Ransomware virus napao je računala desetaka tvrtki u Rusiji i Ukrajini, paralizirao rad državnih agencija, među ostalim, te se počeo širiti svijetom
U Ruskoj Federaciji žrtve Petya virus- klon WannaCry ransomware, koji je u svibnju došao na računala diljem svijeta, postao je Bashneft i Rosneft.
Sva su računala u Bashneftu zaražena virusom, rekao je izvor u tvrtki za Vedomosti. Virus šifrira datoteke i traži otkupninu od 300 dolara za Bitcoin novčanik.
“Virus je u početku onemogućio pristup portalu, internom Skype glasnik za posao, na MS Exchange, mislili smo, samo kvar mreže, zatim se računalo ponovno pokrenulo s pogreškom. "Umro" HDD, sljedeće ponovno pokretanje već je pokazalo crveni ekran”, rekao je izvor.
Gotovo istovremeno o „moćnicima hakerski napad"Rosneft je objavio na svojim poslužiteljima. IT sustavi i upravljanje proizvodnjom prebačeni su u rezervne kapacitete, tvrtka posluje u normalni mod, a "distributeri lažnih i paničnih poruka bit će odgovorni zajedno s organizatorima hakerskog napada", rekao je za TASS tajnik za medije tvrtke Mihail Leontjev.
Web stranice Rosnefta i Bashnefta ne rade.
Napad je zabilježen oko 14 sati po moskovskom vremenu, a među njegovim žrtvama bilo je ovaj trenutak 80 tvrtki. Osim naftnih radnika, pogođeni su predstavnici tvrtki Mars, Nivea i Mondelez International (proizvođač čokolade Alpen Gold), izvijestila je Group-IB koja se bavi sprječavanjem i istraživanjem kibernetičkog kriminala.
Metalurška tvrtka Evraz i Home Credit banka, koja je bila prisiljena obustaviti rad svih svojih poslovnica, također su prijavile napad na svoje resurse. Prema RBC-u, najmanje 10 ruskih banaka kontaktiralo je u utorak stručnjake za kibernetičku sigurnost u vezi s napadom.
U Ukrajini je virus napao državna računala, trgovine Auchan, Privatbank, telekom operatere Kyivstar, LifeCell i Ukrtelecom.
Zračna luka Borispil, kijevski metro, Zaporozhyeoblenergo, Dneproenergo i Dnjeparski elektroenergetski sustav bili su napadnuti.
Černobilska nuklearna elektrana prešla je na nadzor radijacije industrijske lokacije u ručni mod zbog cyber napada i privremenog gašenja sustava Windows, priopćeno je Interfaxu iz službe za tisak Državne agencije za upravljanje isključenim zonama.
Pogođen virus ransomware veliki broj zemalja diljem svijeta, rekao je Costin Raiu, voditelj međunarodnog istraživačkog odjela Kaspersky Laba, na svom Twitteru.
Prema njegovim riječima, u nova verzija virus, koji se pojavio 18. lipnja ove godine, je lažan digitalni potpis Microsoft.
U 18.05 po moskovskom vremenu danska brodarska tvrtka A.P. najavila je napad na svoje servere. Moller-Maersk. Osim Rusije i Ukrajine, pogođeni su korisnici u Velikoj Britaniji, Indiji i Španjolskoj, izvijestio je Reuters pozivajući se na Agenciju informacijske tehnologijeŠvicarska vlada.
Generalna direktorica InfoWatch grupe Natalija Kasperskaja objasnila je za TASS da se sam enkripcijski virus pojavio prije više od godinu dana. Distribuira se uglavnom putem phishing poruka i modificirana verzija otprije poznat malware. "Udružio se s nekim drugim ransomware virusom Misha, koji je imao administratorska prava. Bila je to poboljšana verzija, rezervni kriptor", rekla je Kasperskaya.
Prema njezinim riječima, brzo prevladati svibanjski napad WannaCry ransomware uspio zbog ranjivosti u virusu. “Ako virus ne sadrži takvu ranjivost, onda je teško boriti se protiv njega”, dodala je.
Kibernetički napad velikih razmjera korištenjem ransomware virusa WannaCry, koji je zahvatio više od 200 tisuća računala u 150 zemalja, dogodio se 12. svibnja 2017. godine.
WannaCry šifrira korisničke datoteke i zahtijeva plaćanje u bitcoinima u iznosu od 300 USD za njihovo dešifriranje.
U Rusiji su posebno napadnuti računalni sustavi Ministarstva unutarnjih poslova, Ministarstva zdravstva, Istražnog odbora, poduzeća Ruskih željeznica, banaka i mobilnih operatera.
