La société Rosneft s'est plainte d'une puissante attaque de pirate informatique sur ses serveurs. La société l'a annoncé dans son Twitter. « Une puissante attaque de hacker a été menée sur les serveurs de l’entreprise. Nous espérons que cela n’a rien à voir avec les procédures judiciaires en cours », indique le message.
"L'entreprise a contacté les forces de l'ordre au sujet de la cyberattaque." ça dit dans le message. L'entreprise a toutefois souligné qu'une attaque de pirate informatique pourrait avoir de graves conséquences, « grâce au fait que l'entreprise est passée à système de sauvegarde gestion des processus de production, ni la production ni la préparation de l’huile n’ont été arrêtées. Un interlocuteur du journal Vedomosti, proche d'une des structures de l'entreprise, indique que tous les ordinateurs de la raffinerie Bashneft, de Bashneft-Dobyche et de la direction de Bashneft « ont redémarré d'un coup, après quoi ils ont téléchargé un fichier inconnu. logiciel et affiché l’écran de démarrage du virus WannaCry.
L'écran demandait aux utilisateurs de transférer 300 $ en bitcoins vers adresse spécifiée, après quoi les utilisateurs recevront censément une clé pour déverrouiller leur ordinateur par e-mail. Le virus, à en juger par la description, a crypté toutes les données sur les ordinateurs des utilisateurs.
Group-IB, qui prévient et enquête sur la cybercriminalité et la fraude, a identifié un virus qui a affecté une compagnie pétrolière, a déclaré la société à Forbes. Nous parlons du virus de cryptage Petya, qui n'a pas seulement attaqué Rosneft. Spécialistes du Groupe-IB. a découvert qu'environ 80 entreprises en Russie et en Ukraine ont été attaquées : les réseaux de Bashneft, Rosneft, les sociétés ukrainiennes Zaporozhyeoblenergo, Dneproenergo et le système électrique du Dniepr, Mondelēz International, Oschadbank, Mars, " Nova Poshta", Nivea, TESA et autres. Le métro de Kyiv a également été soumis à attaque de pirate informatique. Les ordinateurs du gouvernement ukrainien, les magasins Auchan, les opérateurs ukrainiens (Kyivstar, LifeCell, UkrTeleCom) et PrivatBank ont été attaqués. L'aéroport de Boryspil aurait également été victime d'une attaque de pirate informatique.
Le virus se propage soit de manière malveillante, soit via des listes de diffusion : les employés de l'entreprise ont ouvert des pièces jointes malveillantes dans des e-mails. E-mail. En conséquence, l’ordinateur de la victime a été bloqué et le MFT (table de fichiers NTFS) a été crypté de manière sécurisée, explique un représentant du Groupe-IB. Dans le même temps, le nom du programme ransomware n'est pas indiqué sur l'écran de verrouillage, ce qui complique le processus de réponse à la situation. Il convient également de noter que Petya utilise un algorithme de cryptage puissant et n'a pas la capacité de créer un outil de décryptage. Le ransomware demande 300 $ en bitcoins. Les victimes ont déjà commencé à transférer de l’argent vers le portefeuille des attaquants.
Les spécialistes du Groupe-IB ont établi qu'une version récemment modifiée du chiffreur Petya, « PetrWrap », a été utilisée par le groupe Cobalt pour masquer les traces d'une attaque ciblée contre les institutions financières. Le groupe criminel Cobalt est connu pour avoir attaqué avec succès des banques dans le monde entier : Russie, Grande-Bretagne, Pays-Bas, Espagne, Roumanie, Biélorussie, Pologne, Estonie, Bulgarie, Géorgie, Moldavie, Kirghizistan, Arménie, Taïwan et Malaisie. Cette structure est spécialisée dans les attaques (logiques) sans contact contre les distributeurs automatiques. Outre les systèmes de contrôle des guichets automatiques, les cybercriminels tentent d'accéder aux systèmes de transfert interbancaire (SWIFT), aux passerelles de paiement et au traitement des cartes.
Dans l'après-midi du 27 juin, Rosneft a signalé une attaque de pirate informatique sur ses serveurs. Dans le même temps, des informations sont apparues concernant une attaque similaire contre les ordinateurs de Bashneft, Ukrenergo, Kyivenergo et un certain nombre d'autres sociétés et entreprises.
