Mediamateriaalien perusteella
Kesäkuun 27. päivänä maailma kärsi uudesta hakkerihyökkäyksestä: pilkkaavan kevytmielisesti Petya-niminen virus esti tietokoneet monissa maissa ja vaati 300 dollaria yrityksen tietokantoihin pääsyn palauttamisesta. Kerättyään noin 8 tuhatta "Petya" rauhoittui jättäen kuitenkin paljon kysymyksiä.
Kiireellisin tietysti on kuka, mistä? Fortune-lehden, erittäin arvovaltaisen julkaisun, mukaan "Petya" tuli meille Ukrainasta. Saksalainen kyberpoliisi on taipuvainen samaan näkemykseen, ja tyypillisesti myös ukrainalainen. "Petya" tuli suureen maailmaan ukrainalaisen Intellect-Service-yrityksen suolistosta - laajan valikoiman ohjelmistojen mukautetun kehittäjän kautta.
Erityisesti yrityksen suurin asiakas on ukrainalainen matkapuhelinoperaattori Vodafone, joka tunnetaan paremmin nimellä MTS Ukraine - niin sitä kutsuttiin vuoteen 2015 asti. Yleisesti ottaen MTS on tunnetun Vladimir Jevtushenkovin omistaman AFK Sistema -yhtiön keskeinen voimavara. Eikö liikemies ollut mukana Petitin kehittämisessä ja lanseerauksessa?
Versijan mukaan tämä on enemmän kuin todennäköistä. "Petya" lähti "valtatielleen" juuri ennen Bashkortostanin välimiesoikeuden kokousta, jossa käsiteltiin Rosneftin vaatimuksia Bashneftin entiselle omistajalle AFK Sistemalle, joka siirrettiin suurimman kansallisen öljy-yhtiön käyttöön. . Rosneftin mukaan Jevtushenkov ja hänen ylin johtonsa aiheuttivat johtollaan Bashneftille 170 miljardin ruplan tappiot, joista he vaativat korvausta oikeudessa.
Tuomioistuin muuten on taipuvainen uskomaan uutta omistajaa, koska se on jo takavarikoinut 185 miljardia ruplaa vanhalle, mukaan lukien muuten 31,76% MTS:n osakkeista. Tämän seurauksena Jevtushenkovin tila "hukastui" lähes puoleen, ja liikemiehen hermot alkoivat pettää yhä useammin. Mitä arvoa on väärennetyllä sovintosopimuksella, joka tuli oikeuteen tyhjästä - kantaja, kuten kävi ilmi, ei koskaan nähnyt sitä, saati allekirjoittanut sen.
Jos nimettömät kirjeet eivät toimineet, seuraava looginen askel on piilottaa todisteet vastaajan häntä vastaan syytetyistä epäilytyksistä. Ja tämä todiste on tallennettu Bashneftin tietokoneisiin, jotka siirrettiin kaiken muun omaisuuden kanssa Rosneftille. Joten sinun ei pitäisi nauraa "Petyalle" - sen tekijät eivät halunneet "ansaita rahaa helposti", vaan siivota irrallisia päitä.
Ja yleisesti ottaen laskelma ei ollut huono. Ja ukrainalaista yritystä ei valittu sattumalta - missä, jos ei Ukrainassa, kaikki viralliset tutkimukset juuttuvat ja todisteiden kerääminen umpikujaan? Ja Rosneft-tietokonejärjestelmä tärisi hakkerihyökkäyksen alla, mutta varajärjestelmän ansiosta se säilyi silti, mihin entinen omistaja ei voinut luottaa - hän luultavasti odotti, että hänen vastustajansa kyberpuolustusjärjestelmä oli täynnä reikiä, koska se oli Bashneftissä AFK Sisteman aikana.
Luultavasti siksi hyökkäyksen tekijät ryntäsivät levittämään huhuja, että Rosneftin oli keskeytettävä tuotanto. Ei, tuotanto ei pysähtynyt, mutta nämä huhut osoittavat jälleen kerran, että "Petitin" luojat olivat erittäin kiinnostuneita tästä. Ja tänään Rosneftin halveksuminen on ensimmäinen asia Vladimir Jevtushenkovin rakenteiden asialistalla.
Yksityiskohdat
Lähikuva
Mielenkiintoisin asia venäläisen kaartin aloitteessa tiukentaa laittoman yksityisen turvallisuustoiminnan rangaistuksia eivät ole ehdotetut sanktiot, vaan Venäjän nuorimman erikoispalvelun selkeästi määrittelemä voiman kohde. Itse asiassa on tarkoitus julistaa todellinen sota monimuotoiselle vartija- ja hallintoarmeijalle.
