Контакты
Главная / Оборудование для бизнеса

Вирус-вымогатель Petya атаковал российские и украинские компании. Вирусная атака может быть испытанием кибероружия

Причиной масштабной атаки на нефтяные, телекоммуникационные и финансовые компании в России и на Украине стал вирус-шифровальщик Petya. Атаке, начавшейся сегодня около 14:00, подверглись уже десятки компаний. Вирус блокирует компьютеры и требует $300 в биткойнах. Он распространяется по всему миру и, по данным «Лаборатории Касперского», уже затронул «огромное количество стран».


Как сообщили “Ъ” в компании по предотвращению и расследованию киберпреступлений и мошенничеств Group-IB, криптолокер Petya распространяется аналогично вирусу WannaCry. Среди жертв кибератаки оказались сети российских «Башнефти», «Роснефти», украинских «Запорожьеоблэнерго», «Днепроэнерго» и Днепровской электроэнергетической системы. Также в России атаке подверглись Mondelez International, Mars и Nivea. Помимо этого, по данным Group-IB, на Украине были атакованы правительственные компьютеры, Киевский метрополитен, магазины «Ашан», операторы связи («Киевстар», LifeCell, «Укртелеком»), Приватбанк, Чернобыльская АЭС и, предположительно, аэропорт Борисполь.

Представитель «Роснефти» Михаил Леонтьев сообщил “Ъ”, что атака была очень мощной и, если бы производственные подразделения не были сразу переведены на резервные системы управления, ущерб мог бы быть значительным. «В результате сейчас все производственные активы работают в штатном режиме и в этом сегменте ущерба не было никакого»,- подчеркнул Михаил Леонтьев. Один из собеседников “Ъ” в центральном аппарате «Роснефти» говорит, что не заметил признаков вируса. «После сообщений об атаке нас попросили выключить компьютеры»,- отметил он. Другой источник “Ъ”, близкий к «Роснефти», сообщил, что в ряде дочерних структур компании, в том числе в Уральском федеральном округе, компьютеры сотрудников были заблокированы всплывающими вирусными окнами.

Источник “Ъ” в ЛУКОЙЛе сообщил, что системы работают в штатном режиме. «Сотрудников предупредили не открывать письма с незнакомых адресов и подозрительные вложения»,- сказал он.

Представитель Evraz сообщил, что информационная система компании подверглась атаке, но основные производства продолжают работу. «Угрозы безопасности предприятий и сотрудников нет»,- отметил он.

Центробанк (ЦБ) также выявил случаи заражения IT-систем российских кредитных организаций в результате хакерской атаки. «По информации Банка России, в результате атак зафиксированы единичные случаи заражения объектов информационной инфраструктуры. Нарушений работы систем банков и нарушений предоставления сервисов клиентам не зафиксировано»,- приводит RNS заявление ЦБ.

В российском Mars хакерская атака затронула работу подразделения Royal Canin. Его представитель сказал “Ъ”, что «есть определенные сложности в работе IT». «У нас не работают компьютеры. С проблемой разбираются специалисты»,- уточнил он. В Mondelez International подтвердили, что сотрудники компании столкнулись с технологическими проблемами, которые затронули не только российское представительство, но и европейские филиалы. «На данный момент мы не можем прокомментировать подробности возникшей ситуации и работаем над решением проблемы»,- сообщили в пресс-службе.

Банк «Хоум кредит» приостановил обслуживание клиентов в связи с хакерской атакой. В пресс-службе банка сообщили, что в настоящее время все отделения работают по обычному графику, но в консультационном режиме, клиентские операции в отделениях сейчас проводить нельзя, банкоматы и колл-центр работают. Сайт банка недоступен.

По информации «Лаборатории Касперского», вирус-вымогатель Petya распространился по всему миру. Об этом заявил руководитель международной исследовательской команды «Лаборатории Касперского» Костин Райю в своем микроблоге в Twitter . «Вирус Petya с контактным адресом [email protected] распространяется во всем мире, огромное количество стран затронуто»,- сообщил он.

Несколько европейских компаний уже сообщили о кибератаках на свои компьютеры. Среди них - британская рекламная фирма WPP, голландская транспортная компания APM, датская компания A.P. Moller-Maersk, а также одна из международных компаний в Норвегии. Кроме того, атакам подверглись серверы представительств международных компаний Mondelēz International и DLA Piper в Испании, их компьютерные системы полностью выведены из строя.

