Virus ransomware napao je kompjutere desetina kompanija u Rusiji i Ukrajini, paralizirajući rad vladinih agencija i počeo se širiti svijetom
U Rusiji, žrtve Petya virus- klon WannaCry ransomware, koji je u maju pogodio kompjutere širom svijeta, bili su Bašnjeft i Rosnjeft.
Svi računari u Bašnjeftu su zaraženi virusom, rekao je za Vedomosti izvor u kompaniji. Virus šifrira datoteke i traži otkupninu od 300 dolara po bitcoin novčaniku.
„Virus je prvo onemogućio pristup portalu, internom Skype messenger za posao, na MS Exchange, samo pomislio kvar mreže, zatim se računar ponovo pokrenuo sa greškom. "umro" HDD, sljedeće ponovno pokretanje je već pokazalo crveni ekran", rekao je izvor.
Gotovo istovremeno o „moćnom hakerski napad“Rosneft je rekao na svojim serverima. IT sistemi i upravljanje proizvodnjom su prebačeni u rezervne kapacitete, kompanija radi u normalan način rada, a "širioci lažnih i paničnih poruka će odgovarati zajedno sa organizatorima hakerskog napada", rekao je portparol kompanije Mihail Leontjev za TASS.
Internet stranice Rosnjefta i Bashnefta ne rade.
Napad je zabilježen oko 14.00 časova po moskovskom vremenu, među njegovim žrtvama ovog trenutka 80 kompanija. Osim naftnih kompanija, pogođena su i predstavništva Marsa, Nivea i Mondelez International (proizvođač čokolade Alpen Gold), saopštila je Grupa-IB, koja se bavi prevencijom i istraživanjem sajber kriminala.
Također, napad na svoje resurse prijavili su metalurška kompanija Evraz i Home Credit banka, koja je bila prinuđena da obustavi rad svih svojih filijala. Kako prenosi RBC, najmanje 10 ruskih banaka obratilo se u utorak stručnjacima za kibernetičku sigurnost u vezi s napadom.
U Ukrajini je virus napao vladine računare, Auchan prodavnice, Privatbank, Kyivstar, LifeCell i Ukrtelecom telekom operatere.
Aerodrom Borispil, kijevski metro, Zaporožjaoblenergo, Dnjeproenergo i Elektroenergetski sistem Dnjepra bili su napadnuti.
Černobilska nuklearna elektrana prešla je na praćenje radijacije industrijske lokacije u ručni način rada zbog sajber napada i privremenog gašenja Windows sistema, rečeno je Interfaksu u pres-službi Državne agencije za upravljanje zonom isključenja.
Pogođen virus ransomware veliki broj zemalja širom svijeta, rekao je Kostin Rayu, šef međunarodnog istraživačkog odjela kompanije Kaspersky Lab, na svom Tviter nalogu.
Prema njegovim riječima, u nova verzija virus koji se pojavio 18. juna ove godine, postoji lažna digitalni potpis Microsoft.
U 18.05 po moskovskom vremenu danska brodarska kompanija A.P. objavila je napad na svoje servere. Moller Maersk. Osim Rusije i Ukrajine, pogođeni su korisnici u Velikoj Britaniji, Indiji i Španiji, prenio je Reuters pozivajući se na Agenciju. informacione tehnologije vlade Švajcarske.
Izvršna direktorica InfoWatcha Natalia Kasperskaya objasnila je za TASS da se sam virus šifriranja pojavio prije više od godinu dana. Distribuira se uglavnom putem phishing poruka i jeste modificirana verzija ranije poznato malware. "Udružio se sa nekim drugim virusom Misha ransomware koji je imao administratorska prava. Bila je to poboljšana verzija, rezervni ransomware," rekao je Kaspersky.
Prema njenim riječima, brzo savladati majski napad WannaCry ransomware uspjela zbog ranjivosti virusa. "Ako virus ne sadrži takvu ranjivost, onda se teško boriti protiv njega", dodala je.
Sajber-napad velikih razmjera korištenjem virusa ransomware WannaCry koji je zarazio više od 200.000 računara u 150 zemalja dogodio se 12. maja 2017. godine.
WannaCry šifrira korisničke datoteke i zahtijeva plaćanje u bitcoinima u vrijednosti od 300 dolara da bi ih dešifrirao.
U Rusiji su posebno napadnuti kompjuterski sistemi Ministarstva unutrašnjih poslova, Ministarstva zdravlja, Istražnog komiteta, Ruskih željeznica, banaka i mobilnih operatera.
