Ряд российских и украинских компаний подверглись во вторник хакерской атаке. Нападение на них было совершено с помощью вируса-вымогателя Petya. Позже выяснилось, что атака распространилась практически по всему миру.
По данным компании по предотвращению и расследованию киберпреступлений и мошенничеств Group-IB, хакеры напали на энергетические, телекоммуникационные и финансовые сектора России и Украины. По предварительным оценкам, были атакованы около 80 компаний.
Среди российских компаний, по данным Group-IB, атакой были затронуты в том числе серверы "Башнефти" и "Роснефти". В своем официальном аккаунте в Twitter "Роснефть" подтвердила факт атаки, отметив, что она могла привести к серьезным последствиям. Однако компания перешла на резервную систему управления производственными процессами - в итоге ни добыча, ни подготовка нефти остановлены не были, следует из сообщений "Роснефти".
В Банке России "РГ" сообщили, что регулятор выявил компьютерные атаки, направленные на российские банки. "По информации Банка России, в результате атак зафиксированы единичные случаи заражения объектов информационной инфраструктуры", - отметили в ЦБ. При этом регулятор не зафиксировал нарушений в работе систем банков и в обслуживании клиентов.
В Сбербанке и группе ВТБ "РГ" сообщили, что все системы банков работают в штатном режиме. По словам представителя Альфа-банка, атак на банк зафиксировано не было. При этом на момент подписания номера не был доступен сайт банка "Хоум Кредит". Как заявили "РГ" в пресс-службе банка, его специалисты заметили во вторник первые признаки нестандартной сетевой активности. "На фоне массовых сообщений в СМИ об атаках на различные компании мы приняли решение в превентивном порядке провести проверку безопасности всех наших систем", - отметили в пресс-службе банка. По сообщениям крупнейших представителей российских операторов связи, их хакерская атака не затронула.
Вирус требует от каждой жертвы атаки заплатить по 300 долларов в биткоинах
На Украине первым об атаке сообщил Ощадбанк, где было остановлено обслуживание клиентов. Кроме того, была парализована работа около трех десятков банков, включая крупнейший ПриватБанк, столичного аэропорта Борисполь, региональных энергетических компаний, украинской почты, киевского метро, ряда областных администраций и мэрий. Перестали работать кассовые аппараты в крупных торговых центрах и мегамоллах. Под удар попали мобильные операторы, провайдеры, ряд телеканалов и "Украинский медиахолдинг". Заражены оказались и все компьютеры в правительстве. О превентивном отключении от Интернета всех подотчетных компьютеров сообщили пресс-службы МВД Украины и столичной мэрии. О заблаговременном переходе в режим повышенной безопасности сообщила администрация президента Украины.
Вирус Petya блокирует и шифрует файлы на компьютерах. "Также стоит отметить, что в Petya используется стойкий алгоритм шифрования. Шифровальщик требует 300 долларов в биткоинах", - отмечают в Group-IB. По словам замруководителя лаборатории по компьютерной криминалистике компании Сергея Никитина, сам вирус - не новый. "Скорее всего, сотрудники компаний открывали вредоносные вложения в письмах, полученных по электронной почте. После заражения Petya распространяется в локальной сети так же, как вирус WannaCry, атаковавший в мае 300 тысяч компьютеров в 150 странах мира", - сообщил Никитин. Как позже отметил в Twitter руководитель международной исследовательской команды "Лаборатории Касперского" Костин Райю, вирус распространился по всему миру.
Крупнейшая хакерская атака, распространяющая вирус, блокирующий работу компьютерных систем, поразила украинские банки, энергетические компании, государственные интернет-ресурсы и локальные сети, украинские медиа и ряд других крупных предприятий.
