ขึ้นอยู่กับสื่อวัสดุ
เมื่อวันที่ 27 มิถุนายน โลกได้รับความเดือดร้อนจากการโจมตีของแฮ็กเกอร์อีกครั้ง: ไวรัสที่มีชื่อเล่นๆ อย่าง Petya ได้บล็อกคอมพิวเตอร์ในหลายประเทศ โดยเรียกร้องเงิน 300 ดอลลาร์สำหรับการคืนการเข้าถึงฐานข้อมูลของบริษัท เมื่อรวบรวมได้ประมาณ 8,000 “ Petya” ก็สงบลง แต่ทิ้งคำถามมากมายไว้
ที่เร่งด่วนที่สุดคือใคร มาจากไหน? ตามรายงานของนิตยสาร Fortune สิ่งพิมพ์ที่เชื่อถือได้มาก "Petya" มาจากยูเครนมาหาเรา ตำรวจไซเบอร์ของเยอรมันมีแนวโน้มที่จะมีมุมมองเดียวกัน และโดยเฉพาะอย่างยิ่งตำรวจยูเครนด้วย “ Petya” เข้าสู่โลกใบใหญ่จากส่วนลึกของ บริษัท ยูเครน “ Intellect-Service” ซึ่งเป็นผู้พัฒนาซอฟต์แวร์ที่หลากหลายแบบกำหนดเอง
โดยเฉพาะอย่างยิ่งลูกค้ารายใหญ่ที่สุดของ บริษัท คือ Vodafone ผู้ให้บริการโทรศัพท์มือถือชาวยูเครนหรือที่รู้จักกันดีในชื่อ MTSยูเครน - นั่นคือสิ่งที่เรียกว่าจนถึงปี 2558 โดยทั่วไป MTS เป็นทรัพย์สินสำคัญของ บริษัท AFK Sistema ซึ่งเป็นเจ้าของโดย Vladimir Yevtushenkov ที่มีชื่อเสียง นักธุรกิจมีส่วนร่วมในการพัฒนาและเปิดตัว Petit ไม่ใช่หรือ?
จากข้อมูลของ Versiya สิ่งนี้มีความเป็นไปได้มากกว่า “ Petya” ออกเดินทางบน“ ถนนสูง” ของเขาก่อนการประชุมของศาลอนุญาโตตุลาการ Bashkortostan ซึ่งการพิจารณาข้อเรียกร้องของ Rosneft ต่อ AFK Sistema อดีตเจ้าของ Bashneft ซึ่งถูกโอนไปยังการกำจัด บริษัท น้ำมันแห่งชาติที่ใหญ่ที่สุดได้รับการพิจารณา . จากข้อมูลของ Rosneft ผู้บริหารของพวกเขา Yevtushenkov และผู้บริหารระดับสูงของเขาทำให้ Bashneft สูญเสียเงิน 170 พันล้านรูเบิลซึ่งเป็นค่าชดเชยที่พวกเขาต้องการในศาล
อย่างไรก็ตาม ศาลมีแนวโน้มที่จะเชื่อเจ้าของคนใหม่ เนื่องจากได้ยึดเงิน 185 พันล้านรูเบิลที่เป็นของเจ้าของเก่าไปแล้ว รวมถึง 31.76% ของหุ้น MTS เป็นผลให้อาการของเยฟทูเชนคอฟ "สูญเปล่า" เกือบครึ่งหนึ่งและความกังวลของนักธุรกิจก็เริ่มล้มเหลวบ่อยขึ้นเรื่อยๆ มูลค่าของข้อตกลงยุติคดีปลอมที่มาถึงศาลจากที่ไหนเลย - เมื่อปรากฎว่าโจทก์ไม่เคยเห็นเลยไม่ต้องพูดถึงการลงนามเลย
