Les experts évaluent les dégâts Virus Petya. Les sociétés informatiques résument la vague mondiale de propagation des ransomwares. Selon les estimations d'ESET, c'est l'Ukraine qui a le plus souffert de l'infection, où la propagation du virus a commencé. L'Italie occupe la deuxième place parmi les pays touchés et Israël, la troisième. Parmi les dix premiers figurent également la Serbie, la Hongrie, la Roumanie, la Pologne, l'Argentine, la République tchèque et l'Allemagne. La Russie en cette liste ne prend que la 14ème place.
Petya, comme WannaCry, crypte toutes les données d'un ordinateur et vous oblige à payer 300 $ en Bitcoin. Dans un premier temps, les experts ont conclu que Petya utilisait les mêmes failles de sécurité que son prédécesseur : des informations les concernant ont été volées aux services de renseignement américains au printemps. Cependant, les dernières données montrent : nouveau virus plus complexe et cible les ordinateurs, en contournant les correctifs publiés par Microsoft.
En Russie, le virus a attaqué entre autres réseaux informatiques Bachneft et Rosneft. La veille, les sites Internet des deux sociétés ne répondaient plus aux demandes. Le portail Rosneft a déjà repris ses activités, Bashneft n'était pas disponible au moment de la publication de l'article.
Au départ, Rosneft soupçonnait que l'un des objectifs des cybercriminels pourrait être la destruction des fichiers de Bashneft importants pour le procès impliquant l'entreprise. Cependant, toutes les informations précieuses ont déjà été restaurées, a déclaré à Business FM le vice-président et chef du département de l'information. compagnie pétrolière Mikhaïl Léontiev.
Mikhaïl Léontiev, attaché de presse et vice-président de Rosneft
"Bashneft" est généralement sorti de cette situation relativement sans pertes, car les systèmes de protection y fonctionnaient et il y avait probablement plus d'autonomie. Je ne suis pas un informaticien, mais il y avait juste des rumeurs selon lesquelles il y avait des problèmes individuels chez Bashneft, ce n'est pas vrai. En général, tout a été conservé, il y avait sauvegardes, Tout va bien. Nous avons certaines conséquences dans tout notre système, nous les éliminons, mais avec Bashneft, elles sont les plus minimes, je veux vous rassurer - ou contrarier quelqu'un.»
Aux États-Unis, une enquête a été ouverte sur la propagation du virus Petya. Selon Reuters, des citoyens américains figuraient parmi ses victimes. Le Département américain de la Sécurité intérieure a déclaré qu'il travaillait avec d'autres pays pour conseiller aux victimes du virus de ne pas payer les extorsionnistes, car cela ne garantit pas le rétablissement de l'accès à l'ordinateur.
Pendant ce temps, Symantec a démontré une méthode de protection contre le virus. Selon l'entreprise, lorsqu'il est infecté, le virus recherche la présence de fichier spécifique. Si vous créez manuellement à l'avance un fichier avec un nom spécifique, le virus considère que l'ordinateur est déjà infecté et cesse de fonctionner.
L'un des principaux intervenants du Positive Hack Days 9 sera le célèbre chercheur en sécurité des réseaux GSM, Karsten Nohl. Durant ses années d'études, il était connu comme membre de la communauté Chaos Computer Club ; aujourd'hui Carsten est un expert dans le domaine du cryptage et de la sécurité des données. Remet en question et réfute souvent les idées conventionnelles sur la propriété logiciel. Dans son travail, elle s'appuie sur Reliance Jio, l'entreprise à la croissance la plus rapide au monde.
Karsten a fait connaître sa présence pour la première fois en 2009, lorsqu'il a réussi à déchiffrer l'algorithme de codage des données dans Réseaux GSM. Lors du Chaos Communication Congress à Berlin, il a été le premier à démontrer publiquement le processus de piratage.
En 2013, il a découvert une vulnérabilité dans les cartes SIM, contenue dans l'algorithme de cryptage DES (Data Encryption Standard), utilisé par de nombreux fabricants et pris en charge par des millions de cartes SIM. L'essence de l'attaque était d'envoyer au téléphone message spécial, l'appareil l'a accepté comme SMS de l'opérateur et a émis une signature cryptographique dans le message de réponse. Après avoir reçu cela, l'attaquant pourrait écouter les conversations du propriétaire du téléphone, intercepter les SMS et effectuer des paiements. Il ne faudrait que quelques minutes à un attaquant pour pirater un téléphone.