По информации СМИ, а также исходя из официальных заявлений, были атакованы компьютерные системы «Ощадбанка», «Укргазбанка», банка «Пивденный», банка «ОТР», «ТАСКомбанка». Кроме того, пострадали энергетические компании - ДТЭК, «Киевэнерго», «Укрэнерго», а также сети АЗС. О хакерских атаках сообщили также «Укртелеком», аэропорт «Борисполь», «Укрзализныця», госпредприятие «Антонов», «Укрпочта», «Киевводоканал» и .
Среди крупных компаний частного сектора от вируса пострадали также «Новая почта», сеть магазинов DIY «Эпицентр», промышленно-строительная группа «Ковальская», основные украинские сотовые операторы - «Киевстар», Vodafone и Lifecell.
Пострадали также и медиаресурсы, в том числе - телерадиокомпания «Люкс» (24 канал, радио «Люкс»), канал ATR, медиаресурсы холдинга UMH.
Кроме того, не работают компьютерные и сайт правительства.
При этом во многих случаях симптомы заражения вирусом сходны - компьютеры на операционной системе Windows перезагружаются, после чего пользователи либо просто теряют доступ к файлам, либо еще и получают сообщение о возможности разблокировать работу компьютера и сберечь файлы путем перечисления эквивалента 300 долл. США в криптовалюте Bitcoin.
Специалисты по IT-безопасности для защиты от заражения рекомендуют пользоваться обновленными антивирусами, не скачивать сторонние программы неустановленных разработчиков из неустановленных источников, не переходить по подозрительным ссылкам, в том числе - приходящих по электронной почте и в соцсетях.
Позднее основные мобильные операторы сообщили, что их работа не была нарушена, несмотря на кибератаку.
В то же время об атаке заявила также частная клиника «Борис» - пациенты сегодня не могут попасть на прием. Среди сетей АЗС от вируса пострадали WOG и ТНК. Кроме того, сайт и онлайн-табло аэропорта «Борисполь» также не работают, пассажирам рекомендовано уточнять время вылета у авиакомпаний. С расписанием можно ознакомиться на электронном табло в терминале D.
В «Укрэнерго» сообщили, что энергетическая система находится в безопасности, поскольку управление ею может происходить и без использования программных комплексов на Windows.
Сайты Государственной службы специальной связи и защиты информации, а также Киберполиции не работают, рекомендации от этих органов пока не предоставлены.
Секретарь Совета национальной безопасности и обороны Александр Турчинов в своем комментарии сообщил, что Национальный координационный центр кибербезопасности работает по протоколу быстрого реагирования, и все государственные органы, выполняющие его рекомендации, были включены в защищенный периметр (защищенный узел интернет-доступа) и не пострадали.
«Сейчас специалисты по вопросам кибербезопасности в оперативном режиме оказывают помощь госучреждениям, которые по субъективным причинам не вошли в защищенный контур, объектам критической инфраструктуры, а также банковскому сектору», - отметил Турчинов.
По его словам, по итогам первичного анализа вируса в его распространении прослеживается российский след.
Секретарь СНБО подчеркнул, что решения Национального координационного центра кибербезопасности - «это не факультатив и являются обязательными для выполнения всеми государственными учреждениями».
«Речь идет о необходимости всем госучреждениям войти в защищенный контур интернета и выполнять все требования специалистов по кибербезопасности. Также рекомендуем сделать это и банковским учреждениям, в первую очередь - государственным», - сказал он.
Справка УНИАН. 12 мая 2017 года вирус с аналогичным принципом работы WannaCry . При этом больше всего инфицированных компьютеров оказалось в Украине, России, Индии и Тайване. По установленным данным, от вируса пострадало более 500 тыс. компьютеров, а ущерб может составить около 1 млрд долл. Вирус использует уязвимость необновленных операционных систем, большинство инфицированных компьютеров работало под управлением операционных систем от Microsoft.