Антивирусная компания Dr. Web провела исследование проведенных кибератак. В компании заявили , что, несмотря на проведенные в СМИ параллели с вирусом-вымогателем Petya, поразивший компьютеры ряда компаний России и Украины вирус отличается по способу распространения от Petya. Как и предыдущий вирус WannaCry, троянец распространяется самостоятельно, однако точных данных о способе его распространения и названии пока нет, сообщили в Dr. Web.

Генеральный директор «1С-Битрикс» Сергей Рыжиков в эфире "Ъ FM": «Нельзя написать антивирус, который защищает абсолютно от всех вирусов. Делается модификация вируса, и она получает некоторую фору в течение нескольких дней, пока антивирусы не выпустят соответствующих обновлений. Все это возможно, потому что есть экономическая выгода: создавая клоны вирусов, у преступников есть возможность получить эти деньги через биткоин. А если есть возможность получить и не быть наказанными, то эта история будет продолжаться неоднократно. Есть один надежный способ не заразиться - это навсегда отключиться от интернета, и то гарантии абсолютной нет, потому что что-то в этот компьютер будет втыкаться – те же флешки, - и это создает определенные риски».

Юлия Тишина, Олег Трутнев, Дмитрий Козлов, Анатолий Джумайло, Ольга Мордюшенко

Глава Минкомсвязи Николай Никифоров считает вирусную атаку на российские СМИ случайной. Фото Егора Алеева/ТАСС

Вымогательство или шантаж коммерческих структур вряд ли может объяснять вирусные атаки по всему миру или волну телефонного терроризма в РФ. Компьютерный вирус «Плохой кролик - Bad Rabbit» атаковал компании в России, Турции, Германии и в Украине, которые пока не восстановили свою работу. Специалисты по кибербезопасности объясняют происходящее нарушением правил компьютерной безопасности у пострадавших. А ветераны спецслужб подозревают в компьютерных сбоях и телефонном терроризме своих коллег. Они допускают проведение испытаний кибероружия для оценки его эффективности. Не исключено также, что иностранные спецслужбы так наказывают Россию после обвинения во вмешательстве в американские и европейские выборы.

Модифицированный вирус Bad Rabbit атаковал компьютерные сети в России, Турции, Германии, Украине и в других странах. Причем работа информационных систем полностью не восстановлена. Так, на момент выхода номера в печать некоторые ресурсы Интерфакса оставались недоступны. Примечательно, что вымогатели требовали для снятия блокировки пораженных компьютеров довольно скромную сумму – около 17 тыс. руб.

Нажива – это не то, для чего используются подобные вирусы, всегда есть более важная и конкретная задача, считают эксперты. Вряд ли хакеры преследовали какую-то конкретную цель, атака была случайной, спорят в Минкомсвязи. Как считает глава Минкомсвязи Николай Никифоров, атака нового вируса-шифровальщика Bad Rabbit, которой ранее подверглись российские СМИ, не была целенаправленной и носила случайный характер. «При всем уважении к большим СМИ это не критический объект инфраструктуры», – сказал Никифоров, добавив, что какую-то определенную цель хакеры вряд ли преследовали. По его мнению, такие атаки, в частности, связаны с нарушением мер безопасности при подключении к «открытому Интернету». «Скорее всего эта информационная система (Интерфакса. – «НГ») не сертифицирована», – приводит слова министра ТАСС.

Напомним, во вторник атаке вируса-вымогателя Bad Rabbit подвергся ряд российских СМИ. В частности, оказалась нарушена работа агентства Интерфакс. За разблокировку компьютеров хакеры требовали выкуп в биткоинах. Кроме Интерфакса атаке подверглось и петербургское интернет-СМИ «Фонтанка». При этом в медиа ставят под сомнение, что атака на издание связана лишь с денежными мотивами. «Мы абсолютно не сомневаемся, что это часть действий злоумышленников, которые действуют в отношении нас на протяжении последних недель, размещая клеветнические заказные материалы на десятках ресурсов в Интернете, а также донося до контролирующих органов ложную информацию», – уверен главный редактор «Фонтанки» Александр Горшков.