หากจดหมายนิรนามไม่ได้ผล ขั้นตอนต่อไปคือการซ่อนหลักฐานการกระทำที่น่าสงสัยของจำเลยที่กล่าวหาเขา และหลักฐานนี้ถูกเก็บไว้ในคอมพิวเตอร์ของ Bashneft ซึ่งถูกโอนพร้อมกับทรัพย์สินอื่น ๆ ทั้งหมดไปยัง Rosneft ดังนั้นคุณไม่ควรหัวเราะเยาะ "Petya" - ผู้สร้างไม่ต้องการ "สร้างรายได้ง่ายๆ" แต่ต้องการทำความสะอาดจุดจบที่หลวมๆ
และโดยทั่วไปการคำนวณก็ไม่เลว และ บริษัท ยูเครนไม่ได้ถูกเลือกโดยบังเอิญ - หากไม่ใช่ในยูเครนการสอบถามอย่างเป็นทางการทั้งหมดจะติดอยู่และการรวบรวมหลักฐานจะถึงทางตันหรือไม่? และระบบคอมพิวเตอร์ Rosneft สั่นสะเทือนภายใต้การโจมตีของแฮ็กเกอร์ แต่ต้องขอบคุณระบบสำรองข้อมูลที่ยังคงรอดชีวิตมาได้ซึ่งเจ้าของเดิมไม่สามารถไว้วางใจได้ - เขาอาจคาดหวังว่าระบบป้องกันทางไซเบอร์ของคู่ต่อสู้ของเขาเต็มไปด้วยช่องโหว่เหมือนเดิม ที่ Bashneft ในสมัยของ AFK Sistema
นั่นอาจเป็นเหตุผลว่าทำไมผู้เขียนการโจมตีจึงรีบกระจายข่าวลือว่า Rosneft ต้องระงับการผลิต ไม่ การผลิตไม่ได้หยุดลง แต่ข่าวลือเหล่านี้บ่งชี้อีกครั้งว่าผู้สร้าง "Petit" สนใจเรื่องนี้มาก และในวันนี้ การทำให้ Rosneft เสื่อมเสียชื่อเสียงเป็นประเด็นแรกในวาระการประชุมโครงสร้างของ Vladimir Yevtushenkov
รายละเอียด
ใกล้ชิด
สิ่งที่น่าสนใจที่สุดเกี่ยวกับความคิดริเริ่มของ Russian Guard ในการลงโทษสำหรับกิจกรรมรักษาความปลอดภัยส่วนตัวที่ผิดกฎหมายนั้นไม่ใช่การคว่ำบาตรที่เสนอ แต่เป็นเป้าหมายของกำลังที่กำหนดไว้อย่างชัดเจนโดยหน่วยบริการพิเศษที่อายุน้อยที่สุดของรัสเซีย ในความเป็นจริง มีการวางแผนที่จะประกาศสงครามที่แท้จริงกับกองทัพยามและผู้บริหารที่หลากหลาย
บริการกดของ Group-IB ซึ่งสืบสวนอาชญากรรมในโลกไซเบอร์ บอกกับ RBC ว่าการโจมตีของแฮ็กเกอร์ในบริษัทหลายแห่งที่ใช้ไวรัสเข้ารหัส Petya นั้น “คล้ายกันมาก” กับการโจมตีที่เกิดขึ้นในช่วงกลางเดือนพฤษภาคมโดยใช้มัลแวร์ WannaCry Petya บล็อกคอมพิวเตอร์และเรียกร้อง Bitcoins มูลค่า 300 ดอลลาร์เป็นการตอบแทน
“การโจมตีเกิดขึ้นเมื่อเวลาประมาณ 14.00 น. ดูจากรูปถ่าย นี่คือ Petya cryptolocker วิธีการเผยแพร่บนเครือข่ายท้องถิ่นนั้นคล้ายคลึงกับไวรัส WannaCry” ตามมาจากข้อความจากบริการกดของ Group-IB
ในเวลาเดียวกัน พนักงานของบริษัทในเครือ Rosneft แห่งหนึ่งซึ่งเกี่ยวข้องกับโครงการนอกชายฝั่งกล่าวว่าคอมพิวเตอร์ไม่ได้ปิด มีหน้าจอที่มีข้อความสีแดงปรากฏขึ้น แต่ไม่ใช่สำหรับพนักงานทุกคน อย่างไรก็ตามบริษัทกำลังล่มสลายและงานหยุดลง คู่สนทนายังทราบด้วยว่าไฟฟ้าทั้งหมดถูกปิดโดยสิ้นเชิงที่สำนักงาน Bashneft ในอูฟา
