Новости о хакерских взломах и атаках

[satvitek]

Хакер, взломавший Yahoo, может выйти под залог

В понедельник, Канадский апелляционный суд сообщил о готовности пересмотреть решение относительно возможного залога для Карима Баратова, обвиняемого властями США во взломе почтовых учетных записей Yahoo.

Уроженец Казахстана и гражданин Канады был арестован в марте текущего года по обвинению в несанкционированном доступе как минимум к 80 почтовым ящикам и получении вознаграждения за эти действия от российской разведки. Баратов обвиняется в сговоре с Дмитрием Докучаевым и организации взлома учетных записей Yahoo, принадлежащих российским чиновникам.

В апреле судья отказал Кариму Баратову в залоге из-за высокой вероятности подозреваемого покинуть страну.

Адвокат Баратова сообщил СМИ, что его подзащитный играл весьма ограниченную роль в операции, взломав всего 7 почтовых аккаунтов и получил за это вознаграждение в размере $104 на свой PayPal-кошелек.

В деле о взломе учетных записей Yahoo, инициированном Министерством юстиций США, фигурирует 4 человека - Дмитрий Докучаев, Игорь Сущин, Алексей Белан и Карим Баратов. По версии американских следователей, эти люди в 2014 году получили незаконный доступ к 500 млн учетных записей Yahoo и использовали их для чтения переписки журналистов, а также российских и американских чиновников.

[satvitek]

Подлодки с ракетами Trident уязвимы к кибератакам

Согласно отчету лондонской научной организации British American Security Information Council (BASIC), размещенные на подводных лодках баллистические ракеты Trident уязвимы к кибератакам. Как сообщается в документе под названием «Hacking UK Trident, A Growing Threat», подобные атаки могут повлечь за собой «катастрофические» последствия, в том числе человеческие жертвы.

По мнению военных, Trident защищены от хакерских атак с помощью физической изоляции, однако ученые с этим не согласны. Во время нахождения подлодки в море при обычных обстоятельствах ракеты действительно неуязвимы к вредоносному ПО, однако оно может попасть в системы в другое время, например, при прохождении техобслуживания на военно-морской базе.

На подлодках используется та же ОС Windows, что и в Министерстве внутренней безопасности США, пострадавшем от недавних атак с использованием вымогательского ПО WannaCry. Авторы отчета описывают несколько векторов атак на Trident, способных сорвать операции и поставить под угрозу человеческие жизни. Тем не менее, как отмечают исследователи, для эксплуатации уязвимостей в удаленных подсистемах подлодок потребуется много ресурсов и навыков.

Trident («Трайдент») – семейство американских трехступенчатых баллистических ракет, размещаемых на подводных лодках.

[satvitek]

У США арештували підрядника АНБ за витік секретної інформації про кібератаку РФ

У США за звинуваченням у викраденні та передачі ЗМІ секретних документів заарештована співробітниця компанії, яка виконувала роботу для Агентства національної безпеки країни (АНБ) Ріаліті Лі Віннер.

Про це повідомляє CNN.

Згідно із федеральною скаргою, 25-річна Віннер, підрядник Pluribus International Corporation з Джорджії, звинувачується у тому, що вона винесла секретні матеріали з урядового об'єкта та передала їх журналістам.

За даними джерел CNN, документ, який передала Віннер, був використаний порталом Intercept, який у понеділок опублікував секретну доповідь Агентства національної безпеки про передбачуване втручання Росії в президентські вибори в США.

Доповідь АНБ від 5 травня містить детальну інформацію про спробу російських служб військової розвідки вчинити у 2016 році кібератаку на одного із постачальників програмного забезпечення для системи голосування перед президентськими виборами в США. Проте у документі не було інформації щодо того, чи зусилля хакерів увінчалися успіхом.

Американський чиновник підтвердив CNN, що документ, опублікований Intercept, є справжнім та належить до секретних документів АНБ.

Повідомляється, що Віннер загрожує до 10 років в'язниці за витік секретної інформації.

[satvitek]

Интернет вещей станет еще более уязвимым для кибератак

Глобальная кибератака WannaCry показала, насколько уязвимы корпоративные ИТ-системы для хорошо подготовленных хакеров. При этом были атакованы защищенные системы, а совсем скоро в мире появятся десятки миллиардов устройств, многие из которых будут практически беззащитны перед злоумышленниками.

Больше устройств интернета вещей – шире возможности злоумышленников

По разным прогнозам через четыре года в мире будет насчитываться более 22 млрд устройств интернета вещей (ИВ), причем большинство из них будет с минимальной киберзащитой и без регулярных обновлений софта. Для хакеров ИВ представляет особый интерес, ведь даже простые DDoS-атаки становятся очень эффективными, если они осуществлены с помощью миллионов «спамящих» видеокамер, датчиков и прочих устройств интернета вещей.

По мнению системного инженера компании Fortinet Дмитрия Купецкого, в ближайшем будущем ИВ-оборудование будет подвергаться все большему количеству атак. Этому есть несколько основных причин.

