Le virus ransomware a attaqué les ordinateurs de dizaines d'entreprises en Russie et en Ukraine, paralysant entre autres le travail des agences gouvernementales, et a commencé à se propager dans le monde entier.
En Fédération de Russie, les victimes Virus Petya- cloner Le rançongiciel WannaCry, qui a fait son apparition sur les ordinateurs du monde entier en mai, est devenu Bashneft et Rosneft.
Tous les ordinateurs de Bashneft sont infectés par le virus, a déclaré à Vedomosti une source de l'entreprise. Le virus crypte les fichiers et demande une rançon de 300 $ sur un portefeuille Bitcoin.
"Le virus a initialement désactivé l'accès au portail, au Messagerie Skype pour les entreprises, pour MS Exchange, nous avons pensé que c'était simple panne de réseau, puis l'ordinateur a redémarré avec une erreur. "Décédé" Disque dur, le prochain redémarrage affichait déjà un écran rouge », a déclaré la source.
Presque simultanément, Rosneft a annoncé une « puissante attaque de pirate informatique » sur ses serveurs. Les systèmes informatiques et la gestion de la production ont été transférés en capacité de réserve, l'entreprise opère en mode normal, et « les distributeurs de messages faux et de panique seront tenus pour responsables ainsi que les organisateurs » attaque de pirate informatique", a déclaré à TASS le secrétaire de presse de l'entreprise Mikhaïl Léontiev.
Les sites Internet de Rosneft et Bashneft ne fonctionnent pas.
L'attaque a été enregistrée vers 14 heures, heure de Moscou, parmi les victimes figuraient ce moment 80 entreprises. Outre les travailleurs du pétrole, des représentants de Mars, Nivea et Mondelez International (fabricant du chocolat Alpen Gold) ont été touchés, a rapporté Group-IB, qui prévient et enquête sur la cybercriminalité.
L'entreprise métallurgique Evraz et la banque Home Credit, qui a été contrainte de suspendre le travail de toutes ses succursales, ont également signalé une attaque contre leurs ressources. Selon RBC, au moins 10 banques russes ont contacté mardi des spécialistes de la cybersécurité à propos de l'attaque.
En Ukraine, le virus a attaqué les ordinateurs du gouvernement, les magasins Auchan, Privatbank, les opérateurs télécoms Kyivstar, LifeCell et Ukrtelecom.
L'aéroport de Boryspil, le métro de Kiev, Zaporojieoblenergo, Dneproenergo et le système électrique du Dniepr ont été attaqués.
La centrale nucléaire de Tchernobyl est passée à la surveillance radiologique du site industriel en mode manuel En raison d'une cyberattaque et d'un arrêt temporaire du système Windows, Interfax a été informé par le service de presse de l'Agence nationale pour la gestion des zones d'exclusion.
Le virus ransomware touché un grand nombre de pays du monde entier, a déclaré Costin Raiu, chef de la division de recherche internationale de Kaspersky Lab, sur son compte Twitter.
Selon lui, dans nouvelle version le virus, apparu le 18 juin de cette année, est faux signature numérique Microsoft.
À 18h05, heure de Moscou, la compagnie maritime danoise A.P. a annoncé une attaque contre ses serveurs. Moller-Maersk. Outre la Russie et l'Ukraine, les utilisateurs du Royaume-Uni, de l'Inde et de l'Espagne ont été touchés, a rapporté Reuters, citant l'Agence. technologies de l'information Gouvernement suisse.
La directrice générale du groupe InfoWatch, Natalya Kasperskaya, a expliqué à TASS que le virus de cryptage lui-même est apparu il y a plus d'un an. Il est distribué principalement via des messages de phishing et constitue une version modifiée du système précédemment connu. malware. "Il s'est associé à un autre virus ransomware Misha, qui disposait de droits d'administrateur. Il s'agissait d'une version améliorée, d'un crypteur de sauvegarde", a déclaré Kasperskaya.
Selon elle, surmonter rapidement l'attaque de mai Le rançongiciel WannaCry réussi en raison d’une vulnérabilité du virus. « Si le virus ne présente pas une telle vulnérabilité, il sera alors difficile de le combattre », a-t-elle ajouté.