เวลา 15:40 น. ตามเวลามอสโก เว็บไซต์อย่างเป็นทางการของ Rosneft และ Bashneft จะไม่สามารถใช้งานได้ ความจริงของการไม่ตอบสนองสามารถยืนยันได้จากแหล่งข้อมูลการตรวจสอบสถานะของเซิร์ฟเวอร์ เว็บไซต์ของ Yuganskneftegaz ซึ่งเป็นบริษัทในเครือที่ใหญ่ที่สุดของ Rosneft ก็ใช้งานไม่ได้เช่นกัน
บริษัททวีตในภายหลังว่าการแฮ็กอาจนำไปสู่ “ผลที่ตามมาร้ายแรง” อย่างไรก็ตาม กระบวนการผลิต การผลิต และการเตรียมน้ำมันไม่ได้หยุดลงเนื่องจากการเปลี่ยนไปใช้ระบบควบคุมสำรอง บริษัทอธิบาย
ปัจจุบันศาลอนุญาโตตุลาการของ Bashkortostan ได้เสร็จสิ้นการประชุมเพื่อพิจารณาการเรียกร้องของ Rosneft และ Bashneft ที่ควบคุมโดย AFK Sistema และ Sistema-Invest เพื่อเรียกคืนเงิน 170.6 พันล้านรูเบิล ซึ่งตามรายงานของ บริษัท น้ำมัน " Bashneft ประสบความสูญเสีย อันเป็นผลมาจากการปรับโครงสร้างองค์กรในปี 2557
ตัวแทนของ AFK Sistema ขอให้ศาลเลื่อนการพิจารณาคดีครั้งต่อไปออกไปหนึ่งเดือน เพื่อให้ทุกฝ่ายมีเวลาทำความคุ้นเคยกับคำร้องทั้งหมด กรรมการกำหนดการประชุมครั้งถัดไปในอีก 2 สัปดาห์คือวันที่ 12 ก.ค. โดยระบุว่าเอเอฟซีมีตัวแทนจำนวนมากและจะรับมือภายในระยะเวลานี้
ตอนนี้มีไวรัสตัวใหม่ปรากฏขึ้น
เป็นไวรัสชนิดไหนและควรกลัวหรือไม่?
นี่คือลักษณะที่ปรากฏบนคอมพิวเตอร์ที่ติดไวรัส
ไวรัสชื่อ mbr locker 256 (ซึ่งเรียกตัวเองว่า Petya บนจอภาพ) โจมตีเซิร์ฟเวอร์ของบริษัทรัสเซียและยูเครน
มันล็อคไฟล์ในคอมพิวเตอร์ของคุณและเข้ารหัสไฟล์เหล่านั้น แฮกเกอร์เรียกร้อง Bitcoins มูลค่า 300 ดอลลาร์เพื่อปลดล็อค
เอ็มบีอาร์- นี่คือมาสเตอร์บูตเรคคอร์ด ซึ่งเป็นโค้ดที่จำเป็นสำหรับการบูตระบบปฏิบัติการครั้งต่อไป ตั้งอยู่ในเซกเตอร์แรกของอุปกรณ์
หลังจากเปิดเครื่องคอมพิวเตอร์แล้ว ขั้นตอน POST จะต้องผ่านการทดสอบฮาร์ดแวร์ และหลังจากนั้น BIOS จะโหลด MBR ลงใน RAM ตามที่อยู่ 0x7C00 และถ่ายโอนการควบคุมไปยังมัน
ดังนั้นไวรัสจึงเข้าสู่คอมพิวเตอร์และทำให้ระบบติดเชื้อ มีการปรับเปลี่ยนมัลแวร์มากมาย
มันทำงานภายใต้ Windows เช่นเดียวกับมัลแวร์ก่อนหน้านี้
ใครได้รับความเดือดร้อนแล้ว?