Sjevernokorejski hakeri iz grupe Lazarus povezane s vladom stoje iza napada, prema Centru za sajber sigurnost Ujedinjenog Kraljevstva (NCSC), koji vodi međunarodnu istragu o napadu 12. maja.
Pres služba kompanije Group-IB, koja se bavi istragom sajber kriminala, saopštila je za RBC da je hakerski napad na brojne kompanije koje koriste virus za šifrovanje Petya "veoma sličan" napadu koji se dogodio sredinom maja koristeći malver WannaCry. Petya blokira kompjutere i zauzvrat traži 300 dolara u bitcoinima.
“Napad se dogodio oko 14.00 sati. Sudeći po fotografijama, ovo je Petya kriptolokator. Način distribucije u lokalna mreža sličan WannaCry virusu”, navodi se iz press službe Group-IB.
Istovremeno, zaposlenik jedne od "ćerki" Rosnjefta, koja se bavi ofšor projektima, kaže da kompjuteri nisu bili isključeni, pojavili su se ekrani sa crvenim tekstom, ali ne i svi zaposleni. Ipak, kompanija je propala, radovi su zaustavljeni. Sagovornici napominju i da je u kancelariji Bašnjefta u Ufi potpuno isključena sva struja.
Od 15:40 po moskovskom vremenu zvanične web stranice Rosnjefta i Bashnefta su nedostupne. Činjenica izostanka odgovora može se potvrditi na resursima provjere statusa servera. Sajt najveće podružnice Rosnjefta, Yuganskneftegaz, takođe ne radi.
Kompanija je kasnije na svom Twitteru napisala da je hakerski napad mogao dovesti do "ozbiljnih posljedica". Uprkos tome, proizvodni procesi, proizvodnja, tretman ulja nisu zaustavljeni zbog prelaska na backup sistem menadžment, objasnili su iz kompanije.
Trenutno Arbitražni sud Baškirija je zaključila sastanak na kojem je razmatrala potraživanje Rosnjefta i Bashnefta koje kontroliše protiv AFK Sistema i Sistema-Invest za povrat 170,6 milijardi rubalja, koje je, prema navodima naftne kompanije, Bashneft pretrpio u vidu gubitaka kao rezultat reorganizacija 2014.
Predstavnik AFK Sistema zatražio je od suda da naredni sastanak odgodi za mjesec dana kako bi se stranke upoznale sa svim zahtjevima. Sudija je zakazao sljedeći sastanak za dvije sedmice - 12. jula, uz napomenu da AFC ima mnogo predstavnika i da će se u tom roku snaći.
Popodne 27. juna Rosnjeft je prijavio hakerski napad na svoje servere. Istovremeno su se pojavile informacije o sličnom napadu na računare Bashnefta, Ukrenerga, Kievenerga i niza drugih kompanija i preduzeća.
Izgleda da virus blokira računare i iznuđuje novac od korisnika.
Izvršen je snažan hakerski napad na servere Kompanije. Nadamo se da ovo nema veze sa sadašnjim pravnim postupkom.
U vezi sa činjenicom sajber napada, Kompanija je kontaktirala sprovođenje zakona.
— Rosneft Oil Company PJSC (@RosneftRu) 27. juna 2017
Izvor blizak jednoj od struktura kompanije napominje da su se svi računari u rafineriji Bashneft, Bashneft-dobycha i Bashneft menadžmentu "odjednom ponovo pokrenuli, nakon čega su preuzeli deinstalirani softvera i prikazao početni ekran virusa WannaCry". Na ekranu je od korisnika zatraženo da prebace 300 dolara u bitcoinima putem navedenu adresu, nakon čega će korisnicima putem e-maila biti poslat ključ za otključavanje računara. Virus je, sudeći po opisu, šifrirao sve podatke na korisničkim računarima."Vedomosti"
“Narodna banka Ukrajine upozorila je banke i druge učesnike u finansijskom sektoru na vanjski hakerski napad nepoznati virus nekoliko ukrajinskih banaka, kao i nekim preduzećima u komercijalnom i javnom sektoru, što se i danas dešava.Kao rezultat ovakvih sajber napada, ove banke se suočavaju s poteškoćama u pružanju usluga korisnicima i bankarskim operacijama."
Narodna banka Ukrajine
Kompjuterski sistemi prestoničke energetske kompanije Kyivenergo su hakovani, saopštila je kompanija Interfaks-Ukrajina."Napao nas je haker. Prije dva sata bili smo primorani da isključimo sve računare, čekamo dozvolu za uključivanje od službe sigurnosti", rekao je Kyivenergo.
