Вирус Petya покоряет Украину

09:22 28.06.2017

По предварительным оценкам атакованы около 80 компаний


Изображение с сайта group-ib.ru

Причиной масштабной атаки на энергетические, телекоммуникационные и финансовые компании на Украине и в России стал вирус-шифровальщик Petya, выяснили специалисты Group-IB.

По предварительным оценкам атакованы около 80 компаний, причем большая часть из них - украинские: заражены компьютерные системы «Ощадбанка», «Укргазбанка», банка «Пивденный», банка «ОТР», «ТАСКомбанка», сеть магазинов DIY «Эпицентр», промышленно-строительная группа «Ковальская», основные украинские сотовые операторы - «Киевстар», Vodafone и Lifecell. О хакерских атаках сообщили также «Укртелеком», «Укрзализныця», госпредприятие «Антонов», «Укрпочта», «Киевводоканал». Атаке подверглись аэропорт «Борисполь», киевский метрополитен, компьютерные системы Кабинета министров и сайта правительства Украины. 

Среди российских компаний жертвами оказались сети Башнефти и Роснефти.

После заражения вирусом компьютер жертвы блокируется и файлы надежно зашифровываются. При этом на экране блокировки не указывается название программы-шифровальщика, что осложняет процесс реагирования на ситуацию. Также стоит отметить, что в Petya используется стойкий алгоритм шифрования и нет возможности создать инструмент расшифровки. Шифровальщик требует $300 в биткоинах. Потерпевшие уже начали переводить деньги на кошелек злоумышленников - по данным на вечер вторника проведено 9 транзакций.

Для прекращения распространения вируса специалисты рекомендуют организациям закрыть на серверах TCP-порты 1024-1035, 135 и 445, чтобы остановить передачу данных.

Отметим, что Petya не ограничился двумя странами и распространился по всему миру, написал в Twitter руководитель международной исследовательской команды «Лаборатории Касперского» Костин Райю.

По словам Сергея Никитина, заместителя руководителя лаборатории по компьютерной криминалистике, сам вирус Petya не новый, новым является механизм его распространения. Скорее всего, вирус распространяется методом социальной инженерии - сотрудники компаний открывали вредоносные вложения в письмах, полученных по электронной почте. После заражения Petya распространяется в локальной сети так же, как известный вирус WannaCry, атаковавший в мае этого года 300 000 компьютеров в 150 странах мира.

Напомним, жертвами вымогателя WannaCry стали сети как частных компаний, так и госучреждений: заводов Renault во Франции, железнодорожного оператора Deutsche Bahn в Германии, Национальной службы здравоохранения в Великобритании и ряда госучреждений в России.

С чисто технической точки зрения WannaCry - достаточно примитивная вредоносная программа. Причина столь масштабного заражения в том, что злоумышленники использовали шифровальщик в связке с кибероружием EternalBlue, эксплойтом Агентства национальной безопасности (АНБ) США, который 14 апреля выложили в открытый доступ хакеры из группы Shadow Brokers.

Инцидент с WannaCry - это не первый случай, когда утечкой эксплойтов и утилит из арсенала спецслужб активно пользуются киберпреступники. С помощью еще одного из засвеченных Shadow Brokers инструментов АНБ - бэкдора DoublePulsar, предназначенного для внедрения и запуска вредоносных программ, злоумышленникам удалось взять под контроль более 47 000 компьютеров OC Windows в США, Великобритании, на Тайване. Эти взломанные компьютеры могут использоваться для распространения вредоносных программ, рассылки спама, проведения кибератак и шпионажа т.д.  


Изображение с сайта group-ib.ru

Специалисты Group-IB установили, что недавно модифицированную версию шифровальщика Petya - «PetrWrap» использовала группа Cobalt для сокрытия следов целевой атаки на финансовые учреждения. Cobalt известна тем, что успешно атаковала банки по всему миру - России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване и Малайзии. Кроме систем управления банкоматами, киберпреступники стараются получить доступ к системам межбанковских переводов (SWIFT), платежным шлюзам и карточному процессингу.

