешла на радиационный мониторинг промышленной площадки в ручном режиме из-за кибератаки и временного отключения системы Windows, сообщили "Интерфаксу" в пресс-службе Государственного агентства по управлению зоной отчуждения.
Вирус-шифровальщик затронул большое количество стран по всему миру, сообщил руководитель международного исследовательского подразделения «Лаборатории Касперского» Костин Райю в своем аккаунте в Twitter.
По его словам, в новой версии вируса, которая появилась 18 июня этого года, есть поддельная цифровая подпись Microsoft.
В 18.05 мск об атаке на свои серверы объявила датская судоходная компания A.P. Moller-Maersk. Помимо России и Украины, пострадали пользователи в Великобритании, Индии и Испании, сообщило Reuters со ссылкой на Агентство информационных технологий правительства Швейцарии.
Гендиректор ГК InfoWatch Наталья Касперская пояснила ТАСС, что сам вирус-шифровальщик появился более года назад. Он распространяется, в основном, через фишинговые сообщения и является модифицированной версией известной ранее вредоносной программы. "Он объединился с некоторым другим вымогателем-вирусом Misha, который имел права администратора. Это был улучшенная версия, резервный шифровальщик", - рассказала Касперская.
По ее словам, быстро побороть майскую атаку шифровальщика WannaCry удалось из-за имевшейся в вирусе уязвимости. "Если вирус такой уязвимости не содержит, то бороться с ним сложно", - добавила она.
Масштабная кибератака с использованием вируса-вымогателя WannaCry, поразившего более 200 тысяч компьютеров в 150 странах, произошла 12 мая 2017 года.
WannaCry шифрует файлы пользователя и для их расшифровки требует оплату в биткоинах, эквивалентную 300 долларам.
В России атаке, в частности, подверглись компьютерные системы министерства внутренних дел, министерства здравоохранения, Следственного комитета, компании РЖД, банков и операторов мобильной связи.
По данным в британском Центре кибербезопасности (NCSC), возглавляющем международное расследование атаки 12 мая, за ней стояли северокорейские хакеры из связанной с правительством группировки Lazarus.
В пресс-службе компании Group-IB, которая занимается расследованием киберпреступлений, РБК сообщили, что хакерская атака на ряд компаний при помощи вируса-шифровальщика Petya «очень схожа» с атакой, которая произошла в середине мая при помощи вредоносной программы WannaCry. Petya блокирует компьютеры и требует взамен $300 в биткоинах.
«Атака произошла около 14.00. Судя по фотографиям, это криптолокер Petya. Способ распространения в локальной сети аналогичен вирусу WannaCry», — следует из сообщения пресс-службы Group-IB.
В это же время сотрудник одной из «дочек» «Роснефти», которая занимается шельфовыми проектами, говорит, что компьютеры не выключались, экраны с красным текстом появились, но не у всех сотрудников. Тем не менее в компании коллапс, работа остановлена. Собеседники также отмечают, что в офисе «Башнефти» в Уфе полностью выключили все электричество.
На момент 15:40 мск официальные сайты «Роснефти» и «Башнефти» недоступны. Факт отсутствия ответа можно подтвердить на ресурсах проверки статуса сервера. Сайт крупнейшей «дочки» «Роснефти» «Юганскнефтегаза» тоже не работает .
Позже компания написала в своем Twitter, что хакерская атака могла привести к «серьезным последствиям». Несмотря на это, производственные процессы, добыча, подготовка нефти не были остановлены благодаря переходу на резервную систему управления, пояснили в компании.
В настоящее время Арбитражный суд Башкирии завершил заседание, на котором рассматривал иск «Роснефти» и подконтрольной ей «Башнефти» к АФК «Система» и «Системе-Инвест» о взыскании 170,6 млрд руб., которые, как утверждает нефтяная компания, «Башнефть» понесла в виде убытков в результате реорганизации в 2014 году.
Представитель АФК «Система» попросил суд отложить следующее заседание на месяц, чтобы стороны успели ознакомиться со всеми ходатайствами. Судья назначила следующее заседание через две недели — на 12 июля, отметив, что у АФК много представителей и они справятся за этот срок.
Днем 27 июня "Роснефть" сообщила о хакерской атаке на свои сервера. Одновременно с этим появилась информация об аналогичной атаке на компьютеры "Башнефти", "Укрэнерго", "Киевэнерго" и ряд других компаний и предприятий.
Вирус блокирует компьютеры и вымогает у пользователей деньги, он похож на .
На серверы Компании осуществлена мощная хакерская атака. Мы надеемся, что это никак не связано с текущими судебными процедурами.
По факту кибератаки Компания обратилась в правоохранительные органы.