Банки, аэропорты и правительственные учреждения стали жертвами массированной кибератаки
МОСКВА, 27 июн — РИА Новости. Вирус-вымогатель стал причиной масштабной атаки на нефтяные, телекоммуникационные и финансовые компании России и Украины. Об этом РИА Новости сообщили в компании Group-IB, которая специализируется на раннем выявлении киберугроз.
"Он блокирует компьютеры и требует 300 долларов в биткоинах. Атака произошла около 14:00. Судя по фотографиям, это криптолокер Petya", — пояснили в пресс-службе компании, отметив, что способ распространения Petya в локальной сети аналогичен вирусу WannaCry.
Позже разработчик антивируса Dr.Web уточнил, что вредоносная программа отличается от Petya, но подтвердил, что троянец распространяется самостоятельно, как и нашумевший WannaCry.
В "Лаборатории Касперского", в свою очередь, рассказали, что вирус не принадлежит ни к одному из ранее известных семейств подобных программ.
По предварительным данным, от вируса пострадали многие компании, в том числе "Башнефть" и "Роснефть", а также украинские "Запорожьеоблэнерго", "Днепроэнерго" и Днепровская электроэнергетическая система.
"Mondelez International, Ощадбанк, Mars, "Новая Почта", Nivea, TESA и другие. Киевский метрополитен также подвергся хакерской атаке. Атакованы правительственные компьютеры Украины, магазины "Ашан", украинские операторы ("Киевстар", LifeCell, "УкрТелеКом"), Приватбанк. Аэропорт Борисполь, предположительно, тоже подвергся хакерской атаке", — добавил представитель Group-IB.
Вирус стал причиной сбоя в работе киевского метро: пассажиры не могут оплатить проезд с помощью банковских карт. В свою очередь, вице-премьер Украины Павел Розенко заявил, что хакерской атаке подверглись все компьютеры в кабмине.
Киевский аэропорт Борисполь предупредил о возможных задержках рейсов.
"Сегодня в аэропорту и в нескольких крупных предприятиях государственного сектора внештатная ситуация — спам-атака. Наши IT-службы пытаются совместными усилиями урегулировать ситуацию", — написал исполняющий обязанности директора аэропорта Евгений Дыхне на своей странице в Facebook .
На Чернобыльской атомной электростанции из-за хакерской атаки не работает электронный документооборот, сообщило издание "Украинская правда " со ссылкой на начальника смены АЭС.
По словам собеседника издания, некоторые компьютеры на станции были заражены вирусом. Поэтому, как только хакерская атака началась, была дана команда компьютерщиков отключить компьютеры персонала.
"О радиационной обстановке на станции замечаний нет. Превышения контрольных уровней нет. То есть у нас на промплощадке, на сооружениях ухудшения радиационной обстановки не произошло", — цитирует издание слова сотрудника АЭС.
Вирус также был обнаружен в Литве. Об этом агентству BNS сообщил представитель Службы регулирования связи страны. Он не уточнил, какие предприятия могли пострадать от вредоносной программы.
Ранее об атаке на свои серверы сообщила "Роснефть". В компании отметили, что сразу перешли на резервную систему управления производством, что позволило избежать остановки добычи нефти.
Вирус WannaCry атаковал сотни тысяч компьютеров по всему миру 12 мая. Тогда хакеры использовали модифицированную вредоносную программу Агентства национальной безопасности США: инструмент разведслужб, известный как eternal blue ("неисчерпаемая синева"), был совмещен с программой-вымогателем WannaCry.
Глава Минкомсвязи Николай Никифоров считает вирусную атаку на российские СМИ случайной. Фото Егора Алеева/ТАСС
Вымогательство или шантаж коммерческих структур вряд ли может объяснять вирусные атаки по всему миру или волну телефонного терроризма в РФ. Компьютерный вирус «Плохой кролик - Bad Rabbit» атаковал компании в России, Турции, Германии и в Украине, которые пока не восстановили свою работу. Специалисты по кибербезопасности объясняют происходящее нарушением правил компьютерной безопасности у пострадавших. А ветераны спецслужб подозревают в компьютерных сбоях и телефонном терроризме своих коллег. Они допускают проведение испытаний кибероружия для оценки его эффективности. Не исключено также, что иностранные спецслужбы так наказывают Россию после обвинения во вмешательстве в американские и европейские выборы.