บริษัท ยูเครนและรัสเซีย นี่คือส่วนหนึ่งของรายการทั้งหมด:
หลายบริษัทต่อต้านการโจมตีอย่างรวดเร็ว แต่ไม่ใช่ทั้งหมดที่สามารถทำเช่นนั้นได้ ด้วยเหตุนี้ เซิร์ฟเวอร์บางตัวจึงไม่ทำงาน
ธนาคารไม่สามารถทำธุรกรรมทางการเงินได้จำนวนหนึ่งเนื่องจาก Petit สนามบินกำลังเลื่อนหรือล่าช้าเที่ยวบิน รถไฟใต้ดินยูเครนไม่ยอมรับการชำระเงินแบบไร้สัมผัสจนถึงเวลา 15:00 น.
ในส่วนของอุปกรณ์สำนักงานและคอมพิวเตอร์นั้นใช้งานไม่ได้ ขณะเดียวกันก็ไม่มีปัญหากับระบบพลังงานหรือการจัดหาพลังงาน สิ่งนี้ส่งผลต่อคอมพิวเตอร์ในสำนักงานเท่านั้น (ที่ทำงานบนแพลตฟอร์ม Windows) เราได้รับคำสั่งให้ปิดคอมพิวเตอร์ - อูเครเนอร์โก
ผู้ประกอบการบ่นว่าพวกเขาได้รับความเดือดร้อนเช่นกัน แต่ในขณะเดียวกันพวกเขาก็พยายามทำงานเพื่อสมาชิกตามปกติ
วิธีป้องกันตัวเองจาก Petya.A
เพื่อป้องกันคุณจะต้องปิดพอร์ต TCP 1024-1035, 135 และ 445 บนคอมพิวเตอร์ของคุณ ซึ่งทำได้ค่อนข้างง่าย:
ขั้นตอนที่ 1- เปิดไฟร์วอลล์
ขั้นตอนที่ 2- ที่ด้านซ้ายของหน้าจอ ไปที่ "กฎสำหรับการเชื่อมต่อขาเข้า"
ขั้นตอนที่ 3- เลือก “สร้างกฎ” -> “สำหรับพอร์ต” -> “โปรโตคอล TCP” -> “พอร์ตท้องถิ่นเฉพาะ”
ขั้นตอนที่ 4- เราเขียน "1024-1035, 135, 445" เลือกโปรไฟล์ทั้งหมดคลิก "บล็อกการเชื่อมต่อ" และ "ถัดไป" ทุกที่
ขั้นตอนที่ 5- เราทำซ้ำขั้นตอนสำหรับการเชื่อมต่อขาออก
ประการที่สอง อัปเดตโปรแกรมป้องกันไวรัสของคุณ ผู้เชี่ยวชาญรายงานว่าการอัปเดตที่จำเป็นได้ปรากฏในฐานข้อมูลซอฟต์แวร์ป้องกันไวรัสแล้ว
บริษัท Rosneft บ่นเรื่องการโจมตีของแฮ็กเกอร์ที่ทรงพลังบนเซิร์ฟเวอร์ของตน ทางบริษัทได้ประกาศเรื่องนี้ไว้ใน ทวิตเตอร์- “การโจมตีของแฮ็กเกอร์ที่ทรงพลังเกิดขึ้นบนเซิร์ฟเวอร์ของบริษัท เราหวังว่าสิ่งนี้จะไม่เกี่ยวข้องกับการดำเนินคดีทางกฎหมายในปัจจุบัน” ข้อความระบุ