Une cyberattaque à grande échelle utilisant le virus ransomware WannaCry, qui a touché plus de 200 000 ordinateurs dans 150 pays, a eu lieu le 12 mai 2017.
WannaCry crypte les fichiers des utilisateurs et nécessite un paiement en Bitcoin équivalent à 300 $ pour les décrypter.
En Russie, en particulier, les systèmes informatiques du ministère de l'Intérieur, du ministère de la Santé, de la commission d'enquête, de la société des chemins de fer russes, des banques et des opérateurs de téléphonie mobile ont été attaqués.
Selon le Centre britannique de cybersécurité (NCSC), qui dirige l'enquête internationale sur l'attaque du 12 mai, des pirates informatiques nord-coréens du groupe Lazarus, lié au gouvernement, en seraient à l'origine.
Basé sur des documents médiatiques
Le 27 juin, le monde a été victime d'une autre attaque de pirate informatique : un virus au nom moqueur et frivole de Petya a bloqué des ordinateurs dans de nombreux pays, exigeant 300 dollars pour récupérer l'accès aux bases de données de l'entreprise. Après avoir collecté environ 8 000 personnes, "Petya" s'est calmé, laissant cependant beaucoup de questions.
Le plus urgent, bien sûr, est de savoir qui, d’où ? Selon le magazine Fortune, une publication faisant autorité, « Petya » nous est venu d'Ukraine. La cyberpolice allemande et, de manière caractéristique, la cyberpolice ukrainienne sont également enclines au même point de vue. "Petya" est sorti Grand monde des entrailles de la société ukrainienne "Intellect-Service" - un développeur personnalisé d'une grande variété de logiciels.
Le plus gros client de l’entreprise est notamment l’opérateur ukrainien communications cellulaires Vodafone, mieux connu sous le nom de « MTS Ukraine », c'est ainsi qu'il s'appelait jusqu'en 2015. En général, MTS est un actif clé de la société AFK Sistema, propriété du célèbre Vladimir Yevtushenkov. L’homme d’affaires n’a-t-il pas participé au développement et au lancement de Petit ?
Selon Versiya, c'est plus que probable. "Petya" a pris sa "grande route" juste avant la réunion du tribunal d'arbitrage du Bachkortostan, qui a examiné les réclamations de Rosneft contre AFK Sistema, l'ancien propriétaire de Bashneft, qui a été transféré à la plus grande compagnie pétrolière nationale. . Selon Rosneft, avec leur direction, Evtouchenkov et sa haute direction ont causé à Bashneft des pertes de 170 milliards de roubles, compensation pour laquelle ils réclament devant le tribunal.
Le tribunal est d'ailleurs enclin à croire le nouveau propriétaire, car il a déjà saisi 185 milliards de roubles appartenant à l'ancien, dont, soit dit en passant, 31,76 % des actions de MTS. En conséquence, l’état d’Evtouchenkov a « dépéri » de près de moitié et les nerfs de l’homme d’affaires ont commencé à faiblir de plus en plus souvent. Quelle est la valeur d'un faux accord de règlement venu de nulle part au tribunal - il s'est avéré que le demandeur ne l'a jamais vu, et encore moins signé.
Si les lettres anonymes n’ont pas abouti, la prochaine étape logique consiste à cacher les preuves des actes douteux de l’accusé qui lui sont reprochés. Et ces preuves sont stockées dans les ordinateurs de Bashneft, qui ont été transférés avec tous ses autres biens à Rosneft. Il ne faut donc pas se moquer de "Petya" - ses créateurs ne voulaient pas "gagner de l'argent facilement", mais régler les problèmes.
Et, en général, le calcul n’était pas mauvais. Et la société ukrainienne n'a pas été choisie par hasard : où, sinon en Ukraine, toutes les enquêtes officielles resteront-elles bloquées et la collecte de preuves aboutira-t-elle à une impasse ? Et le système informatique de Rosneft a été ébranlé par une attaque de pirate informatique, mais, grâce au système Copie de réserve, a quand même survécu, quoi qu'il arrive ancien propriétaire il ne pouvait compter sur rien - il s'attendait probablement à ce que le système de cyberdéfense de son adversaire soit plein de failles, comme c'était le cas à Bashneft à l'époque d'AFK Sistema.