«В современных условиях стремительно растет сама инфраструктура интернета вещей, увеличивается количество устройств, имеющих доступ к сетям общего пользования. Соответственно, вместе с этим растет число возможностей для злоумышленников, — отмечает эксперт. — При этом ИВ-устройства часто имеют ограниченные вычислительные ресурсы, устаревшее и уязвимое ПО без каких-либо средств защиты. Это облегчает процесс компрометации и взлома таких устройств.

Сегодня регулирующие органы не предъявляют производителям ИВ-оборудования жестких требований по обеспечению функций информационной безопасности. В итоге образуется сочетание очень широкого распространения интернета вещей, высокой уязвимости устройств и отсутствия четко регламентированных требований к их киберзащите. Не удивительно, что интернет вещей является привлекательным направлением для кибератак. При этом потенциально эти атаки уже в ближайшем будущем могут быть очень масштабными и разрушительными».

Как защитить устройства интернета вещей

Первый пример масштабной успешной DDoS-атаки с помощью ИВ датирован 2016 г., когда злоумышленникам удалось получить доступ к камерам наблюдения, детским мониторам и другим бытовым устройствам. Затем последовала DDoS-атака, которая на несколько часов блокировала доступ к крупным интернет-ресурсам, например, Twitter, Netflix и Facebook. На многих ИВ-устройствах даже не были сменены заводские пароли, что позволило злоумышленникам быстро перехватить управление и создать огромную бот-сеть.

К счастью, атака не затронула объекты критической инфраструктуры, такие как коммунальные сети или больницы. Но пример WannaCry показал, что это возможно. К тому же в пространстве интернета вещей появляются системы, отвечающие за физическую безопасность людей, например, автомобили-роботы, которых через три года на дорогах будет около 10 млн. Разумеется, автомобили будут защищены от кибератак, но злоумышленники наверняка будут искать уязвимости подключенных авто.

Если киберпреступникам удастся успешно осуществить несколько масштабных атак, доверие к ИВ может снизиться, что замедлит переход к новым более эффективным технологиям. Поэтому компании – разработчики систем киберзащиты, такие как Fortinet, уже сейчас создают инструменты обеспечения информационной безопасности интернета вещей.

[студент]

В США начался процесс над латвийским хакером

В американском городе Индианаполис предстал перед судом гражданин Латвии Петерис Сахуровс, входивший до недавнего времени в пятерку наиболее разыскиваемых ФБР киберпреступников (за информацию, способствующую его аресту, была назначена награда в 50 тысяч долларов). Сахуровс обвиняется в незаконном проникновении в компьютеры пользователей и создании масштабной схемы кибермошенничества. Вместе с сообщниками он учредил фиктивную маркетинговую компанию, приобретавшую на легитимных вебсайтах пространство для размещения баннеров сети американских отелей.

После покупки мошенники изменяли код баннеров, вследствие чего компьютеры пользователей, нажимавших на ссылки, инфицировались вредоносным ПО, замедлявшим, а иногда и блокировавшим работу устройств бесчисленными всплывающими окнами. Окна «добросовестно» уведомляли о заражении и настоятельно советовали пользователю за скромную сумму приобрести «антивирус», который решит проблему. В случае оплаты киберпреступники удаляли свое же вредоносное ПО, имитируя эффективность «антивируса». По оценкам Министерства юстиции США, эта мошенническая схема принесла Сахуровсу и его сообщникам более 2 миллионов долларов.

По обращению ФБР США Петериса Сахуровса арестовали в Латвии еще в 2011 году. Однако он был выпущен под залог до суда и сумел покинуть страну. Повторно он был арестован в 2016 году в Польше и экстрадирован в США.

[satvitek]

Фишинговый сайт PayPal запрашивал у пользователей селфи с паспортом

Исследователи из PhishMe сообщили о новой фишинговой кампании против пользователей PayPal. Злоумышленники заманивали потенциальных жертв на взломанный сайт с поддельной страницей авторизации PayPal и выманивали у них учетные данные для online-банкинга и данные банковских карт. Примечательно, сайт также запрашивал у жертв селфи с удостоверением личности в руках.

Мошенники заманивали пользователей на поддельные страницы PayPal с помощью спам-писем. Сами страницы были размещены на взломанном новозеландском сайте под управлением WordPress. Киберпреступники не осуществили подмену ссылки в адресной строке браузера (спуфинг URL), поэтому внимательные пользователи могли заметить неправильный адрес. Однако те, кто попался на удочку, предоставляли не только свою платежную информацию, но и данные удостоверения личности. По мнению Криса Симса (Chris Sims) из PhishMe, мошенники использовали эти сведения для создания криптовалютного кошелька для дальнейшего отмывания похищенных средств.

Процесс загрузки селфи весьма необычен. Вместо того, чтобы с помощью WebRTC или Flash получить доступ к web-камере на устройстве пользователя, сделать снимок и автоматически загрузить его в поддельную форму авторизации, киберпреступники просили пользователя самого загрузить фото с компьютера. Такой процесс довольно продолжительный и давал жертве время на то, чтобы до***аться о мошенничестве.