Prema Britanskom centru za kibernetičku sigurnost (NCSC), koji vodi međunarodnu istragu o napadu od 12. svibnja, iza njega stoje sjevernokorejski hakeri iz grupe Lazarus povezane s vladom.
Tiskovna služba Group-IB-a, koja istražuje kibernetičke zločine, rekla je za RBC da je hakerski napad na brojne tvrtke koje koriste virus za šifriranje Petya bio "vrlo sličan" napadu koji se dogodio sredinom svibnja pomoću zlonamjernog softvera WannaCry. Petya blokira računala i zauzvrat traži 300 dolara u bitcoinima.
“Napad se dogodio oko 14 sati. Sudeći po fotografijama, radi se o Petya cryptolockeru. Način distribucije u lokalna mreža sličan virusu WannaCry”, stoji u poruci press službe Group-IB-a.
Istovremeno, zaposlenik jedne od podružnica Rosnjefta, koja se bavi offshore projektima, kaže da se računala nisu gasila, pojavili su se ekrani s crvenim tekstom, ali ne za sve zaposlenike. Međutim, tvrtka propada i rad je zaustavljen. Sugovornici također napominju da je u uredu Bashnefta u Ufi potpuno isključena sva struja.
U 15:40 po moskovskom vremenu službene stranice Rosnefta i Bashnefta nisu dostupne. Činjenica da nema odgovora može se potvrditi na resursima za provjeru statusa poslužitelja. Web stranica najveće Rosnjeftove podružnice, Yuganskneftegaz, također ne radi.
Tvrtka je kasnije objavila na Twitteru da je hakiranje moglo dovesti do "ozbiljnih posljedica". Unatoč tome, proizvodni procesi, proizvodnja ulja i priprema ulja nisu zaustavljeni zbog prelaska na rezervni sustav uprave, objasnila je tvrtka.
Trenutno Arbitražni sud Baškirija je završila sastanak na kojem je razmatrala zahtjev Rosnefta i Bashnefta pod njegovom kontrolom protiv AFK Sisteme i Sistema-Investa za povrat 170,6 milijardi rubalja, koje je, prema naftnoj kompaniji, Bashneft pretrpio u obliku gubitaka kao rezultat reorganizacijom 2014.
Predstavnik AFK Sistema zatražio je od suda odgodu sljedećeg ročišta za mjesec dana kako bi stranke imale vremena upoznati se sa svim zahtjevima. Sljedeći sastanak sudac je zakazao za dva tjedna - 12. srpnja, uz napomenu da AFC ima mnogo predstavnika i da će se oni snaći u tom roku.
Rosneft je 27. lipnja poslijepodne prijavio hakerski napad na svoje servere. Istodobno su se pojavile informacije o sličnom napadu na računala Bashnefta, Ukrenerga, Kyivenerga i niza drugih tvrtki i poduzeća.
Virus zaključava računala i iznuđuje novac od korisnika, sličan je .
Izveden je snažan hakerski napad na poslužitelje Društva. Nadamo se da ovo nema nikakve veze s pravnim postupkom koji je u tijeku.
Kao odgovor na cyber napad, Tvrtka je kontaktirala Agencije za provođenje zakona.
— PJSC NK Rosneft (@RosneftRu) 27. lipnja 2017
Izvor blizak jednoj od struktura tvrtke napominje da su se sva računala u rafineriji Bashneft, Bashneft-extraction i Bashneft management "odmah ponovno pokrenula, nakon čega su preuzela neidentificirani softver i prikazao početni zaslon virusa WannaCry." Na zaslonu je od korisnika zatraženo da prenesu 300 dolara u bitcoinima putem navedena adresa, nakon čega će korisnicima na e-mail biti poslan ključ za otključavanje računala. Virus je, sudeći prema opisu, kriptirao sve podatke na korisničkim računalima."Vedomosti"
“Narodna banka Ukrajine upozorila je banke i druge sudionike financijskog sektora o vanjskom hakerskom napadu nepoznati virus na nekoliko ukrajinskih banaka, kao i na neka poduzeća u komercijalnom i javnom sektoru, što se događa danas.Kao rezultat takvih kibernetičkih napada, te banke imaju poteškoća u pružanju usluga klijentima i obavljanju bankovnih transakcija.”
Narodna banka Ukrajine
Računalni sustavi prijestolničke energetske kompanije Kyivenergo bili su predmet hakerskog napada, rekli su iz kompanije za Interfax-Ukrajina."Bili smo podvrgnuti hakerskom napadu. Prije dva sata bili smo prisiljeni isključiti sva računala, čekamo dopuštenje sigurnosne službe za uključivanje", rekli su iz Kievenerga.