— ПАО «НК «Роснефть» (@RosneftRu) 27 июня 2017 г.
Источник, близкий к одной из структур компании, отмечает, что все компьютеры в НПЗ "Башнефти", "Башнефть-добыче" и управлении "Башнефти" "единомоментно перезагрузились, после чего скачали неустановленное программное обеспечение и вывели на экран заставку вируса WannaCry". На экране пользователям было предложено перевести $300 в биткоинах по указанному адресу, после чего пользователям будет выслан ключ для разблокировки компьютеров на e-mail. Вирус, судя из описания, зашифровал все данные на пользовательских компьютерах."Ведомости"
"Национальный банк Украины предупредил банки и других участников финансового сектора о внешней хакерской атаке неизвестным вирусом на несколько украинских банков, а также на некоторые предприятия коммерческого и государственного секторов, что происходит сегодня.В результате таких кибератак эти банки сложности с обслуживанием клиентов и осуществлением банковских операций".
Нацбанк Украины
Компьютерные системы столичной энергокомпании "Киевэнерго" подверглись хакерской атаке, сообщили агентству "Интерфакс-Украина" в компании."Мы подверглись хакерской атаке. Два часа назад вынуждены были выключить все компьютеры, ожидаем разрешения на включение от службы безопасности", – сказали в "Киевэнерго".
В свою очередь, в НЭК "Укрэнерго" агентству "Интерфакс-Украина" сообщили, что компания также столкнулась с проблемами в работе компьютерных систем, но они не являются критическими.
"Были некоторые проблемы с работой компьютеров. Но в целом все стабильно и контролировано. Выводы по инциденту можно будет сделать по итогам внутреннего расследования", – отметили в компании.
"Интерфакс-Украина"
Сети "Укрэнерго" и ДТЭК, крупнейших энергетических компаний Украины, оказались заражены новой формой вируса-шифровальщика, напоминающего WannaCry. Об этом TJ рассказал источник внутри одной из компаний, непосредственно столкнувшийся с атакой вируса.По словам источника, днём 27 июня его компьютер на работе перезагрузился, после чего система якобы начала проверку жёсткого диска. После этого он увидел, что аналогичное происходит на всех компьютерах в офисе: "Я понял, что идёт атака, вырубил свой компьютер, а когда включил, была уже красная надпись про биткоин и деньги".
Компьютеры в сети компании логистических решений Damco также поражены. И в европейских, и в российских подразделениях. Охват заражения очень широкий. Известно, что в Тюмени, например, тоже всё похекано.Но вернёмся к теме Украины: почти все компьютеры Запорожьеоблэнерго, Днепроэнерго и Днепровской электроэнергетической системы также заблокированы вирусной атакой.
Уточняем – это не WannaCry, но подобный по своему поведению зловред.
Роснефть Рязань НПЗ – отключили сеть. Тоже атака. Помимо Роснефти/Башнефти, атаки подверглись и другие крупные компании. Сообщается о проблемах в Mondelēz International, Ощадбанк, Mars, Новая Почта, Nivea, TESA и другие.
Вирус определен - это Petya.A. Petya.A жрёт жесткие диски. Он шифрует главную таблицу файлов (MFT) и вымогает деньги за расшифровку.
Киевский метрополитен также подвергся хакерской атаке. Атакованы правительственные компьютеры Украины, магазины Ашан, украинские операторы (Киевстар, LifeCell, УкрТелеКом), ПриватБанк. Поступают сообщения об аналогичной атаке на ХарьковГаз. По словам системного администратора, на машинах была установлена Windows 7 с последними обновлениями. Павел Валериевич Розенко, вице-премьер Украины, также подвергся атаке. Аэропорт Борисполь, предположительно, также подвергся хакерской атаке.
Телеграм-канал "Сайберсекьюрити и Ко.
27 июня, 16:27 От вируса Petya.A пострадали не менее 80 российских и украинских компаний, сообщил Валерий Баулин, представитель компании Group-IB, которая специализируется на раннем выявлении киберугроз.
"По нашим данным, в результате атаки с помощью вируса-шифровальщика Petya.A пострадали больше 80 компаний в России и на Украине", – сказал он. Баулин подчеркнул, что атака не связана с WannaCry.Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445, подчеркнули в Group-IB <...>
"Среди жертв кибератаки оказались сети "Башнефти", "Роснефти", украинских компаний "Запорожьеоблэнерго", "Днепроэнерго" и Днепровской электроэнергетической системы, также заблокированы вирусной атакой Mondelēz International, Ощадбанк, Mars, "Новая Почта", Nivea, TESA и другие. Киевский метрополитен также подвергся хакерской атаке. Атакованы правительственные компьютеры Украины, магазины Ашан, украинские операторы (Киевстар, LifeCell, УкрТелеКом), Приват Банк. Аэропорт "Борисполь", предположительно, также подвергся хакерской атаке", – указывает Group-IB.