Avec Jakob Lell, chercheur Société de sécurité Research Labs, Karsten a signalé la vulnérabilité en 2014 Périphériques USB. Avec son aide, les attaquants pourraient pirater le microcontrôleur et acquérir la possibilité de contrôler l’ordinateur de la victime. La méthode s'appelle BadUSB. La même année, lors du Chaos Communication Congress, Carsten Nohl et le chercheur Tobias Engel ont décrit de graves vulnérabilités dans SS7 qui permettent aux attaquants d'intercepter facilement conversations téléphoniques et les messages SMS, même si réseaux cellulaires le plus utilisé normes modernes chiffrement. Tous les téléphones et smartphones sont vulnérables, quel que soit le système d’exploitation.
L'année dernière, Carsten Nohl et Jakob Lell ont partagé les résultats d'une étude de deux ans lors de la conférence Hack In The Box au cours de laquelle ils ont examiné la composition des mises à jour de sécurité publiées par les plus grands fabricants d'appareils Android. Cela a montré que beaucoup grands fabricants Ils ne font que donner l’impression que des correctifs sont publiés, mais en réalité de nombreux bugs ne sont pas corrigés.
Lors du PHDays 9, qui aura lieu les 21 et 22 mai 2019, Karsten Nohl fera une présentation « Ce qu'il y a sous l'iceberg : parlons des vraies cybermenaces ». Une analyse globale des données sur le niveau de sécurité de milliers d'entreprises issues de dizaines de secteurs montre à quel point il est difficile pour la plupart des organisations d'intégrer principes de base sécurité. Karsten discutera avec les participants du forum de ce qui devrait réellement intéresser une société qui s'efforce de garantir la sécurité de l'information.
Alors maintenant, un nouveau virus est apparu.
De quel type de virus s’agit-il et faut-il en avoir peur ?
Voici à quoi cela ressemble sur un ordinateur infecté
Un virus appelé mbr locker 256 (qui s'appelle Petya sur le moniteur) a attaqué les serveurs d'entreprises russes et ukrainiennes.
Il verrouille les fichiers sur votre ordinateur et les crypte. Les pirates exigent 300 $ en bitcoins pour le déverrouillage.
MBR– c'est le principal enregistrement de démarrage, le code requis pour le chargement ultérieur du système d'exploitation. Il est situé dans le premier secteur de l'appareil.
Après la mise sous tension de l'ordinateur, la procédure POST se déroule, testant Matériel, puis le BIOS charge le MBR dans RAMà l'adresse 0x7C00 et lui transfère le contrôle.
Ainsi, le virus pénètre dans l’ordinateur et infecte le système. Il existe de nombreuses modifications du malware.
Il travaille sous Contrôle Windows, tout comme le malware précédent.
Qui a déjà souffert
ukrainien et Entreprises russes. Voici une partie de la liste complète :
De nombreuses entreprises ont rapidement repoussé l’attaque, mais toutes n’y sont pas parvenues. Pour cette raison, certains serveurs ne fonctionnent pas.
Les banques ne peuvent pas effectuer un certain nombre de transactions monétaires. Les aéroports reportent ou retardent les vols. Le métro ukrainien n'acceptait les paiements sans contact qu'à 15h00.
Quant au matériel de bureau et aux ordinateurs, ils ne fonctionnent pas. Dans le même temps, il n’y a aucun problème avec le système énergétique ou l’approvisionnement en énergie. Cela n'a affecté que ordinateurs de bureau(travaille pour Plateforme Windows). On nous a donné l'ordre d'éteindre les ordinateurs. - Ukrenergo
Les opérateurs se plaignent d'avoir également souffert. Mais en même temps, ils essaient de travailler pour les abonnés comme d'habitude.
Comment se protéger de Petya.A
Pour vous en protéger, vous devez fermer les ports TCP 1024-1035, 135 et 445 sur votre ordinateur. C'est assez simple à faire :
Étape 1. Ouvrez le pare-feu.
Étape 2. Sur le côté gauche de l'écran, accédez à « Règles pour les connexions entrantes ».
Étape 3. Sélectionnez « Créer une règle » -> « Pour le port » -> « Protocole TCP" -> "Ports locaux spécifiques".
Étape 4. Nous écrivons « 1024-1035, 135, 445 », sélectionnons tous les profils, cliquons partout sur « Bloquer la connexion » et « Suivant ».
Étape 5. Nous répétons les étapes pour les connexions sortantes.
Eh bien, deuxièmement, mettez à jour votre antivirus. Les experts rapportent que mises à jour nécessaires sont déjà apparus dans les bases de données de logiciels antivirus.
La société Rosneft a été victime d'une puissante attaque de pirate informatique, comme le rapporte son Twitter.
« Une puissante attaque de hacker a été menée sur les serveurs de l’entreprise. Nous espérons que cela n’a rien à voir avec les procédures judiciaires en cours », indique le communiqué. Le site Internet de Rosneft n'était pas disponible au moment de la publication de la note.