“บริษัทได้ติดต่อกับหน่วยงานบังคับใช้กฎหมายเกี่ยวกับการโจมตีทางไซเบอร์” มันบอกว่าในข้อความ บริษัทเน้นย้ำว่าการโจมตีของแฮ็กเกอร์อาจนำไปสู่ผลกระทบร้ายแรง อย่างไรก็ตาม “ด้วยความจริงที่ว่าบริษัทเปลี่ยนมาใช้ระบบควบคุมกระบวนการผลิตสำรอง ทำให้ทั้งการผลิตน้ำมันและการเตรียมน้ำมันไม่สามารถหยุดได้” คู่สนทนาของหนังสือพิมพ์ Vedomosti ซึ่งอยู่ใกล้กับโครงสร้างของบริษัทแห่งหนึ่ง ระบุว่าคอมพิวเตอร์ทุกเครื่องที่โรงกลั่น Bashneft, Bashneft-Dobyche และฝ่ายบริหารของ Bashneft “รีบูตเครื่องพร้อมกัน หลังจากนั้นพวกเขาก็ดาวน์โหลดซอฟต์แวร์ที่ถอนการติดตั้งแล้ว และแสดงหน้าจอไวรัส WannaCry "
บนหน้าจอ ผู้ใช้ถูกขอให้โอนเงิน 300 ดอลลาร์เป็น bitcoin ไปยังที่อยู่ที่ระบุ หลังจากนั้นผู้ใช้จะถูกส่งกุญแจเพื่อปลดล็อคคอมพิวเตอร์ทางอีเมล ไวรัสที่ตัดสินโดยคำอธิบายได้เข้ารหัสข้อมูลทั้งหมดบนคอมพิวเตอร์ของผู้ใช้
Group-IB ซึ่งป้องกันและสอบสวนอาชญากรรมในโลกไซเบอร์และการฉ้อโกง ได้ระบุไวรัสที่ส่งผลกระทบต่อบริษัทน้ำมัน บริษัทบอกกับ Forbes เรากำลังพูดถึงไวรัสเข้ารหัส Petya ซึ่งไม่เพียงโจมตี Rosneft เท่านั้น ผู้เชี่ยวชาญ Group-IB พบว่ามีบริษัทประมาณ 80 แห่งในรัสเซียและยูเครนถูกโจมตี: เครือข่ายของ Bashneft, Rosneft, บริษัทยูเครน Zaporozhyeoblenergo, Dneproenergo และ Dnieper Electric Power System, Mondelēz International, Oschadbank, Mars, Nova Poshta, Nivea, TESA และอื่นๆ รถไฟใต้ดินเคียฟก็ถูกแฮ็กเกอร์โจมตีเช่นกัน คอมพิวเตอร์ของรัฐบาลยูเครน, ร้านค้า Auchan, ผู้ประกอบการชาวยูเครน (Kyivstar, LifeCell, UkrTeleCom), PrivatBank ถูกโจมตี สนามบิน Boryspil ยังถูกกล่าวหาว่าถูกโจมตีโดยแฮกเกอร์
ไวรัสแพร่กระจายในรูปแบบ Wannacry หรือทางไปรษณีย์ - พนักงานของบริษัทเปิดไฟล์แนบที่เป็นอันตรายในอีเมล เป็นผลให้คอมพิวเตอร์ของเหยื่อถูกบล็อกและ MFT (ตารางไฟล์ NTFS) ได้รับการเข้ารหัสอย่างปลอดภัย ตัวแทน Group-IB อธิบาย ในขณะเดียวกัน ชื่อของโปรแกรมแรนซัมแวร์จะไม่ถูกระบุบนหน้าจอล็อค ซึ่งทำให้กระบวนการตอบสนองต่อสถานการณ์ยุ่งยากขึ้น เป็นที่น่าสังเกตว่า Petya ใช้อัลกอริธึมการเข้ารหัสที่แข็งแกร่งและไม่มีความสามารถในการสร้างเครื่องมือถอดรหัส Ransomware ต้องการเงิน 300 ดอลลาร์เป็น bitcoin เหยื่อได้เริ่มโอนเงินเข้ากระเป๋าสตางค์ของผู้โจมตีแล้ว