Le virus verrouille les ordinateurs et extorque de l’argent aux utilisateurs, il est similaire à .
Une puissante attaque de hacker a été menée sur les serveurs de la Société. Nous espérons que cela n’a rien à voir avec des procédures judiciaires en cours.
En réponse à la cyberattaque, la Société a contacté les forces de l'ordre.
– PJSC NK Rosneft (@RosneftRu) 27 juin 2017
Une source proche d'une des structures de l'entreprise note que tous les ordinateurs de la raffinerie Bashneft, de Bashneft-Production et de la direction de Bashneft "ont redémarré en même temps, après quoi ils ont téléchargé les logiciels désinstallés et affiché l'écran de démarrage du virus WannaCry". Sur l'écran, il était demandé aux utilisateurs de transférer 300 $ en bitcoins à l'adresse spécifiée, après quoi les utilisateurs recevraient par e-mail une clé pour déverrouiller leur ordinateur. Le virus, à en juger par la description, a crypté toutes les données sur les ordinateurs des utilisateurs."Vedomosti"
« La Banque nationale d'Ukraine a mis en garde les banques et les autres acteurs du secteur financier contre une attaque informatique externe par un virus inconnu contre plusieurs banques ukrainiennes, ainsi que contre certaines entreprises des secteurs commercial et public, qui se produit aujourd'hui.En raison de ces cyberattaques, ces banques ont des difficultés à servir leurs clients et à effectuer des transactions bancaires.
Banque nationale d'Ukraine
Les systèmes informatiques de la société énergétique de la capitale Kyivenergo ont été victimes d'une attaque de pirate informatique, a déclaré la société à Interfax-Ukraine."Nous avons été victimes d'une attaque de pirate informatique. Il y a deux heures, nous avons été obligés d'éteindre tous les ordinateurs, nous attendons l'autorisation du service de sécurité pour les allumer", a déclaré Kievenergo.
À son tour, NEC Ukrenergo a déclaré à Interfax-Ukraine que l'entreprise avait également rencontré des problèmes avec ses systèmes informatiques, mais qu'ils n'étaient pas critiques.
"Il y a eu quelques problèmes avec le fonctionnement des ordinateurs. Mais dans l'ensemble, tout est stable et contrôlé. Des conclusions sur l'incident peuvent être tirées sur la base des résultats d'une enquête interne", a noté l'entreprise.
"Interfax-Ukraine"
Les réseaux d'Ukrenergo et de DTEK, les plus grandes sociétés énergétiques ukrainiennes, ont été infectés par une nouvelle forme de ransomware rappelant WannaCry. TJ en a été informé par une source au sein de l'une des entreprises qui a été directement confrontée à l'attaque du virus.Selon la source, dans l'après-midi du 27 juin, son ordinateur au travail a redémarré, après quoi le système aurait commencé à vérifier disque dur. Après cela, il a vu qu'une chose similaire se passait sur tous les ordinateurs du bureau : « J'ai réalisé qu'une attaque était en cours, j'ai éteint mon ordinateur, et quand je l'ai allumé, il y avait déjà un message rouge concernant Bitcoin et argent."
Les ordinateurs du réseau de la société de solutions logistiques Damco sont également concernés. Tant dans les divisions européennes que russes. La propagation de l’infection est très large. On sait qu'à Tioumen, par exemple, tout est également foutu.Mais revenons au sujet de l'Ukraine : presque tous les ordinateurs des systèmes électriques de Zaporozhyeoblenergo, Dneproenergo et Dniepr sont également bloqués. attaque de virus.
Pour être clair, il ne s’agit pas de WannaCry, mais d’un malware au comportement similaire.
Raffinerie Rosneft Ryazan - le réseau a été éteint. Et aussi une attaque. Outre Rosneft/Bashneft, d'autres ont également été attaqués grandes entreprises. Des problèmes ont été signalés chez Mondelēz International, Oschadbank, Mars, Nova Poshta, Nivea, TESA et d'autres.