C’est probablement la raison pour laquelle les auteurs de l’attaque se sont empressés de répandre des rumeurs selon lesquelles Rosneft aurait dû suspendre sa production. Non, la production ne s'est pas arrêtée, mais ces rumeurs indiquent une fois de plus que les créateurs de « Petit » s'y intéressaient beaucoup. Et aujourd’hui, discréditer Rosneft est le premier point à l’ordre du jour des structures de Vladimir Yevtouchenkov.
Détails
Fermer
À l'initiative de la Garde russe visant à durcir les sanctions contre les particuliers illégaux activités de sécurité Le plus intéressant n’est pas les sanctions proposées, mais l’objet de la force clairement défini par le plus jeune service de renseignement russe. En fait, il est prévu de déclarer une véritable guerre à une armée diversifiée de gardiens et d’administrateurs.
Dans l'après-midi du 27 juin, Rosneft a signalé une attaque de pirate informatique sur ses serveurs. Dans le même temps, des informations sont apparues concernant une attaque similaire contre les ordinateurs de Bashneft, Ukrenergo, Kyivenergo et un certain nombre d'autres sociétés et entreprises.
Le virus verrouille les ordinateurs et extorque de l’argent aux utilisateurs, il est similaire à .
Une puissante attaque de hacker a été menée sur les serveurs de la Société. Nous espérons que cela n’a rien à voir avec des procédures judiciaires en cours.
En réponse à la cyberattaque, la Société a contacté les forces de l'ordre.
– PJSC NK Rosneft (@RosneftRu) 27 juin 2017
Une source proche d'une des structures de l'entreprise note que tous les ordinateurs de la raffinerie de Bashneft, de l'extraction de Bashneft et de la direction de Bashneft « ont redémarré d'un coup, après quoi ils ont téléchargé un fichier non identifié. logiciel et affiché l'écran de démarrage du virus WannaCry. " Sur l'écran, les utilisateurs étaient invités à transférer 300 $ en bitcoins via adresse spécifiée, après quoi les utilisateurs recevront par e-mail une clé pour déverrouiller leur ordinateur. Le virus, à en juger par la description, a crypté toutes les données sur les ordinateurs des utilisateurs."Vedomosti"
« La Banque nationale d'Ukraine a mis en garde les banques et les autres acteurs du secteur financier contre une attaque informatique externe par un virus inconnu contre plusieurs banques ukrainiennes, ainsi que contre certaines entreprises des secteurs commercial et public, qui se produit aujourd'hui.En raison de ces cyberattaques, ces banques ont des difficultés à servir leurs clients et à effectuer des transactions bancaires.
Banque nationale d'Ukraine
Les systèmes informatiques de la société énergétique de la capitale Kyivenergo ont été victimes d'une attaque de pirate informatique, a déclaré la société à Interfax-Ukraine."Nous avons été victimes d'une attaque de pirate informatique. Il y a deux heures, nous avons été obligés d'éteindre tous les ordinateurs, nous attendons l'autorisation du service de sécurité pour les allumer", a déclaré Kievenergo.
À son tour, NEC Ukrenergo a déclaré à l'agence Interfax-Ukraine que l'entreprise avait également rencontré des problèmes dans son travail. systèmes informatiques, mais ils ne sont pas critiques.
"Il y a eu quelques problèmes avec le fonctionnement des ordinateurs. Mais dans l'ensemble, tout est stable et contrôlé. Des conclusions sur l'incident peuvent être tirées sur la base des résultats d'une enquête interne", a noté l'entreprise.
"Interfax-Ukraine"
Les réseaux d'Ukrenergo et de DTEK, les plus grandes sociétés énergétiques ukrainiennes, ont été infectés par une nouvelle forme de ransomware rappelant WannaCry. TJ en a été informé par une source au sein de l'une des entreprises qui a été directement confrontée à l'attaque du virus.Selon la source, dans l'après-midi du 27 juin, son ordinateur au travail a redémarré, après quoi le système aurait commencé à vérifier disque dur. Après cela, il a vu qu'une chose similaire se passait sur tous les ordinateurs du bureau : « J'ai réalisé qu'une attaque était en cours, j'ai éteint mon ordinateur, et quand je l'ai allumé, il y avait déjà un message rouge concernant Bitcoin et argent."