ผู้เชี่ยวชาญ Group-IB ยอมรับว่ากลุ่ม Cobalt Group ใช้ตัวเข้ารหัส Petya เวอร์ชันปรับปรุงล่าสุด “PetrWrap” เพื่อซ่อนร่องรอยการโจมตีแบบกำหนดเป้าหมายต่อสถาบันการเงิน กลุ่มอาชญากรโคบอลต์เป็นที่รู้จักจากการโจมตีธนาคารทั่วโลกที่ประสบความสำเร็จ - รัสเซีย, บริเตนใหญ่, เนเธอร์แลนด์, สเปน, โรมาเนีย, เบลารุส, โปแลนด์, เอสโตเนีย, บัลแกเรีย, จอร์เจีย, มอลโดวา, คีร์กีซสถาน, อาร์เมเนีย, ไต้หวัน และมาเลเซีย โครงสร้างนี้เชี่ยวชาญในการโจมตีแบบไร้สัมผัส (เชิงตรรกะ) บนตู้เอทีเอ็ม นอกเหนือจากระบบควบคุม ATM แล้ว อาชญากรไซเบอร์ยังพยายามเข้าถึงระบบโอนเงินระหว่างธนาคาร (SWIFT) เกตเวย์การชำระเงิน และการประมวลผลบัตร
ในช่วงบ่ายของวันที่ 27 มิถุนายน Rosneft รายงานการโจมตีของแฮ็กเกอร์บนเซิร์ฟเวอร์ของตน ในเวลาเดียวกัน มีข้อมูลเกี่ยวกับการโจมตีที่คล้ายกันในคอมพิวเตอร์ของ Bashneft, Ukrenergo, Kyivenergo และบริษัทและองค์กรอื่นๆ อีกจำนวนหนึ่ง
ไวรัสจะล็อคคอมพิวเตอร์และรีดไถเงินจากผู้ใช้ ซึ่งคล้ายกับ
การโจมตีของแฮ็กเกอร์ที่ทรงพลังได้ดำเนินการบนเซิร์ฟเวอร์ของบริษัท เราหวังว่าสิ่งนี้จะไม่เกี่ยวข้องกับการดำเนินคดีทางกฎหมายที่กำลังดำเนินอยู่
เพื่อตอบสนองต่อการโจมตีทางไซเบอร์ บริษัทได้ติดต่อกับหน่วยงานบังคับใช้กฎหมาย
— PJSC NK รอสเนฟต์ (@RosneftRu) 27 มิถุนายน 2017
แหล่งข่าวใกล้กับหนึ่งในโครงสร้างของบริษัทตั้งข้อสังเกตว่าคอมพิวเตอร์ทุกเครื่องที่โรงกลั่น Bashneft, Bashneft-Production และการจัดการ Bashneft “รีบูตพร้อมกัน หลังจากนั้นพวกเขาก็ดาวน์โหลดซอฟต์แวร์ที่ถอนการติดตั้งแล้ว และแสดงหน้าจอ Splash ไวรัส WannaCry” บนหน้าจอ ผู้ใช้ถูกขอให้โอนเงิน 300 ดอลลาร์เป็น bitcoin ไปยังที่อยู่ที่ระบุ หลังจากนั้นผู้ใช้จะได้รับกุญแจเพื่อปลดล็อคคอมพิวเตอร์ทางอีเมล ไวรัสที่ตัดสินโดยคำอธิบายได้เข้ารหัสข้อมูลทั้งหมดบนคอมพิวเตอร์ของผู้ใช้"เวโดมอสตี"