Le virus a été identifié - c'est Petya.A. Petya.A mange disques durs. Il crypte la table des fichiers maîtres (MFT) et extorque de l'argent pour le décryptage.
Le métro de Kiev a également été victime d'une attaque de pirate informatique. Les ordinateurs du gouvernement ukrainien, les magasins Auchan, les opérateurs ukrainiens (Kyivstar, LifeCell, UkrTeleCom) et PrivatBank ont été attaqués. Des informations font état d'une attaque similaire contre KharkovGaz. Selon administrateur du système, les machines avaient Windows 7 installé avec dernières mises à jour. Pavel Valerievich Rozenko, vice-Premier ministre ukrainien, a également été attaqué. L'aéroport de Boryspil aurait également été victime d'une attaque de pirate informatique.
Chaîne Telegram "Cybersécurité et Cie.
27 juin, 16h27 Depuis Virus Petya Au moins 80 entreprises russes et ukrainiennes ont été touchées, a déclaré Valéry Baulin, représentant du Groupe-IB, spécialisé dans la détection précoce des cybermenaces.
"Selon nos données, plus de 80 entreprises en Russie et en Ukraine ont été touchées par l'attaque utilisant le virus de cryptage Petya.A", a-t-il déclaré. Baulin a souligné que l'attaque n'est pas liée à WannaCry.Pour arrêter la propagation du virus, il est nécessaire de fermer immédiatement les ports TCP 1024-1035, 135 et 445, a souligné le Groupe-IB.<...>
« Parmi les victimes de la cyberattaque figuraient les réseaux de Bashneft, Rosneft, les sociétés ukrainiennes Zaporozhyeoblenergo, Dneproenergo et le système électrique du Dniepr ; Mondelēz International, Oschadbank, Mars, Novaya Poshta, Nivea, TESA et d'autres ont également été bloqués par l'attaque virale. "Le métro de Kiev a également été victime d'une attaque de pirate informatique. Les ordinateurs du gouvernement de l'Ukraine, les magasins Auchan, les opérateurs ukrainiens (Kyivstar, LifeCell, UkrTeleCom), la banque privée ont été attaqués. L'aéroport de Boryspil aurait également été victime d'une attaque de pirate informatique", a déclaré le groupe. -IB souligne.
Les spécialistes du Groupe-IB ont également découvert que le ransomware Petya.A avait été récemment utilisé par le groupe Cobalt pour masquer les traces d'une attaque ciblée contre des institutions financières.
Le virus ransomware a attaqué les ordinateurs de dizaines d'entreprises en Russie et en Ukraine, paralysant entre autres le travail des agences gouvernementales, et a commencé à se propager dans le monde entier.
En Fédération de Russie, Bashneft et Rosneft ont été victimes du virus Petya, un clone du ransomware WannaCry qui a infecté des ordinateurs du monde entier en mai.
Tous les ordinateurs de Bashneft sont infectés par le virus, a déclaré à Vedomosti une source de l'entreprise. Le virus crypte les fichiers et demande une rançon de 300 $ sur un portefeuille Bitcoin.
"Le virus a initialement désactivé l'accès au portail, au Messagerie Skype pour les entreprises, pour MS Exchange, nous avons pensé que c'était simple panne de réseau, puis l'ordinateur a redémarré avec une erreur. "Décédé" Disque dur, le prochain redémarrage affichait déjà un écran rouge », a déclaré la source.
Presque simultanément, Rosneft a annoncé une « puissante attaque de pirate informatique » sur ses serveurs. Les systèmes informatiques et la gestion de la production ont été transférés en capacité de réserve, l'entreprise opère en mode normal, et "les distributeurs de messages faux et de panique seront tenus responsables ainsi que les organisateurs de l'attaque informatique", a déclaré le secrétaire de presse de l'entreprise Mikhaïl Léontiev à TASS.
Les sites Internet de Rosneft et Bashneft ne fonctionnent pas.
L'attaque a été enregistrée vers 14 heures, heure de Moscou, parmi les victimes figuraient ce moment 80 entreprises. Outre les travailleurs du pétrole, des représentants de Mars, Nivea et Mondelez International (fabricant du chocolat Alpen Gold) ont été touchés, a rapporté Group-IB, qui prévient et enquête sur la cybercriminalité.