Как бы то ни было, но даже самые ловкие мошенники допускают ошибки. Загруженные фотографии не сохранялись на сервере, а отправлялись на адрес oxigene[.]007@yandex[.]com. Как показывает поиск в Skype, адрес зарегистрирован за неким najat zou из Мансака (Франция).

Вышеописанный случай является не первым, когда киберпреступники требуют от жертв фото с паспортом. В октябре прошлого года эксперты McAfee Labs сообщили о варианте банковского Android-трояна Acecard, запрашивающего у пользователя в рамках «трехэтапной аутентификации» фотографию с удостоверением личности.

[satvitek]

В США инженер осужден за взлом системы сбора показаний счетчиков

Суд в США вынес обвинительный приговор в отношении 42-летнего инженера Эдама Флэнегана (Adam Flanagan), взломавшего систему дистанционного сбора и учета показаний водосчетчиков, находившейся в ведении его бывшего работодателя. Суд приговорил мужчину к лишению свободы сроком на 12 месяцев и 1 день.

Флэнеган был задержан 22 ноября 2016 года, днем позже арестован. 7 марта нынешнего года инженер признал себя виновным в несанкционированном доступе к защищенному компьютеру и нанесении ущерба.

Согласно пресс-релизу Минюста США, Эдам Флэнеган являлся сотрудником компании, специализировавшейся на производстве оборудования для удаленного сбора показаний коммунальных счетчиков. После того, как Флэнеган был уволен из компании, он взломал компьютерную систему своего бывшего нанимателя и отключил систему дистанционного сбора показаний водосчетчиков.

В результате сотрудникам местных служб водоснабжения пришлось вручную собирать данные счетчиков, а бывший работодатель обиженного инженера потратил немалое количество времени на определение проблемы и поиск способов ее решения.

[satvitek]

Совет ЕС: Евросоюз может ответить санкциями на кибератаки

Министры иностранных дел Евросоюза в ходе заседания Совета ЕС в Люксембурге договорились разработать "специальный инструментарий кибердипломатии" в качестве ответных мер на широкомасштабные кибернетические атаки.

"Дипломатический ответ ЕС на вредоносную кибернетическую деятельность будет включать полный спектр действий в рамках единой внешней политики и политики в области безопасности, включая, если необходимо, ограничительные меры. Общий ответ ЕС на кибернетические атаки должен быть пропорциональным по своим масштабам, продолжительности, интенсивности, сложности и влиянию на кибернетическую среду", - сказано в заявлении Совета ЕС.

В то же время в документе отмечается, что Евросоюз "привержен разрешению любых международных споров и конфликтов в кибернетической среде мирными средствами", и все его действия "должны способствовать продвижению киберстабильности и кибербезопасности".

[satvitek]

Фахівці з ФБР розповіли подробиці атаки російських хакерів на “Прикарпаттяобленерго”


Західні фахівці з комп'ютерної безпеки, завершивши розслідування атак на українські енергомережі, прийшли до висновку, що Росія використовує Україну як полігон для комп'ютерних атак на життєво важливі об'єкти інфраструктури

Рік тому, коли з’явились перші чутки про те, що зникнення електрики в Україні є наслідками російських кібератак, ці повідомлення сприймались із видимим скепсисом. Падіння електромереж, які були регулярним явищем в період початків незалежності, і до кінця не зникли в наступні роки, далеко легше було пов’язати з технічними проблемами, форс-мажором у вигляді білок, птахів чи погано обрізаних гілок дерев, чи й бажанням диспетчерів зекономити потужність, аніж зі спланованими акціями російських хакерів.

Повірити в те, що хтось атакував сервери Центрвиборчкому чи банків, було легко, а в спрямовану атаку, приміром, на “Прикарпаттяобленерго” чомусь вірилось погано.

Проте коли розслідувати проблеми з електромережею прибули команди американських фахівців – як із приватних компаній, що спеціалізуються у сфері кібербезпеки, так і з урядових структур, в тому числі ФБР, стало зрозуміло, що злами, схоже, таки були.

А потім вся історія якось сама по собі розсмокталась. Себто Київобленерго, “Прикарпаттяобленрего” та інші компанії, що постраждали від атак хакерів, декілька разів на це поскаржились, президент України теж час від часу на***ує, скільки українських компаній зазнали атак російських хакерів – і на тому все.

Натомість результати розслідувань західних фахівців зараз зявляються у вигляді майже що літературних трилерів на ресурсах на кшталт Wired – культового журналу для гіків.

Відомою стала схема атаки російських хакерів – спочатку вони потрапляли в комп’ютерні системи енергокомпаній за допомогою віруса-троянця BlackEnergy, потім, отримавши контроль над максимумом машин та обладнання, розпочинали активну фазу атаки – відключення всього можливого обладнання, стирання прошивок на конверторах між серійними портами та сучасною езернет-мережею, за допомогою яких йшла комунікація зі старим обладнанням, після чого у діло вступав KillDisk – гидотний шматок коду для швидкого “забивання” нулями критично важливих частин на жорстких дисках. Після успішного завершення подібної атаки для “оживлення” енергорозподільчої системи потрібен значний час і чималі ресурси.