Les ordinateurs du réseau de la société de solutions logistiques Damco sont également concernés. Tant dans les divisions européennes que russes. La propagation de l’infection est très large. On sait qu'à Tioumen, par exemple, tout est également foutu.Mais revenons au sujet de l'Ukraine : presque tous les ordinateurs des systèmes électriques de Zaporozhyeoblenergo, Dneproenergo et Dniepr sont également bloqués. attaque de virus.
Pour être clair, il ne s’agit pas de WannaCry, mais d’un malware au comportement similaire.
Raffinerie Rosneft Ryazan - le réseau a été éteint. Et aussi une attaque. Outre Rosneft/Bashneft, d'autres ont également été attaqués grandes entreprises. Des problèmes ont été signalés chez Mondelēz International, Oschadbank, Mars, Nova Poshta, Nivea, TESA et d'autres.
Le virus a été identifié - c'est Petya.A. Petya.A mange disques durs. Il crypte la table des fichiers maîtres (MFT) et extorque de l'argent pour le décryptage.
Le métro de Kiev a également été victime d'une attaque de pirate informatique. Les ordinateurs du gouvernement ukrainien, les magasins Auchan, les opérateurs ukrainiens (Kyivstar, LifeCell, UkrTeleCom) et PrivatBank ont été attaqués. Des informations font état d'une attaque similaire contre KharkovGaz. Selon administrateur du système, les machines avaient Windows 7 installé avec dernières mises à jour. Pavel Valerievich Rozenko, vice-Premier ministre ukrainien, a également été attaqué. L'aéroport de Boryspil aurait également été victime d'une attaque de pirate informatique.
Chaîne Telegram "Cybersécurité et Cie.
27 juin, 16h27 Au moins 80 entreprises russes et ukrainiennes ont été touchées par le virus Petya.A, a déclaré Valéry Baulin, représentant du Groupe-IB, spécialisé dans la détection précoce des cybermenaces.
"Selon nos données, plus de 80 entreprises en Russie et en Ukraine ont été touchées par l'attaque utilisant le virus de cryptage Petya.A", a-t-il déclaré. Baulin a souligné que l'attaque n'est pas liée à WannaCry.Pour arrêter la propagation du virus, il est nécessaire de fermer immédiatement les ports TCP 1024-1035, 135 et 445, a souligné le Groupe-IB.<...>
« Parmi les victimes de la cyberattaque figuraient les réseaux de Bashneft, Rosneft, les sociétés ukrainiennes Zaporozhyeoblenergo, Dneproenergo et le système électrique du Dniepr ; Mondelēz International, Oschadbank, Mars, Novaya Poshta, Nivea, TESA et d'autres ont également été bloqués par l'attaque virale. "Le métro de Kiev a également été victime d'une attaque de pirate informatique. Les ordinateurs du gouvernement de l'Ukraine, les magasins Auchan, les opérateurs ukrainiens (Kyivstar, LifeCell, UkrTeleCom), la banque privée ont été attaqués. L'aéroport de Boryspil aurait également été victime d'une attaque de pirate informatique", a déclaré le groupe. -IB souligne.
Les spécialistes du Groupe-IB ont également découvert que le ransomware Petya.A avait été récemment utilisé par le groupe Cobalt pour masquer les traces d'une attaque ciblée contre des institutions financières.
La société Rosneft s'est plainte d'une puissante attaque de pirate informatique sur ses serveurs. La société l'a annoncé dans son Twitter. « Une puissante attaque de hacker a été menée sur les serveurs de l’entreprise. Nous espérons que cela n’a rien à voir avec les procédures judiciaires en cours », indique le message.