L'entreprise métallurgique Evraz et la banque Home Credit, qui a été contrainte de suspendre le travail de toutes ses succursales, ont également signalé une attaque contre leurs ressources. Selon RBC, au moins 10 banques russes ont contacté mardi des spécialistes de la cybersécurité à propos de l'attaque.
En Ukraine, le virus a attaqué les ordinateurs du gouvernement, les magasins Auchan, Privatbank, les opérateurs télécoms Kyivstar, LifeCell et Ukrtelecom.
L'aéroport de Boryspil, le métro de Kiev, Zaporojieoblenergo, Dneproenergo et le système électrique du Dniepr ont été attaqués.
La centrale nucléaire de Tchernobyl est passée à la surveillance radiologique du site industriel en mode manuel en raison d'une cyberattaque et d'une panne temporaire Systèmes Windows, a déclaré à Interfax le service de presse de l'Agence nationale pour la gestion des zones d'exclusion.
Le virus ransomware touché un grand nombre de pays du monde entier, a déclaré Costin Raiu, chef de la division de recherche internationale de Kaspersky Lab, sur son compte Twitter.
Selon lui, dans nouvelle version le virus, apparu le 18 juin de cette année, est faux signature numérique Microsoft.
À 18h05, heure de Moscou, la compagnie maritime danoise A.P. a annoncé une attaque contre ses serveurs. Moller-Maersk. Outre la Russie et l'Ukraine, les utilisateurs du Royaume-Uni, de l'Inde et de l'Espagne ont été touchés, a rapporté Reuters, citant l'Agence. technologies de l'information Gouvernement suisse.
La directrice générale du groupe InfoWatch, Natalya Kasperskaya, a expliqué à TASS que le virus de cryptage lui-même est apparu il y a plus d'un an. Il est distribué principalement via des messages de phishing et est version modifiée connu auparavant malware. "Il s'est associé à un autre virus ransomware Misha, qui disposait de droits d'administrateur. Il s'agissait d'une version améliorée, d'un crypteur de sauvegarde", a déclaré Kasperskaya.
Selon elle, surmonter rapidement l'attaque de mai Le rançongiciel WannaCry réussi en raison d’une vulnérabilité du virus. « Si le virus ne présente pas une telle vulnérabilité, il sera alors difficile de le combattre », a-t-elle ajouté.
Cyberattaque à grande échelle utilisant Virus rançongiciel WannaCry, qui a touché plus de 200 000 ordinateurs dans 150 pays, s'est produite le 12 mai 2017.
WannaCry crypte les fichiers des utilisateurs et nécessite un paiement en Bitcoin équivalent à 300 $ pour les décrypter.
En Russie, en particulier, ils ont été attaqués systèmes informatiques Ministère de l'Intérieur, ministère de la Santé, commission d'enquête, chemins de fer russes, banques et opérateurs de téléphonie mobile.
Selon le Centre britannique de cybersécurité (NCSC), qui dirige l'enquête internationale sur l'attaque du 12 mai, des pirates informatiques nord-coréens du groupe Lazarus, lié au gouvernement, en seraient à l'origine.
Le service de presse du Groupe-IB, qui enquête sur la cybercriminalité, a déclaré à RBC que l'attaque informatique contre un certain nombre d'entreprises utilisant le virus de cryptage Petya était « très similaire » à l'attaque survenue à la mi-mai avec le logiciel malveillant WannaCry. Petya bloque les ordinateurs et exige en échange 300 $ en bitcoins.
« L’attaque a eu lieu vers 14 heures. À en juger par les photographies, il s'agit du cryptolocker Petya. Mode de distribution dans réseau local similaire Virus WannaCry», découle du message du service de presse du Groupe-IB.
Dans le même temps, un employé d'une des filiales de Rosneft, impliquée dans des projets offshore, affirme que les ordinateurs ne se sont pas éteints, des écrans avec du texte rouge sont apparus, mais pas pour tous les employés. Cependant, l’entreprise s’effondre et les travaux s’arrêtent. Les interlocuteurs notent également que toute l'électricité a été complètement coupée dans le bureau de Bashneft à Oufa.