Така схема, за неперевіреними даними, була відпрацьована не тільки на енергетичних компаніях, але і проти “Укрзалізниці” та багатьох інших крупних українських компаній.

А причини, чому США направили на розслідування цих інцидентів кращих фахівців з комп’ютерної безпеки – як із державного, так і з приватного сектору, була проста. Троянець BlackEnergy періодично відловлюють на комп’ютерах енергогенеруючих та енергорозподільчих компаній США.

Після аналізу цих атак середовище західних фахівців з кібербезпеки, далеке від реалій українсько-російських стосунків, зробило простий і загалом логічний висновок – Росія, окрім всього решту, використовує Україну як полігон для відпрацювання кібернетичних атак на комерційні компанії, і, саме головне, на критичні об’єкти інфраструктури.

Більше того, з точки зору фахівців, Україна відбулась відносно малою кров’ю, оскільки відверто застаріле обладнання давало можливість українським операторам деактивувати електронні системи і вирішувати проблеми на рівні заліза, буквально вручну перекидаючи рубильники і запускаючи розподільні щити та трансформатори. У випадку подібної атаки на інфраструктуру США протидіяти їй і нейтралізувати наслідки було б на порядок важче, вважають західні фахівці з безпеки.

Одного разу нинішній керівник Держдепу США Рекс Тіллерсон на прес-конференції задав сакраментальне питання: “Чому американських платників податків повинна цікавити Україна?”. Історія з хакерськими атаками на нашу енергетичну інфраструктуру, здається, дає чітку і предметну відповідь на це питання. Рік тому Росія ламала “Прикарпаттяобленерго”. Півроку тому вона ламала сервери Демократичної партії США. Якщо вдавати, що нічого не відбувається, через рік-два Дональд Трамп може з’ясувати, що його валізка із червоною кнопкою – це просто валізка. Із купкою зіпсованих радіодеталей всередині.

На***аємо як це було: 23 грудня о 15:30 мешканці Івано-Франківська готувалися до завершення робочого дня і прямували додому холодними зимовими вулицями. Оператори місцевого «Прикарпаттяобленерго», яке постачає електрикою весь регіон, закінчували зміну. Але поки один з працівників упорядковував папери на своєму столі, курсор його мишки раптом почав самостійно переміщатися по екрану.

Він побачив як курсор попрямував прямо до іконки програми, яка контролює автоматичні рубильники обласних підстанцій, клікнув, відкрив вікно управління рубильниками і вимкнув підстанцію. Вискочило діалогове вікно з проханням підтвердити дію, а оператор продовжував ошелешено дивитися на те, як курсор кликав на кнопку підтвердження. Він знав, що десь за межами міста тисячі жителів залишилися без світла та опалення.

Оператор схопився за мишку і відчайдушно спробував повернути контроль над курсором, але той не реагував. Коли курсор попрямував до наступного перемикача, машина раптово розлогінила користувача і викинула з панелі управління. І хоча оператор намагався увійти назад в свій профіль, атакуючі поміняли його пароль, щоб не допустити авторизації. Все, що він міг робити – це безпорадно спостерігати за тим, як примари всередині екрану вимикали один рубильник за іншим, відключивши в загальній сумі близько 30 підстанцій. Але хакери не зупинилися і на цьому. Паралельно вони атакували ще два розподільних центри, відключивши практично вдвічі більше підстанцій, залишивши 230 000 жителів в темноті. А на додачу ще й відключили два запасних джерела електрики двох з трьох розподільних центрів, залишивши самих операторів без світла.

[студент]

WannaCry напомнил о себе

Зловред WannaCry, атаки которого в мае привели к инфицированию сотен тысяч компьютеров во всем мире, напомнил о себе серией новых инцидентов. Так, полиция австралийского штата Виктория сообщила об инфицировании шифровальщиком 55 камер контроля дорожного движения. С еще более серьезными проблемами столкнулся известный автопроизводитель Honda Motor. Компания вынуждена была на один день остановить конвейер своего завода в японском городе Саяма.

Агентство Reuters сообщает, что завод, производящий модели Accord, Odyssey и Step Wagon, был остановлен после того, как зловред WannaCry обнаружился в сетях нескольких подразделений компании как в самой Японии, так и в США, Китае и Европе. Тем не менее, компания подчеркивает, что производственные процессы не были блокированы вредоносным ПО, а остановка конвейера стала превентивной мерой. Завод в Саяме возобновил свою работу уже на следующий день. Можно вспомнить, что в мае атака WannaCry привела к временной остановке предприятий другого крупного автопроизводителя - Renault-Nissan Alliance.

[satvitek]

Парламент Британии подтвердил кибератаку на свои системы

Парламент Великобритании выпустил заявление, в котором подтвердил, что его компьютерные системы были атакованы в результате кибератаки.