Kyberrikoksia tutkivan Group-IB:n lehdistöpalvelu kertoi RBC:lle, että hakkerihyökkäys useisiin Petya-salausvirusta käyttäviin yrityksiin oli "hyvin samanlainen" kuin toukokuun puolivälissä WannaCry-haittaohjelmalla tehty hyökkäys. Petya estää tietokoneiden käytön ja vaatii vastineeksi 300 dollaria bitcoineina.
"Hyökkäys tapahtui noin kello 14. Valokuvista päätellen tämä on Petya-skriptilukija. Jakelutapa paikallisverkossa on samanlainen kuin WannaCry-viruksella”, seuraa Group-IB:n lehdistöpalvelun viesti.
Samaan aikaan erään Rosneftin tytäryhtiön työntekijä, joka on mukana offshore-projekteissa, sanoo, että tietokoneet eivät sammuneet, punaisella tekstillä varustetut näytöt ilmestyivät, mutta eivät kaikille työntekijöille. Yritys on kuitenkin romahtamassa ja työt ovat pysähtyneet. Keskustelukumppanit huomauttavat myös, että Bashneftin toimistossa Ufassa kaikki sähköt katkaistiin kokonaan.
Klo 15.40 Moskovan aikaa Rosneftin ja Bashneftin viralliset verkkosivustot eivät ole käytettävissä. Vastauksen puuttuminen voidaan vahvistaa palvelimen tilantarkistusresursseista. Myös Rosneftin suurimman tytäryhtiön Yuganskneftegazin verkkosivut eivät toimi.
Yhtiö twiittasi myöhemmin, että hakkerointi olisi voinut johtaa "vakaviin seurauksiin". Tästä huolimatta tuotantoprosesseja, tuotantoa ja öljyn valmistusta ei pysäytetty varaohjausjärjestelmään siirtymisen vuoksi, yhtiö selitti.
Tällä hetkellä Bashkortostanin välimiesoikeus on saattanut päätökseen kokouksen, jossa se käsitteli Rosneftin ja sen hallitseman Bashneftin kannetta AFK Sistemaa ja Sistema-Investiä vastaan 170,6 miljardin ruplan takaisinperinnästä, joka öljy-yhtiön mukaan ” Bashneft kärsi tappioita vuoden 2014 uudelleenjärjestelyn seurauksena.
AFK Sisteman edustaja pyysi tuomioistuinta siirtämään seuraavaa istuntoa kuukaudella, jotta osapuolet ehtivät tutustua kaikkiin vetoomuksiin. Tuomari ajoi seuraavan kokouksen kahden viikon kuluttua - heinäkuun 12. päivälle, ja totesi, että AFC:llä on monia edustajia ja he selviävät tämän ajan kuluessa.
Joten nyt on ilmestynyt uusi virus.
Mikä virus se on ja pitäisikö sitä pelätä?
Tältä se näyttää tartunnan saaneessa tietokoneessa
Virus nimeltä mbr locker 256 (joka kutsuu itseään näytössä Petyaksi) hyökkäsi venäläisten ja ukrainalaisten yritysten palvelimiin.
Se lukitsee tiedostot tietokoneellasi ja salaa ne. Hakkerit vaativat 300 dollaria bitcoineina lukituksen avaamisesta.
MBR- Tämä on pääkäynnistystietue, koodi, joka tarvitaan käyttöjärjestelmän myöhempään käynnistykseen. Se sijaitsee laitteen ensimmäisessä sektorissa.
Kun tietokoneeseen on kytketty virta, POST-prosessi käy läpi, testaa laitteistoa, ja sen jälkeen BIOS lataa MBR:n RAM-muistiin osoitteessa 0x7C00 ja siirtää ohjauksen siihen.
Siten virus pääsee tietokoneeseen ja saastuttaa järjestelmän. Haittaohjelmiin on monia muunnelmia.
Se toimii Windowsissa, kuten edellinen haittaohjelma.
Joka on jo kärsinyt
Ukrainan ja Venäjän yhtiöt. Tässä osa koko listaa:
Monet yritykset torjuivat hyökkäyksen nopeasti, mutta kaikki eivät pystyneet siihen. Tämän vuoksi osa palvelimista ei toimi.
Pankit eivät voi suorittaa useita rahatapahtumia Petitin takia. Lentokentät lykkäävät tai lykkäävät lentojaan. Ukrainan metro ei hyväksynyt lähimaksuja ennen klo 15.00.