Атаке поверглись не только российские СМИ, но и некоторые финансовые структуры. Так, по сообщению гендиректора компании Group-IB Ильи Сачкова, Bad Rabbit пытался атаковать и российские банки из топ-20. Юникредит-банк сообщил вчера об усилении мониторинга состояния своей сети на фоне сообщений об атаке вируса Bad Rabbit. А в банке «Открытие» рассказали об успешном отражении атаки вируса-шифровальщика.

Кибератаке подверглись и украинские предприятия. СМИ сообщали о нарушении работы информационных систем аэропорта Одессы. О хакерском нападении сообщила и пресс-служба Киевского метрополитена. Еще одной жертвой хакеров, по данным украинских СМИ, стал сайт Министерства инфраструктуры Украины.

Жертвы атак нового вируса находятся не только в РФ и Украине, но также в Турции и Германии, сообщает российский производитель антивирусов Лаборатория Касперского. «Большинство отраженных атак пришлось на Россию (65%), Украину (12,2%), Болгарию (10,2%), Турцию (6,4%), Японию (3,8%), другие страны (2,4%)», - перечисляет руководитель отдела технического маркетинга ESET Russia Алексей Оськин.

Вряд ли главной целью хакеров было вымогательство денег, считают эксперты. «Вымогатели требовали небольшие деньги, а то, что они получили, это либо минимальные средства, либо вообще нулевые. Потенциально атака была не ради заработка. Возможно, это всего лишь прикрытие», – замечает руководитель лаборатории компьютерной криминалистики и исследования вредоносного кода компании Group-IB Валерий Баулин. «Все признаки указывают на то, что это целенаправленная атака на корпоративные сети», – приводит ТАСС слова руководителя отдела Лаборатории Касперского Вячеслава Закоржевского.

Атаки вирусов-шифровальщиков, как ни парадоксально это звучит, не приносят вымогателям практически никакой прибыли, соглашаются эксперты «НГ». «Атака предыдущего вируса WannaCry хоть и нанесла урон от нескольких сотен миллионов до миллиарда долларов (подсчеты американского некоммерческого исследовательского института U.S. Cyber Consequences), но самим мошенникам принесла всего несколько десятков тысяч долларов», – приводит пример руководитель аналитического подразделения по информационной безопасности компании «ТСС» Илья Шарапов, подчеркивая, что хакеры чаще всего зарабатывают на заранее продуманных и нацеленных на конкретные организации атаках.

Напомним, только за последний год по миру прокатывалось несколько атак вирусов-шифровальщиков. Так, в мае эпидемию вызвал вирус WannaCry, в июне – Petya. Так же как и в случае в Bad Rabbit, сумма за дешифровку была скромной – около 300 долл. При этом первая атака охватила сотни тысяч пользователей в 150 странах, вторая – около 10 тыс. из 65 стран. В России жертвами кибератаки стали такие компании, как «МегаФон», «ВымпелКом», РЖД и «Роснефть». Пострадало также Министерство внутренних дел. Пытались взломать хакеры и серверы Минздрава.

Так или иначе, но объемы интернет-вымогательства в мире растут. Так, по итогам 2016 года число кибератак с применением вирусов-шифровальщиков выросло примерно на 50%, а количество новых форм данного вируса превысило 4 млн. Такие выводы, в частности, следовали из обнародованного ранее исследования компании Verizon, составленного при содействии разработчика антивирусных программ McAfee. И если еще в 2014 году такой тип вирусов занимал лишь 22-ю строчку «хит-парада» вредоносных программ, то теперь уже пятую, замечали исследователи. Кроме того, следует из доклада, хакеры стали чаще атаковать юридические лица – коммерческие, неправительственные и правительственные организации. «Среди юрлиц наиболее атакуемыми с применением вируса-шифровальщика стали правительственные организации, а также компании, работающие в сфере здравоохранения и финансовых услуг», – обращают внимание специалисты.

Растет и доля шпионажа. «В прошлом году хакерские атаки с целью шпионажа увеличили удельную долю в общем объеме киберпреступлений до 21% против менее 10% в 2010 году. Главными объектами таких атак являются правительственные учреждения, промышленные холдинги и учебные заведения», – следует из исследования.