Модифицированный вирус Bad Rabbit атаковал компьютерные сети в России, Турции, Германии, Украине и в других странах. Причем работа информационных систем полностью не восстановлена. Так, на момент выхода номера в печать некоторые ресурсы Интерфакса оставались недоступны. Примечательно, что вымогатели требовали для снятия блокировки пораженных компьютеров довольно скромную сумму – около 17 тыс. руб.
Нажива – это не то, для чего используются подобные вирусы, всегда есть более важная и конкретная задача, считают эксперты. Вряд ли хакеры преследовали какую-то конкретную цель, атака была случайной, спорят в Минкомсвязи. Как считает глава Минкомсвязи Николай Никифоров, атака нового вируса-шифровальщика Bad Rabbit, которой ранее подверглись российские СМИ, не была целенаправленной и носила случайный характер. «При всем уважении к большим СМИ это не критический объект инфраструктуры», – сказал Никифоров, добавив, что какую-то определенную цель хакеры вряд ли преследовали. По его мнению, такие атаки, в частности, связаны с нарушением мер безопасности при подключении к «открытому Интернету». «Скорее всего эта информационная система (Интерфакса. – «НГ») не сертифицирована», – приводит слова министра ТАСС.
Напомним, во вторник атаке вируса-вымогателя Bad Rabbit подвергся ряд российских СМИ. В частности, оказалась нарушена работа агентства Интерфакс. За разблокировку компьютеров хакеры требовали выкуп в биткоинах. Кроме Интерфакса атаке подверглось и петербургское интернет-СМИ «Фонтанка». При этом в медиа ставят под сомнение, что атака на издание связана лишь с денежными мотивами. «Мы абсолютно не сомневаемся, что это часть действий злоумышленников, которые действуют в отношении нас на протяжении последних недель, размещая клеветнические заказные материалы на десятках ресурсов в Интернете, а также донося до контролирующих органов ложную информацию», – уверен главный редактор «Фонтанки» Александр Горшков.
Атаке поверглись не только российские СМИ, но и некоторые финансовые структуры. Так, по сообщению гендиректора компании Group-IB Ильи Сачкова, Bad Rabbit пытался атаковать и российские банки из топ-20. Юникредит-банк сообщил вчера об усилении мониторинга состояния своей сети на фоне сообщений об атаке вируса Bad Rabbit. А в банке «Открытие» рассказали об успешном отражении атаки вируса-шифровальщика.
Кибератаке подверглись и украинские предприятия. СМИ сообщали о нарушении работы информационных систем аэропорта Одессы. О хакерском нападении сообщила и пресс-служба Киевского метрополитена. Еще одной жертвой хакеров, по данным украинских СМИ, стал сайт Министерства инфраструктуры Украины.
Жертвы атак нового вируса находятся не только в РФ и Украине, но также в Турции и Германии, сообщает российский производитель антивирусов Лаборатория Касперского. «Большинство отраженных атак пришлось на Россию (65%), Украину (12,2%), Болгарию (10,2%), Турцию (6,4%), Японию (3,8%), другие страны (2,4%)», - перечисляет руководитель отдела технического маркетинга ESET Russia Алексей Оськин.
Вряд ли главной целью хакеров было вымогательство денег, считают эксперты. «Вымогатели требовали небольшие деньги, а то, что они получили, это либо минимальные средства, либо вообще нулевые. Потенциально атака была не ради заработка. Возможно, это всего лишь прикрытие», – замечает руководитель лаборатории компьютерной криминалистики и исследования вредоносного кода компании Group-IB Валерий Баулин. «Все признаки указывают на то, что это целенаправленная атака на корпоративные сети», – приводит ТАСС слова руководителя отдела Лаборатории Касперского Вячеслава Закоржевского.