Toimistolaitteiden ja tietokoneiden osalta ne eivät toimi. Samaan aikaan energiajärjestelmässä tai energiahuollossa ei ole ongelmia. Tämä koski vain toimistotietokoneita (jotka toimivat Windows-alustalla). Saimme käskyn sammuttaa tietokoneet. - Ukrenergo
Operaattorit valittavat kärsineensä myös heistä. Mutta samalla he yrittävät työskennellä tilaajille tavalliseen tapaan.
Kuinka suojautua Petyalta.A
Suojautuaksesi sitä vastaan sinun on suljettava tietokoneesi TCP-portit 1024-1035, 135 ja 445. Tämä on melko helppoa:
Vaihe 1. Avaa palomuuri.
Vaihe 2. Siirry näytön vasemmassa reunassa kohtaan "Saapuvien yhteyksien säännöt".
Vaihe 3. Valitse "Luo sääntö" -> "Portille" -> "TCP-protokolla" -> "Tietyt paikalliset portit".
Vaihe 4. Kirjoitamme "1024-1035, 135, 445", valitsemme kaikki profiilit, napsautamme "Estä yhteys" ja "Seuraava" kaikkialla.
Vaihe 5. Toistamme vaiheet lähteville yhteyksille.
No, toiseksi, päivitä virustorjuntasi. Asiantuntijat raportoivat, että tarvittavat päivitykset ovat jo ilmestyneet virustorjuntaohjelmistojen tietokantoihin.
Rosneft-yhtiö valitti voimakkaasta hakkerihyökkäyksestä palvelimiinsa. Yhtiö ilmoitti asiasta tiedotteessaan Viserrys. ”Yhtiön palvelimille suoritettiin voimakas hakkerihyökkäys. Toivomme, että tällä ei ole mitään tekemistä nykyisen oikeuskäsittelyn kanssa”, viestissä todetaan.
"Yhtiö otti yhteyttä lainvalvontaviranomaisiin kyberhyökkäyksen johdosta" se sanoo viestissä. Yhtiö korosti, että hakkerihyökkäyksellä voi olla vakavia seurauksia, mutta "sen tosiasian ansiosta, että yhtiö siirtyi varatuotantoprosessin ohjausjärjestelmään, öljyntuotantoa tai öljyn valmistusta ei pysäytetty". Vedomosti-sanomalehden keskustelukumppani, joka on lähellä yhtä yrityksen rakenteita, osoittaa, että kaikki Bashneftin jalostamon, Bashneft-Dobychen ja Bashneftin johdon tietokoneet "käynnistettiin uudelleen kerralla, minkä jälkeen he latasivat poistetut ohjelmistot ja näyttivät viruksen aloitusnäytön WannaCryn. "
Näytöllä käyttäjiä pyydettiin siirtämään 300 dollaria bitcoineina tiettyyn osoitteeseen, minkä jälkeen käyttäjille väitetään lähetettävän avain tietokoneensa lukituksen avaamiseksi sähköpostitse. Virus, kuvauksen perusteella, salasi kaikki käyttäjien tietokoneilla olevat tiedot.
Kyberrikoksia ja petoksia ehkäisevä ja tutkiva Group-IB on tunnistanut öljy-yhtiöön vaikuttaneen viruksen, yhtiö kertoi Forbesille. Puhumme Petya-salausviruksesta, joka ei hyökännyt vain Rosneftiin. IB-ryhmän asiantuntijat. selvitti, että noin 80 yritystä vastaan Venäjällä ja Ukrainassa hyökättiin: Bashneftin, Rosneftin, ukrainalaisten Zaporozhyeoblenergon, Dneproenergon ja Dneprin sähkövoimajärjestelmän, Mondelēz Internationalin, Oschadbankin, Marsin, Novaja Pochtan, Nivean, TESA:n ja muiden verkkoihin. Myös Kiovan metroon kohdistui hakkerihyökkäys. Ukrainan valtion tietokoneisiin, Auchan-myymälöihin, ukrainalaisiin operaattoreihin (Kyivstar, LifeCell, UkrTeleCom) ja PrivatBankiin hyökättiin. Myös Boryspilin lentokentälle väitetään joutuneen hakkerihyökkäyksen kohteeksi.