«Мы обнаружили несанкционированные попытки доступа к учетным записям пользователей парламентских сетей и проводим расследование этого продолжающегося инцидента, тесно сотрудничая с национальным центром кибербезопасности», — говорится в сообщении.
В парламенте подчеркнули, что у них существуют надежные меры для защиты всех учетных записей и систем.

При этом в качестве мер предосторожности парламент временно ограничил дистанционный доступ к своей сети.

Ранее член палаты лордов Кристофер Реннард сообщил, что в работе электронной почты парламента Великобритании произошел сбой из-за кибератаки.

Представитель британского национального центра кибербезопасности в своем заявлении отметил, что они «в курсе инцидента и работают вместе со службами кибербезопасности парламента» для решения проблемы.

[satvitek]

Арестованы хакеры, атаковавшие Microsoft в начале года

Сотрудники британских правоохранительных органов арестовали двоих человек, подозреваемых в причастности к международной хакерской группировке, взломавшей сети компании Microsoft. 22-летний житель Линкольншира и 25-летний житель Бракнелла были задержаны в четверг, 22 июня. Первому подозреваемому предъявлены обвинения в получении несанкционированного доступа к компьютеру, а второму – в преступлении, совершенном с использованием компьютера.

Арестованные являются членами международной киберпреступной организации, и аналогичные расследования проводятся также в других странах при участии ФБР, Европола, Национального агентства по борьбе с преступностью Великобритании и специалистов Microsoft. В настоящее время расследование находится на начальной стадии, и оба подозреваемых пребывают в предварительном заключении.

Кибератака на Microsoft имела место в январе-марте 2017 года. По словам представителей компании, хакерам не удалось заполучить данные пользователей, однако эксперты все еще исследуют затронутую атакой часть сети.

[satvitek]

На взлом «самой безопасной» Windows 10 S ушло всего три часа

Когда компания Microsoft анонсировала операционную систему Windows 10 S, от ее представителей звучали очень смелые заявления по поводу безопасности новой платформы.

О невозможности взлома Windows 10 S сообщалось еще ни раз, особенно после атаки вируса WannaCry. Однако специалистам издания ZDNet, вместе с исследователем в области безопасности Мэтью Хайкий, удалось доказать обратное.

Результатом их совместной деятельности стал взлом Windows 10 S всего за три часа. Именно столько времени специалистам потребовалось на обход всех защитных механизмов Microsoft.

Хайкий и команда ZDNet достаточно сильно удивились, что взломать Windows 10 S оказалось так просто. Подобраться к ОС удалось за счет использования макросов Word.

Хайкий использовал вредоносный документ Word, содержащий в себе определенные макросы. Они позволили ему провести инъекцию DLL-библиотек и обойти ограничения магазина путем внедрения кода в существующие авторизованные процессы операционной системы. В этом случае Word запускался с правами администратора через Диспетчер задач.

В результате, взломщики смогли получить доступ к системе с администраторскими правами. Они инсталлировали в Windows 10 S софт Metapoilt и смогли удаленно делать с системой все, что душа пожелает.

[satvitek]

Хакерская атака на Украину: в полицию поступило около 200 обращений

В полиции назвали количество обращений в связи с вмешательством в работу компьютеров

В ходе хакерской атаки на Украину в полицию поступило около 200 обращений о вмешательстве в работу компьютерных систем. Об этом в Facebook сообщил спикер Национальной полиции Украины Ярослав Тракало.

"По состоянию на 18:00 таких обращений только на линию call-центра киберполиции поступило уже около 200", - сообщил Тракало.

Напомним, ранее киберполиция назвала способы нейтрализации вирусной атаки. В случае выявления нарушений в работе компьютеров нужно немедленно отсоединить их от сетей (как сети Интернет, так и внутренней сети), а с целью предотвращения случаев несанкционированного вмешательства в работу установить патчи с официального ресурса Microsoft.

Кроме того, необходимо проверить наличие антивирусного программного обеспечения на компьютерах и актуальность базы сигнатур. Пользователям советуют внимательно относиться ко всей электронной корреспонденции, не загружать и не открывать приложения в письмах, которые присланные из неизвестных адресов. Также рекомендуется сделать резервные копии всех критически важных данных.

[satvitek]

Стало известно, как приводится в действие вирус-вымогатель

Вирус-вымогатель, который заблокировал множество сайтов и информационных порталов в Украине, активизируется с помощью ссылки, которая присылается на почту из неизвестного адреса.

По словам работников банковского сектора, им на почту приблизительно за час до оповещения из НБУ приходили письма от неизвестного адресата с "левыми" ссылками.

[satvitek]

Хакерская атака на Украину осуществлялась через программу M.E.doc

Данное программное обеспечение имеет встроенную функцию обновления


Хакерская атака на Украину осуществлялась через программу для отчетности и документооборота M.E.doc. Об этом говорится в сообщении Департамента Киберполиции Национальной полиции Украины в Facebook.

