Атаке подверглись более 80 компаний из России и Украины.
27 июня сети многих российских и украинских компаний поразил вирус-шифровщик, похожий на Petya.A. Программа полностью заблокировала информацию на компьютерах и потребовала выкуп в биткоинах, эквивалентный 300 долларам (около 17 700 рублей по нынешнему курсу).
Сайты многих ведомств, предприятий и подразделений оказались недоступны. По оценкам cпециалистов по кибербезопасности, речь идёт минимум о 80 пострадавших компаниях.
Украина
Вирус атаковал киевский аэропорт Борисполь, в руководстве которого предупредили о возможных задержках рейсов.
Шифровальщик добрался до киевского метро, где заразил терминалы пополнения проездных билетов. Оплату банковскими картами временно приостановили.
Атаке подверглись компьютерные сети правительства Украины. Вирус-вымогатель распространился в кабинет министров. Сайт правительства оказалась недоступен.
Энергетические компании также столкнулись с вирусом-вымогателем: cообщалось об атаках на «Киевэнерго», «Запорожьеоблэнерго», «Днепроэнерго» и «Днепровскую электроэнергетическую систему». В компании-операторе энергосистемы «Укрэнерго» заявили, что энергосистема работает в штатном режиме, а реальных угроз для производства вирус не нёс.
Вирус затронул Национальный банк Украины, в котором предупредили клиентов о сложностях с обслуживанием и банковскими операциями. Он также распространился на некоторые украинские банки, в том числе «Ощадбанк», «Приватбанк», «Пивденный банк», «Таскомбанк» и «Укргазбанк». «Проминвестбанк» (украинская «дочерняя» компания ВЭБ) заявил, что ущерба для систем нет, а сотрудник «вовремя успели отключили все компьютеры от сети.
Шифровальщик попал на компьютеры в офисы украинских мобильных операторов «Киевстар», LifeCell, «УкрТелеКом»
Россия
Одной из первых о «мощной хакерской атаке» на свои серверы объявила «Роснефть». В компании избежали серьёзных последствий, перейдя на резервную систему управления. Сообщения о сбоях при добыче и подготовке нефти в «Роснефти» опровергли, а заодно заподозрили в причастности к кибератаке тех, кто распространяет слухи.
По данным СМИ, атаке подверглась «Башнефть», включая управление и структуру, отвечающую за добычу нефти. Все компьютеры компании «единомоментно перезагрузились», скачали неустановленное программное обеспечение и вывели на экран заставку вируса».
Центральный банк России выявил случаи заражения вирусом в российских кредитных организациях. ЦБ заявил, что «работа систем банков и предоставление сервисов клиентам» не нарушались. При этом атака обрушилась на банк «Хоум Кредит». Все отделения кредитной организации приостановили работу и начали проверку безопасности.
Также шифровщик заразил информационную систему металлургической и горнодобывающей компании Evraz, совладельцем которой значится Роман Абрамович. На предприятии отметили, что угрозы безопасности нет, а работу не прекращали.
Специалисты по кибербезопасности из компании Group-IB сообщили, что вирус затронул компанию Mars. В компании пояснили, что «сложности с IT-системами» возникли только у бренда корма для животных Royal Canin.
Среди жертв вируса, по данным Group-IB, оказались Nivea, TESA и производитель шоколада Alpen Gold — Mondelez International. Атаке подтверглись «Новая Почта», Nivea, TESA, а также подразделения логистической компании Damco в России и Европе.
На работе систем Кремля и администрации президента России атака не сказалась.
Как защитить сеть от вируса и откуда он мог взяться
Для того, чтобы прекратить распространение вируса, необходимо закрыть TCP-порты 1024–1035, 135 и 445, объяснил руководитель криминалистической лаборатории Group-IB Валерий Баулин. Подробные инструкции о том, как это сделать, размещены на специализированных сайтах.
В Group-IB заявили, что атака Petya.A не связана с вирусом-вымогателем WannaCry, поразившим компьютеры по всему миру в мае 2017 года. По данным специалистов, относительно недавно шифровальщик использовала группа Cobalt, которая хотела скрыть следы целевой атаки на финансовые учреждения.
В новой версии Petya от 18 июня этого года есть поддельная цифровая подпись Microsoft, заявил глава международного исследовательского подразделения «Лаборатории Касперского» Костин Райю. По его словам, вирус начал распространяться по всему миру.
Гендиректор ГК InfoWatch Наталья Касперская подтвердила, что Petya.A обнаружили ещё год назад (точнее — в апреле 2016 года). Первый вариант, по её словам, был бессильным, если ему не давались права администратора.
Поэтому он объединился с некоторым другим вымогателем-вирусом Misha, который имел права администратора. Это был улучшенная версия, резервный шифровальщик.
Наталья Касперская, гендиректор ГК InfoWatch
Несмотря на отсутствие прямой связи Petya.A с WannaCry, похоже, что он также заражает компьютеры через фишинговые сообщения и вредоносные вложения, открытые с помощью электронной почты. WannaCry пользовался уязвимостью, также была связана со старыми версиями Windows — для защиты от вируса достаточно было скачать патч.
Твитнуть
Поделиться
Поделиться
Нашли опечатку? Выделите фрагмент и отправьте нажатием Ctrl+Enter.