S druge strane, NEC Ukrenergo rekao je agenciji Interfax-Ukraine da je tvrtka također naišla na probleme u svom radu računalni sustavi, ali nisu kritični.
"Bilo je nekih problema s radom računala. Ali općenito, sve je stabilno i kontrolirano. Zaključci o incidentu mogu se izvući na temelju rezultata interne istrage", istaknula je tvrtka.
"Interfax-Ukrajina"
Zaražene su mreže Ukrenerga i DTEK-a, najvećih energetskih kompanija u Ukrajini novi oblik ransomware virus koji podsjeća na WannaCry. TJ-u je to rekao izvor unutar jedne od kompanija koja se izravno suočila s napadom virusa.Prema izvoru, 27. lipnja poslijepodne njegovo se računalo na poslu ponovno pokrenulo, nakon čega je sustav navodno počeo provjeravati tvrdi disk. Nakon toga je vidio da se slično događa na svim računalima u uredu: “Shvatio sam da je napad u tijeku, ugasio sam računalo, a kad sam ga uključio, već je bila crvena poruka o Bitcoinu i novac."
Pogođena su i računala na mreži logističkih rješenja tvrtke Damco. I u europskoj i u ruskoj diviziji. Širenje zaraze je vrlo široko. Poznato je da je u Tjumenu, na primjer, također sve zajebano.Ali vratimo se temi Ukrajine: gotovo sva računala Zaporozhyeoblenergo, Dneproenergo i Dnjepar Electric Power System također su blokirana napad virusa.
Da bude jasno, ovo nije WannaCry, već zlonamjerni softver sličnog ponašanja.
Rafinerija Rosneft Ryazan - mreža je bila isključena. Također napad. Osim Rosnefta/Bashnefta napadnuti su i drugi velike tvrtke. Problemi su prijavljeni u tvrtkama Mondelēz International, Oschadbank, Mars, Nova Poshta, Nivea, TESA i drugi.
Virus je identificiran - to je Petya.A. Petya.A jede tvrdih diskova. On šifrira glavnu tablicu datoteka (MFT) i iznuđuje novac za dešifriranje.
Kijevski metro također je bio izložen hakerskom napadu. Napadnuta su vladina računala Ukrajine, trgovine Auchan, ukrajinski operateri (Kyivstar, LifeCell, UkrTeleCom), PrivatBank. Postoje izvješća o sličnom napadu na KharkovGaz. Prema Administrator sustava, strojevi su imali instaliran Windows 7 najnovija ažuriranja. Napadnut je i Pavel Valerievich Rozenko, potpredsjednik ukrajinske vlade. Zračna luka Boryspil također je navodno bila predmet hakerskog napada.
Telegram kanal "Cybersecurity and Co.
27. lipnja, 16:27 Najmanje 80 ruskih i ukrajinskih tvrtki pogođeno je virusom Petya.A, rekao je Valery Baulin, predstavnik Group-IB-a, specijaliziranog za rano otkrivanje kibernetičkih prijetnji.
“Prema našim podacima, više od 80 tvrtki u Rusiji i Ukrajini pogođeno je kao rezultat napada korištenjem enkripcijskog virusa Petya.A”, rekao je. Baulin je naglasio da napad nije povezan s WannaCryjem.Za zaustavljanje širenja virusa potrebno je hitno zatvoriti TCP portove 1024–1035, 135 i 445, ističu iz Group-IB-a.<...>
“Među žrtvama cyber napada bile su mreže Bashnefta, Rosnefta, ukrajinskih tvrtki Zaporozhyeoblenergo, Dneproenergo i Dnjepar Electric Power System; Mondelēz International, Oschadbank, Mars, Novaya Poshta, Nivea, TESA i drugi također su bili blokirani virusnim napadom . "Kijevski metro je također bio predmet hakerskog napada. Vladina računala Ukrajine, Auchan trgovine, ukrajinski operateri (Kyivstar, LifeCell, UkrTeleCom), Privat Bank su napadnuti. Zračna luka Boryspil također je navodno bila predmet hakerskog napada," Grupa -ističe IB.
Stručnjaci Group-IB-a također su otkrili da je grupa Cobalt nedavno koristila ransomware Petya.A kako bi sakrila tragove ciljanog napada na financijske institucije.
Tvrtka Rosneft bila je izložena snažnom hakerskom napadu, izvijestili su na svom Twitteru.
“Izveden je snažan hakerski napad na poslužitelje tvrtke. Nadamo se da to nema nikakve veze s pravnim postupkom koji je u tijeku”, stoji u priopćenju. Web stranica Rosnefta bila je nedostupna u vrijeme objave bilješke.
