Ты слышишь, реют над страной вихри яростных кибератак?
Add to Flipboard Magazine.
28.06.2017 00:10
Пoслeдний дeнь был oтмeчeн цeлую вoлну кибeр-aтaк, кoтoрыe пoрaзили сaмыx крупныx прeдприятий Рoссии и Укрaины. Вирус «Кaмeнь» явнo свидeтeльствуeт — тaм, гдe oxoтились нa «рoссийскиe xaкeры», увы, нe в сoстoянии прoтивoстoять кибeругрoзaм в мaсштaбax всeй стрaны.
27 июня в мирe нaчaл трaнсляцию вирус, кoтoрый блoкируeт кoмпьютeры Windows. В Укрaинe, aтaкa нaчaлaсь в 11 чaсoв 30 минут, a зaтeм oнa гoвoрит в Рoссии, a зaтeм и в другиx стрaнax. Злoумышлeнники блoкируют рaбoту кoмпьютeрoв, трeбуя выкуп в рaсчeт.
Чтo вирус слoмaл в Укрaинe?
Пo прeдвaритeльным дaнным, aтaкoвaны oкoлo 80 кoмпaний, бoльшaя чaсть из них — украинские: заражен компьютерные системы «Ощадбанка», «Укргазбанка», банк Львов, банк «ОТР», «ТАСКомбанка», сеть магазинов DIY «Эпицентр», промышленно-строительная группа «Ковальская», украинские операторы мобильной связи — «Киевстар», «Vodafone» и Lifecell. Взлома также сообщили «Укртелеком», «Укрзализныця», госпредприятие «Антонов», «Укрпочта», «Киевводоканал». Атаке подверглись киевский метрополитен, системы компьютерного кабинета министров и сайт правительства Украины.
Из киева в аэропорт «Борисполь» предупредил о возможных задержках рейсов. «Сегодня, в аэропорт и в нескольких крупных предприятий государственного сектора внештатной ситуации — ит-атаки. Наши ИТ-услуги, пытаются совместными усилиями урегулировать ситуацию. Из-за внештатной ситуации, задержки рейсов. Мы очень просим вас относиться с пониманием, уважать и соблюдать спокойствие», — написал исполняющий обязанности директора аэропорта Евгений Дыхне на своей странице в Facebook.
Атака началась утром 27 июня с поражением компьютеры крупнейших украинских энергетических компаний. Об этом около полудня, сообщили украинские СМИ со ссылкой на источники в «Укрэнерго» и энергетической компании ДТЭК. Эту информацию подтвердили и в «Киевэнерго». «Два часа назад были вынуждены отключить все компьютеры, ожидаем разрешение на включение служб безопасности», — заявили в компании.
Вирус коснулся сайте Чаэс. Сначала сообщалось, что системы станции работают нормально», но оказалось, что персонал станции прошел по ручной мониторинг радиации.
В Украине, считают, что нападение, это Россия. В атаке — «мастер-певец» Петя.27 июня украинских финансовых учреждений, ресурсы, компаний и сми, могут быть причастны спецслужбы РФ, — заявил народный депутат Украины от «Народного фронта», члена совета министерства внутренних дел Антон Геращенко
«Это делается под видом, что это будет вирус, который вымогает с пользователя компьютера деньги. По предварительной информации, это организованный со стороны службы безопасности российской федерации», — утверждает Геращенко.
Что «Камень» сделал в России?
В России, «Роснефть» также сообщила о мощной хакерской атаке» на своих серверах. Пресс-секретарь компании Михаил Леонтьев заявил, что хакерская атака может привести к серьезным последствиям, но в связи с тем, что компания перешла на систему управления процессом производства, ни добычи, ни подготовка нефти не остановлены. «Распространители лживых панических сообщения будут считаться пособниками организаторов нападения, а с ними и взять на себя ответственность», — сообщила компания в Twitter.
По данным «ведомостей», в результате атаки оказались заблокированы компьютеры и «Башнефть-Добыча», НПЗ и управления «Башнефти». В пресс-службе компании Group-IB, которая расследует киберпреступления, издание «Вести».Экономики» сообщил, что из-за масштаба атаки на нефть, телекоммуникации и финансовые компании в России и Украине стал вирус-шифровальщик, Петя.
В России, вирус также пострадали металлургическая компания Evraz и банка «Кредит». Финансовой организации, не открывается сайт, агентства работают только в режиме консультаций, никакие операции не проводятся. По сообщениям СМИ, есть трудности, компания Mondelez, которая, в частности, производит шоколад Alpen Gold и Milka, а также производитель продуктов питания для животных Royal Canin.
Вирус-шифровальщик Петя-это российских банков. В Банке России подтверждают случаи обнаружения компьютерных атак, направленных на кредитные учреждения российской федерации. Речь идет о заражении компьютерных систем банков, сообщает пресс-служба центрального банка.
«Банк России сообщает, обнаружение компьютерных атак, направленных на россии, кредитной организации. Согласно информации Банка России, в результате нападения зарегистрированы единичные случаи заражения объектов информационной инфраструктуры. Нарушения функционирования системы банков и нарушений предоставления услуг клиентам не зафиксировано».