Zauzvrat, NPC Ukrenergo je rekao Interfax-Ukraine da je kompanija takođe naišla na probleme u svom radu. kompjuterski sistemi ali nisu kritični.
"Bilo je nekih problema sa radom kompjutera. Ali generalno, sve je stabilno i kontrolisano. Zaključci o incidentu mogu se doneti na osnovu rezultata interne istrage", saopšteno je iz kompanije.
"Interfaks-Ukrajina"
Zaražene su mreže Ukrenerga i DTEK-a, najvećih energetskih kompanija u Ukrajini nova forma ransomware virus nalik na WannaCry. TJ-u je o tome rekao izvor u jednoj od kompanija koja se direktno susrela sa napadom virusa.Prema izvoru, popodne 27. juna, njegov računar na poslu se ponovo pokrenuo, nakon čega je sistem navodno počeo da proverava tvrdi disk. Nakon toga je vidio da se ista stvar dešava na svim računarima u kancelariji: „Shvatio sam da je došlo do napada, isključio sam računar, a kada sam ga uključio, već je bio crveni natpis o bitkoinu i novcu. .”
Pogođeni su i računari u mreži logističkih rješenja kompanije Damco. I u evropskoj i u ruskoj diviziji. Opseg infekcije je veoma širok. Poznato je da je i u Tjumenu, na primjer, sve sjebano.Ali da se vratimo na temu Ukrajine: skoro svi računari Zaporizhzhyaoblenerga, Dneproenerga i elektroenergetskog sistema Dnjepra su takođe blokirani napad virusa.
Da pojasnimo, ovo nije WannaCry, već malver sličan po svom ponašanju.
Rafinerija Rosneft Ryazan - prekinula je mrežu. Takođe napad. Osim Rosnjefta/Bašnjefta, napadnuti su i drugi velike kompanije. Problemi su prijavljeni u Mondelēz International, Oschadbank, Mars, Nova Pošta, Nivea, TESA i drugi.
Virus je identificiran - to je Petya.A. Petya.A jede tvrdi diskovi. On šifrira glavnu tablicu datoteka (MFT) i iznuđuje novac za dešifriranje.
Kijevski metro također je bio podvrgnut hakerskom napadu. Napadnuti su kompjuteri ukrajinske vlade, prodavnice Auchan, ukrajinski operateri (Kyivstar, LifeCell, UkrTeleCom), PrivatBank. Postoje izvještaji o sličnom napadu na KharkivGas. Prema sistem administrator, mašine su pokretale Windows 7 sa najnovija ažuriranja. Napadnut je i Pavel Valerievič Rozenko, zamjenik premijera Ukrajine. Vjeruje se da je hakovan i aerodrom Borispil.
Telegram kanal "Sibersecurity and Co.
27. jun, 16:27 Najmanje 80 ruskih i ukrajinskih kompanija zahvaćeno je virusom Petya.A, rekao je Valery Baulin, predstavnik Group-IB, specijalizovane za rano otkrivanje sajber prijetnji.
"Prema našim podacima, preko 80 kompanija u Rusiji i Ukrajini pogođeno je napadom Petya.A ransomware-a", rekao je. Baulin je naglasio da napad nije vezan za WannaCry.Da biste zaustavili širenje virusa, morate odmah zatvoriti TCP portove 1024-1035, 135 i 445, naglašava Grupa-IB<...>
“Među žrtvama sajber napada bile su mreže Bashnefta, Rosnefta, ukrajinskih kompanija Zaporozhyeoblenergo, Dneproenergo i Dnipro Electric Power System, Mondelēz International, Oschadbank, Mars, Novaya Pochta, Nivea, TESA i druge također su blokirane virusnim napadom. . Hakiran je i kijevski metro. Napadnuti su kompjuteri ukrajinske vlade, prodavnice Auchan, ukrajinski operateri (Kyivstar, LifeCell, UkrTeleCom), Privatna banka. Navodno je hakovan i aerodrom Borispil", ističe Group-IB.
Stručnjaci Grupe-IB su također otkrili da je ransomware Petya.A nedavno koristila grupa Cobalt kako bi sakrila tragove ciljanog napada na finansijske institucije.
Kompanija Rosnjeft bila je podvrgnuta snažnom hakerskom napadu, kako je objavljeno na njenom Twitteru.
„Na servere kompanije izvršen je snažan hakerski napad. Nadamo se da to nema nikakve veze sa sadašnjim sudskim procedurama”, navodi se u poruci. Web stranica Rosnjefta nije bila dostupna u vrijeme objavljivanja bilješke.