"L'entreprise a contacté les forces de l'ordre au sujet de la cyberattaque." ça dit dans le message. L'entreprise a toutefois souligné qu'une attaque de pirate informatique pourrait avoir de graves conséquences, « grâce au fait que l'entreprise est passée à système de sauvegarde gestion processus de production, ni la production ni la préparation du pétrole n’ont été arrêtées. Un interlocuteur du journal Vedomosti, proche d'une des structures de l'entreprise, indique que tous les ordinateurs de la raffinerie Bashneft, de Bashneft-Dobyche et de la direction de Bashneft « ont redémarré en même temps, après quoi ils ont téléchargé les logiciels désinstallés et affiché un écran de démarrage du virus WannaCry. "
Sur l'écran, il était demandé aux utilisateurs de transférer 300 $ en bitcoins à une adresse spécifiée, après quoi ils recevraient prétendument une clé pour déverrouiller leur ordinateur par e-mail. Le virus, à en juger par la description, a crypté toutes les données sur les ordinateurs des utilisateurs.
Group-IB, qui prévient et enquête sur la cybercriminalité et la fraude, a identifié un virus qui a infecté compagnie pétrolière, a déclaré la société à Forbes. Nous parlons du virus de cryptage Petya, qui n'a pas seulement attaqué Rosneft. Spécialistes du Groupe-IB. a découvert qu'environ 80 entreprises en Russie et en Ukraine ont été attaquées : les réseaux de Bashneft, Rosneft, les entreprises ukrainiennes Zaporozhyeoblenergo, Dneproenergo et le système électrique du Dniepr, Mondelēz International, Oschadbank, Mars, Nova Poshta, Nivea, TESA et d'autres. Le métro de Kiev a également été victime d'une attaque de pirate informatique. Les ordinateurs du gouvernement ukrainien, les magasins Auchan, les opérateurs ukrainiens (Kyivstar, LifeCell, UkrTeleCom) et PrivatBank ont été attaqués. L'aéroport de Boryspil aurait également été victime d'une attaque de pirate informatique.
Le virus se propage soit de manière malveillante, soit via des listes de diffusion : les employés de l'entreprise ont ouvert des pièces jointes malveillantes dans des e-mails. E-mail. En conséquence, l’ordinateur de la victime a été bloqué et le MFT (table de fichiers NTFS) a été crypté de manière sécurisée, explique un représentant du Groupe-IB. Dans le même temps, le nom du programme ransomware n'est pas indiqué sur l'écran de verrouillage, ce qui complique le processus de réponse à la situation. Il convient également de noter que Petya utilise un algorithme de cryptage puissant et n'a pas la capacité de créer un outil de décryptage. Le ransomware demande 300 $ en bitcoins. Les victimes ont déjà commencé à transférer de l’argent vers le portefeuille des attaquants.
Les spécialistes du Groupe-IB ont découvert que récemment version modifiée Le rançongiciel Petya « PetrWrap » a été utilisé par le groupe Cobalt pour masquer les traces d'une attaque ciblée contre des institutions financières. Le groupe criminel Cobalt est connu pour avoir attaqué avec succès des banques dans le monde entier : Russie, Grande-Bretagne, Pays-Bas, Espagne, Roumanie, Biélorussie, Pologne, Estonie, Bulgarie, Géorgie, Moldavie, Kirghizistan, Arménie, Taïwan et Malaisie. Cette structure est spécialisée dans les attaques (logiques) sans contact contre les distributeurs automatiques. Outre les systèmes de contrôle des guichets automatiques, les cybercriminels tentent d'accéder aux systèmes de transfert interbancaire (SWIFT), aux passerelles de paiement et au traitement des cartes.
La société Rosneft a été victime d'une puissante attaque de pirate informatique, comme le rapporte son Twitter.
« Une puissante attaque de hacker a été menée sur les serveurs de l’entreprise. Nous espérons que cela n’a rien à voir avec les procédures judiciaires en cours », indique le communiqué. Le site Internet de Rosneft n'était pas disponible au moment de la publication de la note.
La compagnie pétrolière a indiqué avoir contacté les autorités chargées de l'application des lois à propos de l'incident. Grâce à l'action rapide des services de sécurité, le travail de Rosneft n'a pas été perturbé et se poursuit normalement.
"Une attaque de pirate informatique pourrait avoir de graves conséquences, mais du fait que l'entreprise a opté pour un système de sauvegarde pour la gestion des processus de production, ni la production ni la préparation du pétrole n'ont été arrêtées", ont déclaré des représentants de l'entreprise au correspondant de Gazeta.Ru.