A 15h40, heure de Moscou, les sites officiels de Rosneft et Bashneft sont indisponibles. Le fait de l'absence de réponse peut être confirmé sur les ressources de vérification de l'état du serveur. Le site Internet de Yuganskneftegaz, la plus grande filiale de Rosneft, ne fonctionne pas non plus.
La société a ensuite tweeté que le piratage aurait pu entraîner de « graves conséquences ». Malgré cela, processus de production, la production et la préparation du pétrole n'ont pas été arrêtées en raison de la transition vers un système de contrôle de secours, a expliqué la société.
Actuellement, le tribunal d'arbitrage du Bachkortostan a terminé une réunion au cours de laquelle il a examiné la réclamation de Rosneft et de sa société contrôlée Bashneft contre AFK Sistema et Sistema-Invest pour la récupération de 170,6 milliards de roubles, qui, selon la compagnie pétrolière, " Bashneft a subi des pertes suite à une réorganisation en 2014.
Un représentant d'AFK Sistema a demandé au tribunal de reporter d'un mois la prochaine audience afin que les parties aient le temps de se familiariser avec toutes les requêtes. Le juge a fixé la prochaine réunion dans deux semaines, le 12 juillet, notant que l'AFC compte de nombreux représentants et qu'ils s'en sortiront dans ce délai.
Alors maintenant, un nouveau virus est apparu.
De quel type de virus s’agit-il et faut-il en avoir peur ?
Voici à quoi cela ressemble sur un ordinateur infecté
Un virus appelé mbr locker 256 (qui s'appelle Petya sur le moniteur) a attaqué les serveurs d'entreprises russes et ukrainiennes.
Il verrouille les fichiers sur votre ordinateur et les crypte. Les pirates exigent 300 $ en bitcoins pour le déverrouillage.
MBR– c'est le principal enregistrement de démarrage, le code requis pour le chargement ultérieur du système d'exploitation. Il est situé dans le premier secteur de l'appareil.
Après la mise sous tension de l'ordinateur, la procédure POST se déroule, testant Matériel, puis le BIOS charge le MBR dans RAMà l'adresse 0x7C00 et lui transfère le contrôle.
Ainsi, le virus pénètre dans l’ordinateur et infecte le système. Il existe de nombreuses modifications du malware.
Il travaille sous Contrôle Windows, tout comme le malware précédent.
Qui a déjà souffert
ukrainien et Entreprises russes. Voici une partie de la liste complète :
De nombreuses entreprises ont rapidement repoussé l’attaque, mais toutes n’y sont pas parvenues. Pour cette raison, certains serveurs ne fonctionnent pas.
Les banques ne peuvent pas effectuer un certain nombre de transactions monétaires. Les aéroports reportent ou retardent les vols. Le métro ukrainien n'acceptait les paiements sans contact qu'à 15h00.
Quant au matériel de bureau et aux ordinateurs, ils ne fonctionnent pas. Dans le même temps, il n’y a aucun problème avec le système énergétique ou l’approvisionnement en énergie. Cela n'a affecté que ordinateurs de bureau(travaille pour Plateforme Windows). On nous a donné l'ordre d'éteindre les ordinateurs. - Ukrenergo
Les opérateurs se plaignent d'avoir également souffert. Mais en même temps, ils essaient de travailler pour les abonnés comme d'habitude.
Comment se protéger de Petya.A
Pour vous en protéger, vous devez fermer les ports TCP 1024-1035, 135 et 445 sur votre ordinateur. C'est assez simple à faire :
Étape 1. Ouvrez le pare-feu.
Étape 2. Sur le côté gauche de l'écran, accédez à « Règles pour les connexions entrantes ».
Étape 3. Sélectionnez « Créer une règle » -> « Pour le port » -> « Protocole TCP" -> "Ports locaux spécifiques".
Étape 4. Nous écrivons « 1024-1035, 135, 445 », sélectionnons tous les profils, cliquons partout sur « Bloquer la connexion » et « Suivant ».
Étape 5. Nous répétons les étapes pour les connexions sortantes.
Eh bien, deuxièmement, mettez à jour votre antivirus. Les experts rapportent que mises à jour nécessaires sont déjà apparus dans les bases de données de logiciels antivirus.