Naftna kompanija je saopštila da je kontaktirala policiju u vezi s incidentom. Zbog operativnih akcija službe bezbednosti, rad Rosnjefta nije narušen i nastavlja se uobičajenim tokom.
“Hakerski napad mogao bi dovesti do ozbiljnih posljedica, ali zbog činjenice da je kompanija prešla na backup sistem upravljanja proizvodni procesi, ni proizvodnja ni priprema nafte nisu zaustavljeni“, rekli su dopisniku Gazete.Ru predstavnici kompanije.
Upozorili su da će se svako ko širi lažne informacije "smatrati saučesnicima organizatora napada i odgovarati zajedno s njima".
Osim toga, zaraženi su računari kompanije Bashneft. Vedomosti. Virus ransomware, kao i zloglasni WannaCry, blokirao je sve kompjuterske podatke i zahtijevao da se kriminalcima prebaci otkupnina u bitcoinima u vrijednosti od 300 dolara.
Nažalost, ovo nisu jedine žrtve hakerskog napada velikih razmjera - Telegram kanala Cybersecurity and Co. izvještava o cyber hakiranju kompanija Mondelez International (brendovi Alpen Gold i Milka), Oschadbank, Mars, Nova Pošta, Nivea, TESA i druge kompanije.
Autor kanala, Alexander Litreev, rekao je da se virus zove Petya.A i da zaista liči na WannaCry, koji je u maju ove godine zarazio više od 300.000 računara širom svijeta. Petya.A inficira čvrsti disk i šifruje glavnu tabelu datoteka (MFT). Prema Litreevu, virus je distribuiran u phishing mejlovima sa zaraženim prilozima.
V blog Kaspersky Lab je objavio publikaciju sa informacijama o tome kako dolazi do infekcije. Prema riječima autora, virus se širi uglavnom preko HR menadžera, jer su pisma maskirana kao poruka kandidata za određenu poziciju.
“HR specijalista prima lažnu e-poštu s vezom do Dropboxa, koja vam navodno omogućava da odete i preuzmete “životopis”. To je samo fajl na linku nije bezopasan tekstualni dokument, ali samoraspakujuća arhiva sa ekstenzijom .EXE”, kaže stručnjak.
Nakon otvaranja fajla, korisnik vidi " plavi ekran smrt", nakon čega Petya.A blokira sistem.
Stručnjaci Grupe-IB rekli su za Gazeta.Ru da je grupa Cobalt nedavno koristila Petya enkriptor kako bi sakrila tragove ciljanog napada na finansijske institucije.
Opet ruski hakeri
Ukrajina je najviše patila od virusa Petya.A. Među žrtvama su Zaporozhyeoblenergo, Dneproenergo, Kijevski metro, Ukrajina mobilni operateri Kyivstar, LifeCell i Ukrtelecom, trgovina Auchan, Privatbank, aerodrom Borispil i druge organizacije i strukture.
Ukupno je napadnuto više od 80 kompanija u Rusiji i Ukrajini.
Poslanik ukrajinske Rade iz "Narodnog fronta", član kolegijuma Ministarstva unutrašnjih poslova Anton Geraščenko rekao je da su za sajber napad krive ruske specijalne službe.
“Prema preliminarnim informacijama, ovo organizovani sistem iz specijalnih službi Ruske Federacije. Svrha ovog cyber napada su banke, mediji, Ukrzaliznytsya, Ukrtelecom. Virus je na kompjutere dolazio nekoliko dana, pa i sedmica u obliku različite vrste poruke na poštu, korisnici koji su otvorili ove poruke su dozvolili da se virus proširi na sve računare. Ovo je još jedan primjer upotrebe sajber napada u hibridnom ratu protiv naše zemlje”, rekao je Geraščenko.
Napad WannaCry ransomware virus dogodilo sredinom maja 2017. godine i paralisalo je rad nekoliko njih međunarodne kompaniješirom svijeta. Šteta nanesena svjetskoj zajednici velikih razmjera WannaCry virus, u vrijednosti od milijardu dolara.
Zlonamjerni softver je iskoristio ranjivost u operativni sistem Windows je blokirao računar i tražio otkupninu. Širenje virusa je slučajno zaustavio jedan britanski programer - on se registrovao Ime domena, kojoj je pristupio program.
Unatoč činjenici da je WannaCry cyber napad imao planetarne razmjere, zabilježena su samo 302 slučaja isplate otkupnine, zbog čega su hakeri uspjeli zaraditi 116.000 dolara.