Скорее всего число таких киберпреступлений будет только увеличиваться. К росту числа подобных атак будет подталкивать несколько факторов, полагает Шарапов. «Развитие и проникновение Интернета (на данный момент доступ к Сети имеет лишь 47% населения Земли; популяризация мобильного Интернета; наконец, развитие технологий IoT (Интернет вещей)», – перечисляет он, полагая, что мы только стоим «на пороге грандиозного и беспрецедентного влияния хакеров на повседневную жизнь рядовых граждан и крупных компаний».

Лишь за последние два года жертвы вирусов-вымогателей заплатили мошенникам выкуп на сумму в 25 млн долл., следует из исследования, проведенного Google совместно с Chainalysis. Растет и число преступлений с использованием мобильных средств. Так, согласно отчету компании Group-IB, только в период с апреля 2015-го по март 2016 года киберпреступники при помощи троянов на мобильных устройствах похитили со счетов в российских банках почти 350 млн руб. В результате объем хищений в годовом выражении увеличился на 471%, сообщают в компании.

Тем не менее происходящее сегодня с российскими СМИ и украинскими предприятиями сложно назвать полноценной киберэпидемией, считают некоторые эксперты. «В данном случае масштаб атаки настолько ничтожен, что говорить об эпидемии невозможно. Но, возможно, атака была на самом деле направлена против одной–двух компаний, а остальные заражались лишь для прикрытия», – не исключает ведущий аналитик отдела развития «Доктор Веб» Вячеслав Медведев. По мнению экспертов, основной посыл атаки – хулиганство. «Данная атака в силу незначительности вряд ли является инструментом коммерческого шантажа. Более того, при нормальной организации системы защиты она вообще не могла состояться. Ведь для заражения пользователь сам должен был установить вредоносную программу», – напоминает он.

Если бы вирус распространялся более локализованно, то это могла быть обычная хакерская атака с желанием поживиться, считает член экспертного совета по цифровой экономике Госдумы РФ Никита Куликов. «Такого рода атаки также могут использоваться для выявления дыр в киберзащите и, следовательно, уязвимости ключевых для страны компаний и организаций: СМИ, банки, госучреждения. А учитывая общую политическую напряженность, такой порядок действий выглядит вполне реальным», – не исключает он. «Вероятная цель атаки – навести переполох в работе служб безопасности организаций, а также завладеть секретной информацией этих структур», – соглашается директор развития сети компании «Солид Менеджмент» Сергей Звенигородский. «Учитывая же, что данный вирус-шифровальщик имеет схожую природу по своей структуре с уже нашумевшим вирусом Not. Petya, можно заключить, что это звенья одной цепи и визит «плохого кролика» вполне может повториться», – рассуждает он. В основе мотивации злоумышленников могут лежать и экономические мотивы, не исключает PR-директор Parallels Дмитрий Смиркин. «По статистике на получение финансовой выгоды нацелено 67% кибератак», - продолжает Оськин.

Теоретически подобные кибератаки оказываются на руку самим производителям антивирусного программного обеспечения. «Компания, которая быстро отреагирует на появление вируса и создаст защиту, обновив базу своего продукта, может получить новых клиентов: за счет скорости реакции компании-производителя отношение пользователей к ее продукции может улучшиться», – рассуждает старший аналитик компании «Фридом Финанс» Богдан Зварич.

Говорить о том, что один вирус способен изменить расклад на рынке антикризисных программ, смешно, спорит Медведев. «Пользователи просто не знают, сколько вредоносных программ создается в день. В день в антивирусные базы заносится информация о десятках новых только вирусах-шифровальщиках», – поясняет он.

Ветераны КГБ считают вероятным, что к вирусным атакам и к телефонному терроризму в РФ так или иначе могут быть причастны спецслужбы.

Генерал-майор КГБ в отставке Алексей Кондауров допускает, что волна телефонного терроризма и нападение на компьютерные сети в России может быть своеобразной местью или наказанием властей РФ, которые обвиняются во вмешательстве в американские выборы. «Мы наблюдаем сегодня самую серьезную и профессиональную атаку на Россию», – говорит Кондауров. «Наши ответственные структуры не сообщают об источниках этих атак и поэтому сегодня можно лишь перебирать возможные версии. Нельзя исключать, что к телефонному терроризму или вирусному нападению причастны исламские террористы. Но эта версия изначально кажется мне менее вероятной», – объясняет генерал-майор КГБ.