Ils ont prévenu que toute personne diffusant de fausses informations « sera considérée comme complice des organisateurs de l’attaque et sera tenue pour responsable avec eux ».
De plus, les ordinateurs de la société Bashneft ont été infectés, ont-ils rapporté. "Vedomosti". Le virus ransomware, comme le tristement célèbre WannaCry, a bloqué toutes les données informatiques et exige qu'une rançon en bitcoins équivalente à 300 $ soit transférée aux criminels.
Malheureusement, ce ne sont pas les seules victimes d'une attaque de pirate informatique à grande échelle - la chaîne Cybersecurity and Co. Telegram. rapporte un cyberpiratage de Mondelez International (marques Alpen Gold et Milka), Oschadbank, Mars, Nova Poshta, Nivea, TESA et d'autres sociétés.
L'auteur de la chaîne, Alexander Litreyev, a déclaré que le virus s'appelle Petya.A et qu'il est très similaire à WannaCry, qui a infecté plus de 300 000 ordinateurs dans le monde en mai de cette année. Petya.A attaque le disque dur et crypte la table des fichiers maîtres (MFT). Selon Litreev, le virus a été distribué dans des e-mails de phishing contenant des pièces jointes infectées.
DANS Blog Kaspersky Lab a publié une publication contenant des informations sur la manière dont l'infection se produit. Selon l'auteur, le virus se propage principalement par l'intermédiaire des responsables RH, puisque les lettres sont déguisées en message d'un candidat à un poste particulier.
« Un spécialiste RH reçoit un faux e-mail contenant un lien vers Dropbox, censé permettre d'accéder et de télécharger un « CV ». Mais le fichier sur le lien n'est pas inoffensif document texte, mais une archive auto-extractible avec l'extension .EXE », explique l'expert.
Après avoir ouvert le fichier, l'utilisateur voit " écran bleu mort", après quoi Petya.A bloque le système.
Les spécialistes du Groupe-IB ont déclaré à Gazeta.Ru que le chiffreur Petya avait récemment été utilisé par le groupe Cobalt pour masquer les traces d'une attaque ciblée contre les institutions financières.
Encore des hackers russes
L'Ukraine a été la plus durement touchée par le virus Petya.A. Parmi les victimes figurent Zaporozhyeoblenergo, Dneproenergo, le métro de Kiev, l'Ukrainien opérateurs mobiles Kyivstar, LifeCell et Ukrtelecom, magasin Auchan, Privatbank, aéroport de Boryspil et d'autres organisations et structures.
Au total, plus de 80 entreprises ont été attaquées en Russie et en Ukraine.
Anton Gerashchenko, membre de la Rada ukrainienne du Front populaire et membre du conseil d'administration du ministère de l'Intérieur, a déclaré que les services spéciaux russes étaient responsables de la cyberattaque.
"Par information préliminaire, il s'agit d'un système organisé par les services de renseignement russes. Les cibles de cette cyberattaque sont les banques, les médias, Ukrzaliznytsia, Ukrtelecom. Le virus est arrivé sur les ordinateurs pendant plusieurs jours, voire semaines, sous la forme de différents types de messages électroniques ; les utilisateurs qui ouvraient ces messages permettaient au virus de se propager sur tous les ordinateurs. C’est un autre exemple de l’utilisation de cyberattaques dans une guerre hybride contre notre pays », a déclaré Gerashchenko.
Attaque Virus rançongiciel WannaCry s’est produit à la mi-mai 2017 et a paralysé le travail de plusieurs entreprises internationales à travers le monde. Les dommages causés à la communauté mondiale par le virus à grande échelle WannaCry ont été estimés à 1 milliard de dollars.
Le malware a exploité une vulnérabilité dans système opérateur Windows a bloqué l'ordinateur et a exigé une rançon. La propagation du virus a été stoppée par accident par un programmeur britannique - il s'est enregistré Nom de domaine, auquel le programme a accédé.
Malgré le fait que la cyberattaque WannaCry ait eu une ampleur planétaire, au total, seuls 302 cas de paiement de rançons ont été enregistrés, grâce auxquels les pirates ont pu gagner 116 000 dollars.