Virus leviää joko ilkeänä tai postitusten kautta – yrityksen työntekijät avasivat haitallisia liitteitä sähköposteihin. Tämän seurauksena uhrin tietokone estettiin ja MFT (NTFS-tiedostotaulukko) salattiin turvallisesti, selittää Group-IB:n edustaja. Samaan aikaan lunnasohjelman nimeä ei ilmoiteta lukitusnäytössä, mikä vaikeuttaa tilanteeseen reagoimista. On myös syytä huomata, että Petya käyttää vahvaa salausalgoritmia, eikä sillä ole kykyä luoda salauksenpurkutyökalua. Kiristysohjelma vaatii 300 dollaria bitcoineina. Uhrit ovat jo alkaneet siirtää rahaa hyökkääjien lompakkoon.
Group-IB:n asiantuntijat havaitsivat, että Cobalt-ryhmä käytti äskettäin muokattua versiota Petya-salauksesta, "PetrWrap", piilottaakseen jälkiä kohdistetusta hyökkäyksestä rahoituslaitoksia vastaan. Cobalt-rikollisryhmä tunnetaan onnistuneista hyökkäyksistä pankkeja vastaan ympäri maailmaa - Venäjällä, Isossa-Britanniassa, Alankomaissa, Espanjassa, Romaniassa, Valko-Venäjällä, Puolassa, Virossa, Bulgariassa, Georgiassa, Moldovassa, Kirgisiassa, Armeniassa, Taiwanissa ja Malesiassa. Tämä rakenne on erikoistunut kontaktittomiin (loogisiin) hyökkäyksiin pankkiautomaatteja vastaan. Pankkiautomaattien valvontajärjestelmien lisäksi kyberrikolliset yrittävät päästä käsiksi pankkien välisiin siirtojärjestelmiin (SWIFT), maksuyhdyskäytäviin ja korttien käsittelyyn.
Rosneft ilmoitti iltapäivällä 27. kesäkuuta hakkerihyökkäyksestä palvelimiinsa. Samaan aikaan ilmestyi tietoa vastaavasta hyökkäyksestä Bashneftin, Ukrenergon, Kyivenergon ja useiden muiden yritysten ja yritysten tietokoneisiin.
Virus lukitsee tietokoneet ja kiristää rahaa käyttäjiltä, se on samanlainen kuin .
Yhtiön palvelimille suoritettiin voimakas hakkerihyökkäys. Toivomme, että tällä ei ole mitään tekemistä käynnissä olevien oikeudenkäyntien kanssa.
Vastauksena kyberhyökkäykseen Yhtiö otti yhteyttä lainvalvontaviranomaisiin.
— PJSC NK Rosneft (@RosneftRu) 27. kesäkuuta 2017
Erään yhtiön rakenteita lähellä oleva lähde huomauttaa, että kaikki Bashneftin jalostamon, Bashneft-Productionin ja Bashneftin johdon tietokoneet "käynnistettiin uudelleen kerralla, minkä jälkeen ne latasivat poistetut ohjelmistot ja näyttelivät WannaCry-viruksen aloitusnäytön". Näytöllä käyttäjiä pyydettiin siirtämään 300 dollaria bitcoineina määritettyyn osoitteeseen, minkä jälkeen käyttäjille lähetetään avain tietokoneensa lukituksen avaamiseksi sähköpostitse. Virus, kuvauksen perusteella, salasi kaikki käyttäjien tietokoneilla olevat tiedot."Vedomosti"
"Ukrainan keskuspankki varoitti pankkeja ja muita finanssisektorin toimijoita ulkopuolisesta hakkerihyökkäyksestä, jonka tuntematon virus useisiin ukrainalaisiin pankkeihin sekä joihinkin kaupallisen ja julkisen sektorin yrityksiin kohdistuu, mikä tapahtuu tänään.Tällaisten kyberhyökkäysten seurauksena näillä pankeilla on vaikeuksia palvella asiakkaita ja hoitaa pankkitapahtumia."
Ukrainan keskuspankki
Pääkaupungin energiayhtiö Kyivenergon tietokonejärjestelmät joutuivat hakkerihyökkäyksen kohteeksi, yhtiö kertoi Interfax-Ukrainalle."Kaksi tuntia sitten meidät pakotettiin sammuttamaan kaikki tietokoneet, odotamme lupaa käynnistää turvapalvelu", Kievenergo sanoi.
NEC Ukrenergo puolestaan kertoi Interfax-Ukraine -virastolle, että yhtiöllä oli myös ongelmia tietokonejärjestelmien toiminnassa, mutta ne eivät olleet kriittisiä.
"Tietokoneiden toiminnassa oli ongelmia, mutta kaiken kaikkiaan kaikki on vakaata ja hallittua voidaan tehdä sisäisen tutkinnan perusteella", yhtiö huomautti.