Атаки вирусов-шифровальщиков, как ни парадоксально это звучит, не приносят вымогателям практически никакой прибыли, соглашаются эксперты «НГ». «Атака предыдущего вируса WannaCry хоть и нанесла урон от нескольких сотен миллионов до миллиарда долларов (подсчеты американского некоммерческого исследовательского института U.S. Cyber Consequences), но самим мошенникам принесла всего несколько десятков тысяч долларов», – приводит пример руководитель аналитического подразделения по информационной безопасности компании «ТСС» Илья Шарапов, подчеркивая, что хакеры чаще всего зарабатывают на заранее продуманных и нацеленных на конкретные организации атаках.
Напомним, только за последний год по миру прокатывалось несколько атак вирусов-шифровальщиков. Так, в мае эпидемию вызвал вирус WannaCry, в июне – Petya. Так же как и в случае в Bad Rabbit, сумма за дешифровку была скромной – около 300 долл. При этом первая атака охватила сотни тысяч пользователей в 150 странах, вторая – около 10 тыс. из 65 стран. В России жертвами кибератаки стали такие компании, как «МегаФон», «ВымпелКом», РЖД и «Роснефть». Пострадало также Министерство внутренних дел. Пытались взломать хакеры и серверы Минздрава.
Так или иначе, но объемы интернет-вымогательства в мире растут. Так, по итогам 2016 года число кибератак с применением вирусов-шифровальщиков выросло примерно на 50%, а количество новых форм данного вируса превысило 4 млн. Такие выводы, в частности, следовали из обнародованного ранее исследования компании Verizon, составленного при содействии разработчика антивирусных программ McAfee. И если еще в 2014 году такой тип вирусов занимал лишь 22-ю строчку «хит-парада» вредоносных программ, то теперь уже пятую, замечали исследователи. Кроме того, следует из доклада, хакеры стали чаще атаковать юридические лица – коммерческие, неправительственные и правительственные организации. «Среди юрлиц наиболее атакуемыми с применением вируса-шифровальщика стали правительственные организации, а также компании, работающие в сфере здравоохранения и финансовых услуг», – обращают внимание специалисты.
Растет и доля шпионажа. «В прошлом году хакерские атаки с целью шпионажа увеличили удельную долю в общем объеме киберпреступлений до 21% против менее 10% в 2010 году. Главными объектами таких атак являются правительственные учреждения, промышленные холдинги и учебные заведения», – следует из исследования.
Скорее всего число таких киберпреступлений будет только увеличиваться. К росту числа подобных атак будет подталкивать несколько факторов, полагает Шарапов. «Развитие и проникновение Интернета (на данный момент доступ к Сети имеет лишь 47% населения Земли; популяризация мобильного Интернета; наконец, развитие технологий IoT (Интернет вещей)», – перечисляет он, полагая, что мы только стоим «на пороге грандиозного и беспрецедентного влияния хакеров на повседневную жизнь рядовых граждан и крупных компаний».
Лишь за последние два года жертвы вирусов-вымогателей заплатили мошенникам выкуп на сумму в 25 млн долл., следует из исследования, проведенного Google совместно с Chainalysis. Растет и число преступлений с использованием мобильных средств. Так, согласно отчету компании Group-IB, только в период с апреля 2015-го по март 2016 года киберпреступники при помощи троянов на мобильных устройствах похитили со счетов в российских банках почти 350 млн руб. В результате объем хищений в годовом выражении увеличился на 471%, сообщают в компании.