Reuters сообщает, что банк «Кредит» из-за атаки хакеров прекратил обслуживание клиентов. «Во всех почтовых отделениях, к сожалению, из-за хакерской атаки закрыты», — сказал представитель банка. В пресс-службе Кредитной не подтвердил агентству закрытия всех офисов, но объявил о приостановке операций клиента.
Как «Камень» приходит в ваш компьютер, и что он делает?
Вирус Петя появился в 2016 году, но в «Лаборатории», сказал, что компьютеры ударил новая версия вируса. В целом, эксперты считают, что атака оказалась меньшей величины, чем в случае вируса WannaCry, но вред от него все же чувствовать себя.
Во-первых, программы-вымогатели блокировали рабочий стол. Затем они начали шифровать файлы. Вскоре после блокеры начали атаковать веб-серверов, дисков и резервных копий. Теперь цель вредоноса является загрузочной записи. «Героем» дня, вирус, Петя, впервые был обнаружен при обходе спам, ориентированный на руководителей кадровых ресурсов немецких компаний.
Вредоносный спам, содержащий ссылку на Dropbox при активации которого происходит загрузка установки шантажист. После запуска Петя заменяет MBR (он содержит код, необходимый для загрузки операционной системы) лютые зарядное устройство, которая вызывает перезагрузки Windows, и отображает их на экране моделирования проверки диска (CHKDSK).
Вот как выглядит этот ужас:
После заражения компьютера жертвы заблокирован, а файлы зашифрованы. Экран не указано имя программы-шифровальщика, что усложняет процесс реагирования на ситуацию. Следует также отметить, что в Петя используется стойкий алгоритм шифрования не удается создать инструмент для расшифровки. Шифровальщик требует 300 $из расчета.
«По предварительным данным, вирус распространяется с помощью метода социальной инженерии: сотрудники предприятия обнаружили вредоносные вложения в электронных письмах. Петя распространяется в локальной сети, а также известных вирусов WannaCry, атаковавший в мае этого года 300 тысяч компьютеров в более чем 150 странах мира», пишет в своем блоге Group-IB, Сергей Никитин, заместитель руководителя лаборатории компьютерной экспертизы.
Эксперты Group-IB установили, что недавно измененную версию шифровальщика Петя — PetrWrap — использована группа из Кобальта, чтобы скрыть следы от целевой атаки на финансовые учреждения. Кобальт хорошо известно, что успех атаковал банков по всему миру — в России, Великобритании, нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайваня, Малайзии. Кроме того, системы управления банкоматов, киберпреступники пытаются получить доступ к системе межбанковских переводов (SWIFT), платежные шлюзы и лечение.
На биткоин кошелек, связанный с вирусом Петя.А, спустя пять часов после атаки, которая была переведена более чем на $2,5 тыс. Он приводит к открытой информации блокчейна, доступные на ваш кошелек. Первые переводы на него, начал получать примерно через три часа после начала атаки.
18:00 по московскому времени, этот биткоин-кошелек, получил в общей сложности девять переводов, каждый из них по номинальной стоимости, которая составляет примерно $300 — как нападавшие должны дешифровку файлов.
Что делать?
Эксперты «лаборатории Касперского» рекомендуется выполнить следующие действия, которые помогут вам защитить ваши файлы от заражения трояном-шифровальщиком:
1. Когда пользователь видит синий экран смерти, он все еще не в зашифрованном виде, это «Камень», еще не приехал в таблице файлов. Если вы видите, что ваш компьютер показывает синий экран, перезагружается и запускает Check Disk, немедленно прекратите. На данный момент вы можете вытащить жесткий диск, подключить к другому компьютеру (в качестве загрузочного тома!) и скопировать ваши файлы.
2. «Камень» не показатель того, что таблицы, не затрагивая сами файлы. Специалисты восстановления данных могут восстановить. Эта длинная и дорогостоящая процедура, но вполне реальная. Но не пытайтесь сделать это самостоятельно: из-за случайной ошибки, ваши файлы могут исчезнуть навсегда.
3. Лучший способ защиты-это предотвратить нападение, используя для защиты решения. Kaspersky Internet Security не даст спам проникнуть в ваш почтовый ящик, так что вы, вероятно, никогда и не получите ссылку, за которой скрывается «Камень». Если «Камень» каким-то образом проник в систему, Kaspersky Internet Security идентифицирует его как Trojan-Ransom.Win32.Петр и заблокирует все его вредоносные действия.
Эксперты Group-IB рекомендуют соблюдать меры:
1. Установите время обновления системы и исправления безопасности.
2. Настройте фильтры электронной почты, которые будут устранять папки, исполняемые файлы, документы, рабочий стол рекомендуется проверить на «песочнице» перед доставкой пользователям.
3. Если сетевой бизнес остался непропатченные ПК, не позволяет сотрудникам подключаться к сети ноутбуки, привезенные из дома.
4. Регулярно делайте резервные копии системы.
5. Внедрение политики «нулевого доверия» и организовать обучение по информационной безопасности для своих сотрудников.
6. Рассмотрите возможность отключения SMB временно.
7. Подписаться на уведомления о технической безопасности Microsoft.