Специалисты Group-IB также установили, что недавно шифровальщик Petya.А использовала группа Cobalt для сокрытия следов целевой атаки на финансовые учреждения.
Компания «Роснефть» подверглась мощной хакерской атаке, о чем сообщила в своем твиттере.
«На серверы компании осуществлена мощная хакерская атака. Мы надеемся, что это никак не связано с текущими судебными процедурами», — говорится в сообщении. Сайт «Роснефти» на момент публикации заметки был недоступен.
Нефтяная компания сообщила, что обратилась в правоохранительные органы в связи с инцидентом. Из-за оперативных действий службы безопасности работа «Роснефти» не нарушилась и продолжается в штатном режиме.
«Хакерская атака могла привести к серьезным последствиям, однако благодаря тому, что компания перешла на резервную систему управления производственными процессами, ни добыча, ни подготовка нефти не остановлены», — сообщили представители компании корреспонденту «Газеты.Ru».
Они предупредили, что все, кто будут распространять недостоверные данные, «будут рассматриваться как сообщники организаторов атаки и вместе с ними нести ответственность.»
Кроме того, были заражены компьютеры компании «Башнефть», сообщили «Ведомости» . Вирус-шифровальщик, как и печально известный WannaCry, заблокировал все данные компьютера и требует перевести преступникам выкуп в биткоинах, эквивалентный $300.
К сожалению, это не единственные пострадавшие от масштабной хакерской атаки — Telegram-канал «Сайберсекьюрити и Ко.» сообщает о кибервзломе Mondelez International (бренды Alpen Gold и Milka), Ощадбанка, Mars, Новой Почты, Nivea, TESA и других компаний.
Автор канала Александр Литреев заявил, что вирус носит название Petya.A и что он действительно похож на WannaCry, поразивший более 300 тыс. компьютеров по всему миру в мае этого года. Petya.A поражает жесткий диск и шифрует главную таблицу файлов (MFT). По данным Литреева, вирус распространялся в фишинговых письмах с зараженными вложениями.
В блоге «Лаборатории Касперского» появилась публикация с информацией о том, как происходит заражение. По словам автора, вирус распространяется в основном через HR-менеджеров, так как письма маскируются под сообщение от кандидата на ту или иную должность.
«HR-специалист получает фальшивое письмо со ссылкой на Dropbox, по которой якобы можно перейти и скачать «резюме». Вот только файл по ссылке является не безобидным текстовым документом, а самораспаковывающимся архивом с расширением.EXE», — рассказывает эксперт.
После открытия файла пользователь видит «синий экран смерти», после которого Petya.A блокирует систему.
Специалисты компании Group-IB рассказали «Газете.Ru», что недавно шифровальщик Petya использовала группа Cobalt для сокрытия следов целевой атаки на финансовые учреждения.
Снова русские хакеры
Наиболее сильно от вируса Petya.A пострадала Украина. Среди пострадавших — «Запорожьеоблэнерго», «Днепроэнерго», Киевский метрополитен, украинские мобильные операторы «Киевстар», LifeCell и «Укртелеком», магазин «Ашан», Приватбанк, аэропорт Борисполь и другие организации и структуры.
Всего в общей сложности были атакованы свыше 80 компаний в России и на Украине.
Депутат украинской Рады от «Народного фронта», член коллегии МВД Антон Геращенко заявил, что в кибератаке виноваты российские спецслужбы.
«По предварительной информации, это организованная система со стороны спецслужб РФ. Целью данной кибератаки являются банки, СМИ, «Укрзализниця», «Укртелеком». Вирус попадал на компьютеры несколько дней, даже недель в виде разного рода сообщений на почту, пользователи, которые открывали это сообщения, позволяли вирусу разойтись по всем компьютерам. Это еще один пример использования кибератак в гибридной войне против нашей страны», — сообщил Геращенко.
Атака вирусом-вымогателем WannaCry случилась в середине мая 2017 года и парализовала работу нескольких международных компаний по всему миру. Ущерб, нанесенный мировому сообществу масштабным вирусом WannaCry, оценили в $1 млрд.
Зловред использовал уязвимость в операционной системе Windows, блокировал компьютер и требовал выкуп. Распространение вируса было остановлено случайно одним британским программистом — он зарегистрировал доменное имя, к которому обращалась программа.
Несмотря на то что кибератака WannaCry имела планетарный масштаб, всего было зафиксировано только 302 случая уплаты выкупа, в результате чего хакеры смогли заработать $116 тыс.