"На данный момент достоверно известно, что вирусная атака на украинские компании возникла из-за программы "M.E.doc." (Программное обеспечение для отчетности и документооборота)", - сообщили в киберполиции.

Также известно, что данное программное обеспечение имеет встроенную функцию обновления, а хакерская атака началась после сегодняшнего обновления в 10:30, размер которого составил примерно 333 кб.

[satvitek]

Компании со всего мира сообщают об атаке вируса-вымогателя Petya

Специалисты полагают, что вредоносная программа использует те же уязвимости, что и вирус Wannacry, выведший из строя тысячи серверов по всему миру в прошлом месяце

Компании многих стран мира сообщают об атаке вируса-вымогателя. В числе пострадавших в результате кибератаки - британское рекламное агентство WPP, его IT-системы вышли из строя, передает BBC.

В Британии расследованием очередного нападения хакеров занимается Национальное агентство по борьбе с преступностью.

Сообщается, что больше всех пострадали украинские компании - вирус заразил компьютеры нескольких министерств, энергетических компаний и банков, СМИ, сотовых операторов, крупной сети заправок, киевского аэропорта Борисполь и киевского метро.

Эксперты полагают, что вредоносная программа использует те же уязвимости, что и вирус Wannacry, выведший из строя тысячи серверов по всему миру в прошлом месяце.
Читайте также: Кибератака на аэропорт "Борисполь": Пассажиров информируют в ручном режиме

"Похоже, что это разновидность вредоносного программного обеспечения, которое появилось в прошлом году", - считает специалист в области компьютерной безопасности профессор Алан Вудворд.

Представитель фирмы Recorded Future, специализирующейся на компьютерной безопасности, рассказал Би-би-си, что за последние 12 месяцев на многих форумах видел вредоносную программу, выставленную на продажу.

"На форумах за нее просят всего 28 долларов США, - сказал Андрей Барисевич. - Но мы не знаем, используется ли последняя известная версия программы или ее новая разновидность".

По мнению Барисевича, атаки не прекратятся, потому что киберпреступники считают этот бизнес очень прибыльным.

"Южнокорейская хостинговая компания заплатила миллион долларов, чтобы восстановить данные, - сказал он. - Это огромная мотивация, это самое большое вознаграждение, которое могли бы предложить киберпреступнику".

В России масштабной хакерской атаке подверглись сервера "Роснефти" и "Башнефти", металлургическая компания Evraz и несколько компаний поменьше.

Об атаке на свои ресурсы сообщили и некоторые зарубежные компании, в том числе датская A.P. Moller-Maersk, занимающаяся морскими грузоперевозками, испанское представительство одной из крупнейших в мире юридических компаний DLA Piper и пищевой гигант Mondelez.

В числе пострадавших также французская компания строительных материалов St Gobain и неназванная норвежская компания - ее сообщение цитируют спецслужбы.

Telegram-канал "Сайберсекьюрити" утверждает, что компьютерные системы "Роснефти" атаковал не WannaCry, а его клон - вирус-вымогатель Petya.A, который шифрует содержимое жесткого диска и требует денег за расшифровку.

В "Лаборатории Касперского" однако считают, что для новой кибератаки использовался не "Петя", а некий другой, новый вирус, который специалисты сейчас изучают. Аналогичного мнения придерживаются и в компании Dr.Web - ее специалисты убеждены, что новый вирус распространяется самостоятельно.

[satvitek]

Киберполиция: Заражение вирусом Petya произошло через систему электронного документооборота M.E.doc

Вирусная атака на украинские компании 27 июня началась из-за обновлений программы электронного документооборота M.E.doc. Об этом сообщил в Facebook департамент киберполиции Национальной полиции Украины.

Программное обеспечение имеет встроенную функцию обновления, которая периодически обращается к серверу. Очередное обновление произошло в 10.30, выяснили специалисты департамента.

Загрузка активировала вирус, утверждают в Нацполиции.

"В дальнейшем вредоносное программное обеспечение распространялось с помощью уязвимости в протоколе Samba (также использовалась во время атак WannaCry)", – сказано в сообщении.

Киберполиция рекомендует пользователям не применять обновления, которые предлагает программное обеспечение M.E.doc при запуске.

[satvitek]

СБУ рассказала, что надо установить, чтобы вирус не заразил компьютер

Служба безопасности Украины в связи с хакерской атакой подготовила рекомендации по защите компьютеров от вируса-вымогателя Petya.A. Данная хакерская атака распространилась на весь мир.

Как отмечает в Facebook пресс-центр СБ Украины, подавляющее большинство заражений операционных систем происходило через открытие вредоносных приложений (документов Word, PDF-файлов), которые были направлены на электронные адреса многих коммерческих и государственных структур.

Хакерская атака, основной целью которой было распространение шифровальщика файлов Petya.A, использовала сетевую уязвимость MS17-010. В результате на инфицированную машину устанавливался набор скриптов, используемых злоумышленниками для запуска упомянутого шифровальщика файлов.