Naftna kompanija je izvijestila da je kontaktirala tijela za provođenje zakona u vezi s incidentom. Zahvaljujući brzom postupanju službe sigurnosti, rad Rosnjefta nije ometan i odvija se normalnim tokom.
“Hakerski napad mogao je dovesti do ozbiljnih posljedica, ali zahvaljujući činjenici da je tvrtka prešla na rezervni sustav upravljanja proizvodni procesi, ni proizvodnja ni priprema nafte nisu zaustavljeni", rekli su predstavnici tvrtke dopisniku Gazete.Ru.
Upozorili su da će se svi koji budu širili lažne informacije “smatrati suučesnicima organizatora napada i odgovarati zajedno s njima”.
Osim toga, zaražena su i računala tvrtke Bashneft, izvijestili su "Vedomosti". Ransomware virus, kao i zloglasni WannaCry, blokirao je sve računalne podatke i traži da se kriminalcima prenese otkupnina u bitcoinima u iznosu od 300 dolara.
Nažalost, ovo nisu jedine žrtve velikog hakerskog napada – Telegram kanala Cybersecurity and Co. izvješćuje o cyber haku Mondelez Internationala (brendovi Alpen Gold i Milka), Oschadbank, Mars, Nova Pošta, Nivea, TESA i druge tvrtke.
Autor kanala Alexander Litreyev rekao je da se virus zove Petya.A i da je stvarno sličan WannaCryju koji je u svibnju ove godine zarazio više od 300 tisuća računala diljem svijeta. Petya.A napada tvrdi disk i šifrira glavnu tablicu datoteka (MFT). Prema Litreevu, virus je distribuiran u phishing e-porukama sa zaraženim privicima.
U blog Kaspersky Lab objavio je publikaciju s informacijama o tome kako dolazi do infekcije. Prema autoru, virus se širi uglavnom preko HR menadžera, budući da su pisma maskirana kao poruka kandidata za određenu poziciju.
“Stručnjak za ljudske resurse prima lažnu e-poštu s vezom na Dropbox, koja vam navodno omogućuje da odete i preuzmete “životopis”. Ali datoteka na linku nije bezopasna tekstualni dokument, već samoraspakirajuću arhivu s nastavkom .EXE”, kaže stručnjak.
Nakon otvaranja datoteke, korisnik vidi " plavi ekran smrt”, nakon čega Petya.A blokira sustav.
Stručnjaci Group-IB rekli su za Gazeta.Ru da je skupina Cobalt nedavno upotrijebila kriptor Petya za skrivanje tragova ciljanog napada na financijske institucije.
Opet ruski hakeri
Ukrajinu je najviše pogodio virus Petya.A. Među žrtvama su Zaporozhyeoblenergo, Dneproenergo, Kijev Metro, Ukrajinac mobilnih operatera Kyivstar, LifeCell i Ukrtelecom, trgovina Auchan, Privatbank, zračna luka Boryspil i druge organizacije i strukture.
Ukupno je napadnuto preko 80 tvrtki u Rusiji i Ukrajini.
Član ukrajinske Rade iz Narodne fronte, član uprave Ministarstva unutarnjih poslova Anton Geraščenko rekao je da su za cyber napad krive ruske specijalne službe.
“Prema preliminarnim informacijama, ovo organizirani sustav od ruskih obavještajnih službi. Mete ovog cyber napada su banke, mediji, Ukrzaliznytsia, Ukrtelecom. Virus se na računalima pojavljivao nekoliko dana, čak i tjedana, u obliku razne vrste poruke e-poštom, korisnici koji su otvorili te poruke omogućili su širenje virusa po svim računalima. Ovo je još jedan primjer korištenja kibernetičkih napada u hibridnom ratu protiv naše zemlje”, rekao je Geraščenko.
Napad WannaCry ransomware virus dogodio sredinom svibnja 2017. i paralizirao rad nekolicine međunarodne tvrtkeŠirom svijeta. Šteta nanesena globalnoj zajednici velikih razmjera WannaCry virus, procijenjen na milijardu dolara.
Zlonamjerni softver iskoristio je ranjivost u operacijski sustav Windows je blokirao računalo i tražio otkupninu. Širenje virusa slučajno je zaustavio jedan britanski programer - registrirao je Naziv domene, kojoj je program pristupio.
Unatoč činjenici da je kibernetički napad WannaCry imao planetarne razmjere, ukupno su zabilježena samo 302 slučaja plaćanja otkupnine, zbog čega su hakeri uspjeli zaraditi 116 tisuća dolara.