La compagnie pétrolière a indiqué avoir contacté les autorités chargées de l'application des lois à propos de l'incident. Grâce à l'action rapide des services de sécurité, le travail de Rosneft n'a pas été perturbé et se poursuit normalement.
« Une attaque de pirate informatique aurait pu avoir de graves conséquences, mais grâce au fait que l'entreprise soit passée à système de sauvegarde gestion processus de production, ni la production ni la préparation du pétrole n'ont été arrêtées », ont déclaré les représentants de l'entreprise au correspondant de Gazeta.Ru.
Ils ont prévenu que toute personne diffusant de fausses informations « sera considérée comme complice des organisateurs de l’attaque et sera tenue pour responsable avec eux ».
De plus, les ordinateurs de la société Bashneft ont été infectés, ont-ils rapporté. "Vedomosti". Le virus ransomware, comme le tristement célèbre WannaCry, a bloqué toutes les données informatiques et exige qu'une rançon en bitcoins équivalente à 300 $ soit transférée aux criminels.
Malheureusement, ce ne sont pas les seules victimes d'une attaque de pirate informatique à grande échelle - la chaîne Cybersecurity and Co. Telegram. rapporte un cyberpiratage de Mondelez International (marques Alpen Gold et Milka), Oschadbank, Mars, Nova Poshta, Nivea, TESA et d'autres sociétés.
L'auteur de la chaîne, Alexander Litreyev, a déclaré que le virus s'appelle Petya.A et qu'il est très similaire à WannaCry, qui a infecté plus de 300 000 ordinateurs dans le monde en mai de cette année. Petya.A est incroyable Disque dur et chiffre la table de fichiers maître (MFT). Selon Litreev, le virus a été distribué dans des e-mails de phishing contenant des pièces jointes infectées.
DANS Blog Kaspersky Lab a publié une publication contenant des informations sur la manière dont l'infection se produit. Selon l'auteur, le virus se propage principalement par l'intermédiaire des responsables RH, puisque les lettres sont déguisées en message d'un candidat à un poste particulier.
« Un spécialiste RH reçoit un faux e-mail contenant un lien vers Dropbox, censé permettre d'accéder et de télécharger un « CV ». Mais le fichier sur le lien n'est pas inoffensif document texte, mais une archive auto-extractible avec l'extension .EXE », explique l'expert.
Après avoir ouvert le fichier, l'utilisateur voit " écran bleu mort", après quoi Petya.A bloque le système.
Les spécialistes du Groupe-IB ont déclaré à Gazeta.Ru que le chiffreur Petya avait récemment été utilisé par le groupe Cobalt pour masquer les traces d'une attaque ciblée contre les institutions financières.
Encore des hackers russes
L'Ukraine a été la plus durement touchée par le virus Petya.A. Parmi les victimes figurent Zaporozhyeoblenergo, Dneproenergo, le métro de Kiev, l'Ukrainien opérateurs mobiles Kyivstar, LifeCell et Ukrtelecom, magasin Auchan, Privatbank, aéroport de Boryspil et d'autres organisations et structures.
Au total, plus de 80 entreprises ont été attaquées en Russie et en Ukraine.
Anton Gerashchenko, membre de la Rada ukrainienne du Front populaire et membre du conseil d'administration du ministère de l'Intérieur, a déclaré que les services spéciaux russes étaient responsables de la cyberattaque.
"Par information préliminaire, il s'agit d'un système organisé par les services de renseignement russes. Les cibles de cette cyberattaque sont les banques, les médias, Ukrzaliznytsia, Ukrtelecom. Le virus est arrivé sur les ordinateurs pendant plusieurs jours, voire semaines, sous la forme de différents types de messages électroniques ; les utilisateurs qui ouvraient ces messages permettaient au virus de se propager sur tous les ordinateurs. C’est un autre exemple de l’utilisation de cyberattaques dans une guerre hybride contre notre pays », a déclaré Gerashchenko.
Attaque Virus rançongiciel WannaCry s’est produit à la mi-mai 2017 et a paralysé le travail de plusieurs entreprises internationales à travers le monde. Les dommages causés à la communauté mondiale par des Virus WannaCry, évalué à 1 milliard de dollars.
Le malware a exploité une vulnérabilité dans la salle d'opération Système Windows, a bloqué l'ordinateur et a exigé une rançon. La propagation du virus a été stoppée par accident par un programmeur britannique - il s'est enregistré Nom de domaine, auquel le programme a accédé.
Malgré le fait que la cyberattaque WannaCry ait eu une ampleur planétaire, au total, seuls 302 cas de paiement de rançons ont été enregistrés, grâce auxquels les pirates ont pu gagner 116 000 dollars.