Вирус атакует компьютеры под управлением ОС Microsoft Windows путем шифрования файлов пользователя, после чего выводит сообщение о преобразовании файлов с предложением произвести оплату ключа дешифровки в биткойнах в эквиваленте $300 для разблокировки данных.

На сегодня зашифрованные данные расшифровке не подлежат.

Спецслужба подготовила специальные рекомендации:
Читайте также: Вирус-вымогатель после Украины перекинулся на Испанию и Индию

1. Если компьютер включен и работает нормально, но вы подозреваете, что он может быть заражен, ни в коем случае не перезагружайте его (если ПК уже пострадал, тоже не перезагружайте его): вирус срабатывает при перезагрузке и зашифровывает все файлы, содержащиеся на компьютере.

2. Сохраните все ценные файлы на отдельный не подключенный к компьютеру носитель, а в идеале сделайте резервную копию, в том числе операционной системы.

3. Для идентификации шифровальщика файлов необходимо завершить все локальные задачи и проверить наличие следующего файла: C:Windowsperfc.dat.

4. В зависимости от версии ОС Windows нужно установить патч с ресурса:
— для Windows XP;
— для Windows Vista 32 bit;
— для Windows Vista 64 bit;
— для Windows 7 32 bit;
— для Windows 7 64 bit;
— для Windows 8 32 bit;
— для Windows 8 64 bit;
— для Windows 10 32 bit;
— для Windows 10 64 bit.

Найти ссылки на загрузку соответствующих патчей для других (менее распространенных и серверных версий) OC Windows можно по этому адресу.

5. Убедиться, что на всех компьютерных системах антивирусное программное обеспечение функционирует должным образом и использует актуальные базы вирусных сигнатур. При необходимости установить и обновить антивирусное программное обеспечение.

6. Для уменьшения риска заражения следует внимательно относиться ко всей электронной корреспонденции, не загружать и не открывать приложения в письмах, присланных с неизвестных адресов. В случае получения письма с известного адреса, который вызывает подозрение относительно его содержания, нужно связаться с отправителем и подтвердить факт отправки письма.

7. Сделать резервные копии всех критически важных данных.

Довести до работников структурных подразделений указанную информацию и рекомендации, не допускать работников к работе с компьютерами, на которых не установлены указанные патчи, независимо от подключения к локальной или глобальной сети.

Дополнительно к указанным рекомендациям можно воспользоваться рекомендациями антивирусных компаний:
a) Загрузите утилиту Eset LogCollector.
b) Запустите ее и убедитесь в том, что были установлены все галочки в окне «Артефакты для сбора».
c) Во вкладке «Режим сбора журналов Eset» установите «Исходный двоичный код с диска».
d) Нажмите на кнопку «Собрать».
e) Отправьте архив с журналами.

Если пострадавший ПК включен и еще не выключался, перейдите к выполнению п. 3 для сбора информации, которая поможет написать декодер, и п. 4 для лечения системы.
Читайте также: Новое происшествие в Чернобыле: вирусная атака поразила сайт и серверы ЧАЭС

С уже пораженного ПК (который не загружается) нужно собрать MBR для дальнейшего анализа.

Собрать его можно по следующей инструкции:
a) Загружайте с ESET SysRescue Live CD или USB (создание в описано в п. 3)
b) Согласитесь с лицензией на пользование
c) Нажмите CTRL + ALT + T (откроется терминал)
d) Напишите команду «parted -l» (без кавычек, маленькая буква «L») и нажмите <enter>
e) Смотрите список дисков и идентифицируйте пораженный ПК (должен быть один из /dev/sda)
f) Напишите команду «dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256» без кавычек, вместо «/dev/sda» используйте диск, который определили в предыдущем шаге, и нажмите <enter> (файл /home/eset/petya.img будет создан)
g) Подключите флеш-накопитель и скопируйте файл /home/eset/petya.img
h) Компьютер можно выключить.

[satvitek]

Как максимально уберечься от вирусной атаки и последствий заражения

В качестве советчика выступила фейсбук страница СБУ.

Рекомендації щодо захисту комп’ютерів від кібератаки вірусу-вимагача (оновлено, станом на 21.00)

За даними СБУ, інфікування операційних систем переважно відбувалося через відкриття шкідливих додатків (документів Word, PDF-файлів), які були надіслані на електронні адреси багатьох комерційних та державних структур.

Атака, основною метою якої було розповсюдження шифрувальника файлів Petya.A, використовувала мережеву вразливість MS17-010, внаслідок експлуатації якої на інфіковану машину встановлювався набір скриптів, що використовували зловмисники для запуску з***аного шифрувальника файлів.

Вірус атакує комп'ютери під управлінням ОС Microsoft Windows шляхом шифрування файлів користувача, після чого виводить повідомлення про перетворення файлів з пропозицією здійснити оплату ключа дешифрування у біткоїнах в еквіваленті суми $300 для розблокування даних. На сьогодні зашифровані дані, на жаль, розшифруванню не підлягають. Триває робота над можливістю дешифрування зашифрованих даних.