Тем не менее происходящее сегодня с российскими СМИ и украинскими предприятиями сложно назвать полноценной киберэпидемией, считают некоторые эксперты. «В данном случае масштаб атаки настолько ничтожен, что говорить об эпидемии невозможно. Но, возможно, атака была на самом деле направлена против одной–двух компаний, а остальные заражались лишь для прикрытия», – не исключает ведущий аналитик отдела развития «Доктор Веб» Вячеслав Медведев. По мнению экспертов, основной посыл атаки – хулиганство. «Данная атака в силу незначительности вряд ли является инструментом коммерческого шантажа. Более того, при нормальной организации системы защиты она вообще не могла состояться. Ведь для заражения пользователь сам должен был установить вредоносную программу», – напоминает он.
Если бы вирус распространялся более локализованно, то это могла быть обычная хакерская атака с желанием поживиться, считает член экспертного совета по цифровой экономике Госдумы РФ Никита Куликов. «Такого рода атаки также могут использоваться для выявления дыр в киберзащите и, следовательно, уязвимости ключевых для страны компаний и организаций: СМИ, банки, госучреждения. А учитывая общую политическую напряженность, такой порядок действий выглядит вполне реальным», – не исключает он. «Вероятная цель атаки – навести переполох в работе служб безопасности организаций, а также завладеть секретной информацией этих структур», – соглашается директор развития сети компании «Солид Менеджмент» Сергей Звенигородский. «Учитывая же, что данный вирус-шифровальщик имеет схожую природу по своей структуре с уже нашумевшим вирусом Not. Petya, можно заключить, что это звенья одной цепи и визит «плохого кролика» вполне может повториться», – рассуждает он. В основе мотивации злоумышленников могут лежать и экономические мотивы, не исключает PR-директор Parallels Дмитрий Смиркин. «По статистике на получение финансовой выгоды нацелено 67% кибератак», - продолжает Оськин.
Теоретически подобные кибератаки оказываются на руку самим производителям антивирусного программного обеспечения. «Компания, которая быстро отреагирует на появление вируса и создаст защиту, обновив базу своего продукта, может получить новых клиентов: за счет скорости реакции компании-производителя отношение пользователей к ее продукции может улучшиться», – рассуждает старший аналитик компании «Фридом Финанс» Богдан Зварич.
Говорить о том, что один вирус способен изменить расклад на рынке антикризисных программ, смешно, спорит Медведев. «Пользователи просто не знают, сколько вредоносных программ создается в день. В день в антивирусные базы заносится информация о десятках новых только вирусах-шифровальщиках», – поясняет он.
Ветераны КГБ считают вероятным, что к вирусным атакам и к телефонному терроризму в РФ так или иначе могут быть причастны спецслужбы.
Генерал-майор КГБ в отставке Алексей Кондауров допускает, что волна телефонного терроризма и нападение на компьютерные сети в России может быть своеобразной местью или наказанием властей РФ, которые обвиняются во вмешательстве в американские выборы. «Мы наблюдаем сегодня самую серьезную и профессиональную атаку на Россию», – говорит Кондауров. «Наши ответственные структуры не сообщают об источниках этих атак и поэтому сегодня можно лишь перебирать возможные версии. Нельзя исключать, что к телефонному терроризму или вирусному нападению причастны исламские террористы. Но эта версия изначально кажется мне менее вероятной», – объясняет генерал-майор КГБ.
«Пока злоумышленники не обнаружены, можно лишь гадать и предлагать версии», – соглашается полковник запаса ФСБ Геннадий Гудков. При этом версия шантажа государственных и коммерческих структур с целью получения выкупа кажется ему маловероятной. Гораздо более правдоподобным он считает испытание спецслужбами эффекта применения кибероружия. Многие важные службы используют слабозащищенные почти бытовые компьютерные сети. Справочные, информационные, навигационные или транспортные компьютерные системы вполне могут стать объектом испытательного применения кибероружия, – считает Гудков. «Что касается волны телефонного терроризма в РФ, то у меня сложилось впечатление, что властям хорошо известно происхождение этих атак», – говорит полковник ФСБ.