“ธนาคารแห่งชาติของประเทศยูเครนเตือนธนาคารและผู้เข้าร่วมอื่น ๆ ในภาคการเงินเกี่ยวกับการโจมตีของแฮ็กเกอร์ภายนอกโดยไวรัสที่ไม่รู้จักในธนาคารยูเครนหลายแห่ง รวมถึงในองค์กรบางแห่งในภาคการค้าและภาครัฐซึ่งกำลังเกิดขึ้นในปัจจุบันจากการโจมตีทางไซเบอร์ ธนาคารเหล่านี้ประสบปัญหาในการให้บริการลูกค้าและดำเนินธุรกรรมทางธนาคาร”
ธนาคารแห่งชาติของประเทศยูเครน
ระบบคอมพิวเตอร์ของบริษัทพลังงาน Kyivenergo ในเมืองหลวงตกอยู่ภายใต้การโจมตีของแฮกเกอร์ บริษัทบอกกับ Interfax-Ukraine“เราถูกแฮ็กเกอร์โจมตี เมื่อสองชั่วโมงก่อนเราถูกบังคับให้ปิดคอมพิวเตอร์ทุกเครื่อง เรากำลังรอการอนุญาตจากบริการรักษาความปลอดภัย” เคียฟเนร์โกกล่าว
ในทางกลับกัน NEC Ukrenergo บอกกับหน่วยงาน Interfax-Ukraine ว่าบริษัทก็ประสบปัญหาในการทำงานระบบคอมพิวเตอร์เช่นกัน แต่ก็ไม่ได้มีความสำคัญอะไร
“มีปัญหาบางประการกับการทำงานของคอมพิวเตอร์ แต่โดยรวมแล้ว ทุกอย่างมีเสถียรภาพและควบคุมได้ ข้อสรุปเกี่ยวกับเหตุการณ์ดังกล่าวสามารถสรุปได้จากผลการสอบสวนภายใน” บริษัทตั้งข้อสังเกต
"อินเตอร์แฟกซ์-ยูเครน"
เครือข่ายของ Ukrenergo และ DTEK ซึ่งเป็นบริษัทพลังงานที่ใหญ่ที่สุดของยูเครน ติดไวรัสแรนซัมแวร์รูปแบบใหม่ที่ชวนให้นึกถึง WannaCry TJ ได้รับแจ้งเกี่ยวกับเรื่องนี้จากแหล่งข่าวในบริษัทแห่งหนึ่งซึ่งเผชิญหน้าโดยตรงกับการโจมตีของไวรัสตามแหล่งข่าวในช่วงบ่ายของวันที่ 27 มิถุนายน คอมพิวเตอร์ในที่ทำงานของเขารีบูต หลังจากนั้นระบบก็ถูกกล่าวหาว่าเริ่มตรวจสอบฮาร์ดไดรฟ์ หลังจากนั้น เขาเห็นว่าสิ่งเดียวกันนี้เกิดขึ้นกับคอมพิวเตอร์ทุกเครื่องในสำนักงาน: “ฉันรู้ว่ามีการโจมตีเกิดขึ้น ฉันปิดคอมพิวเตอร์ และเมื่อฉันเปิดเครื่อง ก็มีข้อความสีแดงเกี่ยวกับ Bitcoin และ เงิน."