«Пока злоумышленники не обнаружены, можно лишь гадать и предлагать версии», – соглашается полковник запаса ФСБ Геннадий Гудков. При этом версия шантажа государственных и коммерческих структур с целью получения выкупа кажется ему маловероятной. Гораздо более правдоподобным он считает испытание спецслужбами эффекта применения кибероружия. Многие важные службы используют слабозащищенные почти бытовые компьютерные сети. Справочные, информационные, навигационные или транспортные компьютерные системы вполне могут стать объектом испытательного применения кибероружия, – считает Гудков. «Что касается волны телефонного терроризма в РФ, то у меня сложилось впечатление, что властям хорошо известно происхождение этих атак», – говорит полковник ФСБ.

Компания «Роснефть» подверглась мощной хакерской атаке, о чем сообщила в своем твиттере.

«На серверы компании осуществлена мощная хакерская атака. Мы надеемся, что это никак не связано с текущими судебными процедурами», — говорится в сообщении. Сайт «Роснефти» на момент публикации заметки был недоступен.

Нефтяная компания сообщила, что обратилась в правоохранительные органы в связи с инцидентом. Из-за оперативных действий службы безопасности работа «Роснефти» не нарушилась и продолжается в штатном режиме.

«Хакерская атака могла привести к серьезным последствиям, однако благодаря тому, что компания перешла на резервную систему управления производственными процессами, ни добыча, ни подготовка нефти не остановлены», — сообщили представители компании корреспонденту «Газеты.Ru».

Они предупредили, что все, кто будут распространять недостоверные данные, «будут рассматриваться как сообщники организаторов атаки и вместе с ними нести ответственность.»

Кроме того, были заражены компьютеры компании «Башнефть», сообщили «Ведомости» . Вирус-шифровальщик, как и печально известный WannaCry, заблокировал все данные компьютера и требует перевести преступникам выкуп в биткоинах, эквивалентный $300.

К сожалению, это не единственные пострадавшие от масштабной хакерской атаки — Telegram-канал «Сайберсекьюрити и Ко.» сообщает о кибервзломе Mondelez International (бренды Alpen Gold и Milka), Ощадбанка, Mars, Новой Почты, Nivea, TESA и других компаний.

Автор канала Александр Литреев заявил, что вирус носит название Petya.A и что он действительно похож на WannaCry, поразивший более 300 тыс. компьютеров по всему миру в мае этого года. Petya.A поражает жесткий диск и шифрует главную таблицу файлов (MFT). По данным Литреева, вирус распространялся в фишинговых письмах с зараженными вложениями.

В блоге «Лаборатории Касперского» появилась публикация с информацией о том, как происходит заражение. По словам автора, вирус распространяется в основном через HR-менеджеров, так как письма маскируются под сообщение от кандидата на ту или иную должность.

«HR-специалист получает фальшивое письмо со ссылкой на Dropbox, по которой якобы можно перейти и скачать «резюме». Вот только файл по ссылке является не безобидным текстовым документом, а самораспаковывающимся архивом с расширением.EXE», — рассказывает эксперт.

После открытия файла пользователь видит «синий экран смерти», после которого Petya.A блокирует систему.

Специалисты компании Group-IB рассказали «Газете.Ru», что недавно шифровальщик Petya использовала группа Cobalt для сокрытия следов целевой атаки на финансовые учреждения.

Снова русские хакеры

Наиболее сильно от вируса Petya.A пострадала Украина. Среди пострадавших — «Запорожьеоблэнерго», «Днепроэнерго», Киевский метрополитен, украинские мобильные операторы «Киевстар», LifeCell и «Укртелеком», магазин «Ашан», Приватбанк, аэропорт Борисполь и другие организации и структуры.

Всего в общей сложности были атакованы свыше 80 компаний в России и на Украине.

Депутат украинской Рады от «Народного фронта», член коллегии МВД Антон Геращенко заявил, что в кибератаке виноваты российские спецслужбы.

«По предварительной информации, это организованная система со стороны спецслужб РФ. Целью данной кибератаки являются банки, СМИ, «Укрзализниця», «Укртелеком». Вирус попадал на компьютеры несколько дней, даже недель в виде разного рода сообщений на почту, пользователи, которые открывали это сообщения, позволяли вирусу разойтись по всем компьютерам. Это еще один пример использования кибератак в гибридной войне против нашей страны», — сообщил Геращенко.