"Interfax-Ukraina"
Ukrainan suurimpien energiayhtiöiden Ukrenergon ja DTEK:n verkot saivat tartunnan uudella WannaCryä muistuttavalla kiristysohjelmalla. TJ:lle kertoi tästä eräässä yhtiössä oleva lähde, joka kohtasi suoraan virushyökkäyksen.Lähteen mukaan 27. kesäkuuta iltapäivällä hänen työkoneensa käynnistyi uudelleen, minkä jälkeen järjestelmän väitettiin alkaneen tarkistaa kiintolevyä. Sen jälkeen hän näki, että samanlaista tapahtui kaikissa toimiston tietokoneissa: "Tajusin, että hyökkäys oli käynnissä, sammutin tietokoneeni ja kun käynnistin sen, siellä oli jo punainen viesti Bitcoinista ja rahaa.”
Myös logistiikkaratkaisuyhtiö Damcon verkossa olevat tietokoneet kärsivät. Sekä Euroopan- että Venäjän-divisioonoissa. Tartunnan leviäminen on erittäin laajaa. Tiedetään, että esimerkiksi Tjumenissa kaikki on myös pilalla.Mutta palataanpa Ukrainan aiheeseen: lähes kaikki Zaporozhyeoblenergon, Dneproenergon ja Dneper Electric Power Systemin tietokoneet ovat myös estetty virushyökkäyksen takia.
Selvyyden vuoksi tämä ei ole WannaCry, vaan toiminnaltaan samanlainen haittaohjelma.
Rosneft Ryazanin jalostamo - verkko sammutettiin. Myös hyökkäys. Rosneft/Bashneftin lisäksi hyökättiin myös muihin suuriin yhtiöihin. Ongelmista on raportoitu Mondelēz Internationalissa, Oschadbankissa, Marsissa, Nova Poshtassa, Niveassa, TESAssa ja muissa.
Virus on tunnistettu - se on Petya.A. Petya.A syö kovalevyjä. Hän salaa päätiedostotaulukon (MFT) ja kiristää rahaa salauksen purkamista varten.
Myös Kiovan metroon kohdistui hakkerihyökkäys. Ukrainan valtion tietokoneisiin, Auchan-myymälöihin, ukrainalaisiin operaattoreihin (Kyivstar, LifeCell, UkrTeleCom) ja PrivatBankiin hyökättiin. Samankaltaisesta hyökkäyksestä KharkovGaziin on raportoitu. Järjestelmänvalvojan mukaan koneisiin oli asennettu Windows 7 uusimmilla päivityksillä. Myös Ukrainan varapääministeri Pavel Valerievich Rozenko joutui hyökkäyksen kohteeksi. Myös Boryspilin lentokentälle väitetään joutuneen hakkerihyökkäyksen kohteeksi.
Telegram-kanava "Cybersecurity and Co.
27. kesäkuuta klo 16.27 Ainakin 80 venäläistä ja ukrainalaista yritystä kärsi Petya.A-viruksesta, kertoi kyberuhkien varhaiseen havaitsemiseen erikoistuneen Group-IB:n edustaja Valeri Baulin.
"Tietojemme mukaan yli 80 yritystä Venäjällä ja Ukrainassa kärsi Petya.A-salausvirusta käyttävän hyökkäyksen seurauksena", hän sanoi. Baulin korosti, että hyökkäys ei liity WannaCryyn.Viruksen leviämisen estämiseksi on välttämätöntä sulkea välittömästi TCP-portit 1024–1035, 135 ja 445, Group-IB korosti.<...>
”Kyberhyökkäyksen uhrien joukossa olivat muun muassa Bashneftin, Rosneftin, ukrainalaisten Zaporozhyeoblenergon, Dneproenergon ja Dnieper Electric Power Systemin verkot, Oschadbank, Mars, Novaja Poshta, Nivea, TESA ja muut, jotka virushyökkäys esti; Kiovan metro joutui myös Ukrainan hallituksen tietokoneisiin, Auchan-myymälöihin, Ukrainan operaattoreihin (Kyivstar, LifeCell, UkrTeleCom) ja myös Privat Bank Boryspilin lentokentälle on tehty hakkerihyökkäys, Group-IB. huomauttaa.
Group-IB:n asiantuntijat havaitsivat myös, että Cobalt-ryhmä käytti äskettäin Petya.A-lunnasohjelmaa piilottaakseen jälkiä kohdistetusta hyökkäyksestä rahoituslaitoksia vastaan.