Вирусы-вымогатели: что это вообще такое?

Программы-вымогатели известны давно: в конце 80-х вирус AIDS («PC Cyborg»), написанный Джозефом Поппом, скрывал каталоги и шифровал файлы, требуя выплатить около $200 за «продление лицензии». Сначала программы-вымогатели были нацелены только на обычных людей, использующих компьютеры под управлением Windows, но сейчас сама угроза стала серьезной проблемой для бизнеса: программ появляется все больше, они становятся дешевле и доступнее. Вымогательство с использованием вредоносных программ - основная киберугроза в 2\3 странах Евросоюза. Один из самых распространенных вирусов-вымогателей программа CryptoLocker - начиная с сентября 2013 года было заражено более четверти миллиона компьютеров в странах ЕС.

В 2016 году количество атак шифровальщиков резко увеличилось - по оценкам аналитиков, более, чем в сто раз по сравнению с предыдущим годом. Это - нарастающий тренд, причем под ударом, как мы видим, оказались совершенно различные компании и организации. Угроза актуальна и для некоммерческих организаций. Так как для каждой крупной атаки вредоносные программы модернизируются и тестируются злоумышленниками на «прохождение» через антивирусную защиту, антивирусы, как правило, против них бессильны.  

Источник: Group-IB
Комментарии читателей
28.06.2017, 20:20
Гость: Гость

Честно говоря, этот вирус так "вовремя" сработал - это меня многому научило. Я как раз платила через терминал за телефон и интернет, и мне осталось только нажать последнюю кнопку - "оплатить", и система полностью зависла. Ну ладно, деньги я еще не успела внести, поэтому пошла к другому терминалу, который еще как не странно работал. Передо мной платила женщина за коммунальные услуги, причем деньги переводились с карточки. И вот, когда она нажала "оплатить", система зависла вместе с карточкой внутри, причем достать ее было не возможно. Мы тогда еще не знали, что виной всему вирус, поэтому я пошла себе в магазин, а эта женщина продолжала ждать свою карточку. И вот, возвращаясь уже с магазина, я решила заглянуть, а вдруг работает. Бедная женщина так и сидела возле терминала, и как оказалось впоследствии он не работал до самого вечера. Это я к чему веду. Граждане, держите ваши деньги лучше дома, в обычных стеклянных банках - так намного надежнее. Ведь сколько тех воров - всех все равно не ограбят. А здесь можно весь мир гробануть всего лишь за пару часов...

28.06.2017, 19:28
Гость: blog2038

"Вирус Петя покоряет Украину"
---
Непонятно ваше злорадство - насколько мне известно это же вирус покорил так же и РФ.

28.06.2017, 18:23
Гость: Kioskersky

Мы шагаем по планете,
Лезем каждому в карман.
Кто не знаеь вирус Petya,
Тот узнает Virvovan.
Уважаемых партнеров
Все боятся как огня.
И без лишних разговоров
Платят выкуп за три дня.

]]>]]>
]]>
]]>
]]>]]>
]]>
Рейтинг@Mail.ru Rambler's Top100
]]>
Сетевое издание KM.RU. Свидетельство о регистрации Эл № ФС 77 – 41842.
Мнения авторов опубликованных материалов могут не совпадать с позицией редакции.
При полном или частичном использовании редакционных материалов активная, индексируемая гиперссылка на km.ru обязательна!
Мультипортал KM.RU: актуальные новости, авторские материалы, блоги и комментарии, фото- и видеорепортажи, почта, энциклопедии, погода, доллар, евро, рефераты, телепрограмма, развлечения
Если Вы хотите дать нам совет, как улучшить сайт, это можно сделать здесь. Хостинг предоставлен компанией e-Style Telecom.