Атака вирусом-вымогателем WannaCry случилась в середине мая 2017 года и парализовала работу нескольких международных компаний по всему миру. Ущерб, нанесенный мировому сообществу масштабным вирусом WannaCry, оценили в $1 млрд.

Зловред использовал уязвимость в операционной системе Windows, блокировал компьютер и требовал выкуп. Распространение вируса было остановлено случайно одним британским программистом — он зарегистрировал доменное имя, к которому обращалась программа.

Несмотря на то что кибератака WannaCry имела планетарный масштаб, всего было зафиксировано только 302 случая уплаты выкупа, в результате чего хакеры смогли заработать $116 тыс.

МОСКВА, 27 июн — РИА Новости. Вирус-вымогатель стал причиной масштабной атаки на нефтяные, телекоммуникационные и финансовые компании России и Украины. Об этом РИА Новости сообщили в компании Group-IB, которая специализируется на раннем выявлении киберугроз.

"Он блокирует компьютеры и требует 300 долларов в биткоинах. Атака произошла около 14:00. Судя по фотографиям, это криптолокер Petya", — пояснили в пресс-службе компании, отметив, что способ распространения Petya в локальной сети аналогичен вирусу WannaCry.

Позже разработчик антивируса Dr.Web уточнил, что вредоносная программа отличается от Petya, но подтвердил, что троянец распространяется самостоятельно, как и нашумевший WannaCry.

В "Лаборатории Касперского", в свою очередь, рассказали, что вирус не принадлежит ни к одному из ранее известных семейств подобных программ.

По предварительным данным, от вируса пострадали многие компании, в том числе "Башнефть" и "Роснефть", а также украинские "Запорожьеоблэнерго", "Днепроэнерго" и Днепровская электроэнергетическая система.

"Mondelez International, Ощадбанк, Mars, "Новая Почта", Nivea, TESA и другие. Киевский метрополитен также подвергся хакерской атаке. Атакованы правительственные компьютеры Украины, магазины "Ашан", украинские операторы ("Киевстар", LifeCell, "УкрТелеКом"), Приватбанк. Аэропорт Борисполь, предположительно, тоже подвергся хакерской атаке", — добавил представитель Group-IB.

Вирус стал причиной сбоя в работе киевского метро: пассажиры не могут оплатить проезд с помощью банковских карт. В свою очередь, вице-премьер Украины Павел Розенко заявил, что хакерской атаке подверглись все компьютеры в кабмине.

Киевский аэропорт Борисполь предупредил о возможных задержках рейсов.

"Сегодня в аэропорту и в нескольких крупных предприятиях государственного сектора внештатная ситуация — спам-атака. Наши IT-службы пытаются совместными усилиями урегулировать ситуацию", — написал исполняющий обязанности директора аэропорта Евгений Дыхне на своей странице в Facebook .

На Чернобыльской атомной электростанции из-за хакерской атаки не работает электронный документооборот, сообщило издание "Украинская правда " со ссылкой на начальника смены АЭС.

По словам собеседника издания, некоторые компьютеры на станции были заражены вирусом. Поэтому, как только хакерская атака началась, была дана команда компьютерщиков отключить компьютеры персонала.

"О радиационной обстановке на станции замечаний нет. Превышения контрольных уровней нет. То есть у нас на промплощадке, на сооружениях ухудшения радиационной обстановки не произошло", — цитирует издание слова сотрудника АЭС.

Вирус также был обнаружен в Литве. Об этом агентству BNS сообщил представитель Службы регулирования связи страны. Он не уточнил, какие предприятия могли пострадать от вредоносной программы.

Ранее об атаке на свои серверы сообщила "Роснефть". В компании отметили, что сразу перешли на резервную систему управления производством, что позволило избежать остановки добычи нефти.

Вирус WannaCry атаковал сотни тысяч компьютеров по всему миру 12 мая. Тогда хакеры использовали модифицированную вредоносную программу Агентства национальной безопасности США: инструмент разведслужб, известный как eternal blue ("неисчерпаемая синева"), был совмещен с программой-вымогателем WannaCry.