คอมพิวเตอร์บนเครือข่ายของบริษัทโซลูชั่นโลจิสติกส์ Damco ก็ได้รับผลกระทบเช่นกัน ทั้งในดิวิชั่นยุโรปและรัสเซีย การแพร่กระจายของเชื้อมีวงกว้างมาก เป็นที่ทราบกันดีว่าใน Tyumen ทุกอย่างก็พังเช่นกันแต่กลับมาที่หัวข้อของประเทศยูเครนกันดีกว่า: คอมพิวเตอร์เกือบทั้งหมดของ Zaporozhyeoblenergo, Dneproenergo และ Dnieper Electric Power System ก็ถูกบล็อกโดยการโจมตีของไวรัสเช่นกัน
เพื่อให้ชัดเจนว่านี่ไม่ใช่ WannaCry แต่เป็นมัลแวร์ที่มีพฤติกรรมคล้ายกัน
โรงกลั่น Rosneft Ryazan - เครือข่ายถูกปิด การโจมตีอีกด้วย นอกจาก Rosneft/Bashneft แล้ว บริษัทขนาดใหญ่อื่นๆ ก็ถูกโจมตีเช่นกัน มีการรายงานปัญหาที่ Mondelēz International, Oschadbank, Mars, Nova Poshta, Nivea, TESA และอื่นๆ
ตรวจพบไวรัสแล้ว - มันคือ Petya.A. Petya.A กำลังกินฮาร์ดไดรฟ์ เขาเข้ารหัสตารางไฟล์หลัก (MFT) และรีดไถเงินเพื่อถอดรหัส
รถไฟใต้ดินเคียฟก็ถูกแฮ็กเกอร์โจมตีเช่นกัน คอมพิวเตอร์ของรัฐบาลยูเครน, ร้านค้า Auchan, ผู้ประกอบการชาวยูเครน (Kyivstar, LifeCell, UkrTeleCom), PrivatBank ถูกโจมตี มีรายงานการโจมตีที่คล้ายกันใน KharkovGaz ตามที่ผู้ดูแลระบบระบุว่ามีการติดตั้ง Windows 7 ที่มีการอัพเดตล่าสุดในเครื่อง พาเวล วาเลรีวิช โรเซนโก รองนายกรัฐมนตรีของยูเครน ก็ถูกโจมตีเช่นกัน สนามบิน Boryspil ยังถูกกล่าวหาว่าถูกโจมตีโดยแฮ็กเกอร์
ช่องโทรเลข "Cybersecurity and Co.
27 มิถุนายน 16:27 นบริษัทรัสเซียและยูเครนอย่างน้อย 80 แห่งได้รับผลกระทบจากไวรัส Petya.A กล่าวโดย Valery Baulin ตัวแทนของ Group-IB ซึ่งเชี่ยวชาญด้านการตรวจหาภัยคุกคามทางไซเบอร์ตั้งแต่เนิ่นๆ
“ตามข้อมูลของเรา บริษัทมากกว่า 80 แห่งในรัสเซียและยูเครนได้รับผลกระทบอันเป็นผลมาจากการโจมตีโดยใช้ไวรัสเข้ารหัส Petya.A” เขากล่าว Baulin เน้นย้ำว่าการโจมตีไม่เกี่ยวข้องกับ WannaCryเพื่อหยุดการแพร่กระจายของไวรัสจำเป็นต้องปิดพอร์ต TCP 1024–1035, 135 และ 445 ทันที Group-IB เน้นย้ำ<...>
“ในบรรดาเหยื่อของการโจมตีทางไซเบอร์ ได้แก่ เครือข่ายของ Bashneft, Rosneft, บริษัทยูเครน Zaporozhyeoblenergo, Dneproenergo และ Dnieper Electric Power System; Mondelèz International, Oschadbank, Mars, Novaya Poshta, Nivea, TESA และอื่นๆ ก็ถูกบล็อกโดยการโจมตีของไวรัสเช่นกัน รถไฟใต้ดินเคียฟยังถูกโจมตีโดยแฮ็กเกอร์ คอมพิวเตอร์ของรัฐบาลยูเครน ร้านค้า Auchan ผู้ดำเนินการชาวยูเครน (Kyivstar, LifeCell, UkrTeleCom) ถูกโจมตี และสนามบิน Privat Bank Boryspil ก็ถูกกล่าวหาว่าถูกโจมตีด้วย” Group-IB ชี้ให้เห็น
ผู้เชี่ยวชาญ Group-IB ยังพบว่า Petya.A ransomware ถูกใช้โดยกลุ่ม Cobalt เพื่อซ่อนร่องรอยการโจมตีแบบกำหนดเป้าหมายต่อสถาบันการเงิน