Рекомендації:

Якщо комп’ютер включений і працює нормально, але ви підозрюєте, що він може бути заражений, ні в якому разі не перезавантажуйте його (якщо ПК вже постраждав – також не перезавантажуйте його) – вірус спрацьовує при перезавантаженні і зашифровує всі файли, які містяться на комп’ютері.
Збережіть всі файли, які найбільш цінні, на окремий не підключений до комп’ютера носій, а в ідеалі – резервну копію разом з операційною системою.
Для ідентифікації шифрувальника файлів необхідно завершити всі локальні задачі та перевірити наявність наступного файлу : C:\Windows\perfc.dat
Залежно від версії ОС Windows встановити патч з ресурсу: https://technet.microsoft.com/…/libr.../ms17-010.aspx, а саме:

- для Windows XP - http://download.windowsupdate.com/…/...kb4012598-x86…

- для Windows Vista 32 bit - http://download.windowsupdate.com/…/...-kb4012598-x8…

-для Windows Vista 64 bit - http://download.windowsupdate.com/…/...-kb4012598-x6…

- для Windows 7 32 bit - http://download.windowsupdate.com/…/...-kb4012212-x8…

- для Windows 7 64 bit - http://download.windowsupdate.com/…/...-kb4012212-x6…

- для Windows 8 32 bit - http://download.windowsupdate.com/…/...t-kb4012598-x…

- для Windows 8 64 bit - http://download.windowsupdate.com/…/...t-kb4012598-x…

- для Windows 10 32 bit - http://download.windowsupdate.com/…/...0-kb4012606-x…

- для Windows 10 64 bit - http://download.windowsupdate.com/…/...0-kb4012606-x…

Знайти посилання на завантаження відповідних патчів для інших (менш розповсюджених та серверних версій) OC Windows можна за адресою: https://technet.microsoft.com/…/libr.../ms17-010.aspx

5. Переконатися, що на всіх комп'ютерних системах встановлене антивірусне програмне забезпечення функціонує належним чином та використовує актуальні бази вірусних сигнатур. За необхідністю встановити та оновити антивірусне програмне забезпечення.

6. Для зменшення ризику зараження, слід уважно відноситися до всієї електронної кореспонденції, не завантажувати та не відкривати додатки у листах, які надіслані з невідомих адрес. У випадку отримання листа з відомої адреси, який викликає підозру щодо його вмісту — зв’язатися із відправником та підтвердити факт відправки листа.

7. Зробити резервні копії усіх критично важливих даних.

Довести до працівників структурних підрозділів зазначену інформацію та рекомендації, не допускати працівників до роботи із комп’ютерами, на яких не встановлено вказані патчі, незалежно від факту підключення до локальної чи глобальної мереж.

Слід ззначити, що існує можливість спробувати відновити доступ до заблокованого зазначеним вірусом комп’ютера з ОС Windows.

Оскільки зазначене ШПЗ вносить зміни до МBR запису із-за чого замість завантаження операційної системи користувачу показується вікно з текстом про шифрування файлів.

Ця проблема вирішується відновленням MBR запису. Для цього існують спеціальні утиліти. Можна використати для цього утиліту «Boot-Repair». Інструкція https://help.ubuntu.com/community/Boot-Repair

Потрібно завантажити ISO образ «Boot-repair» https://sourceforge.net/p/boot-repair-cd/home/Home/

Потім за допомогою однієї з вказаних в інструкції утиліт створюємо Live-USB (можна використовувати Universal USB Installer).

Завантажитись зі створеної Live-USB та далі слідувати інструкції з відновлення MBR запису.

Після цього Windows завантажується нормально. Але більшість файлів з розширеннями doc, dox, pdf, і т.д. будуть зашифровані. Для їх розшифрування потрібно чекати поки буде розроблено дешифратор, радимо завантажити потрібні зашифровані файли на USB-носій або диск для подальшого їх розшифрування та перевстановити операційну систему.

З досвіду СБУ, в окремих випадках відновити втрачену інформацію можна за допомогою програми ShadowExplorer, але це стане можливим лише тоді, коли в операційній системі працює служба VSS (Volume Shadow Copy Service), яка створює резервні копії інформації з комп’ютера. Відновлення відбувається не шляхом розшифрування інформації, а за допомогою резервних копій.

Додатково до зазначених рекомендацій можна скористатися рекомендаціями антивірусних компаній:

І. https://eset.ua/ua/news/view/507/-Eset-Guidelines

a). Завантажте утиліту Eset LogCollector: http://eset.ua/ua/download/

b). Запустіть і переконайтеся в тому, що були встановлені усі галочки у вікні "Артефакти для збору".

c). У вкладці "Режим збору журналів Eset" встановіть: Вихідний двоїчний код з диску.
d). Натиснить на кнопку: Зібрати.
e). Надішліть архів з журналами.

Якщо постраждалий ПК включений та ще не виключався необхідно зробити таке:

Із вже ураженого ПК (який не завантажується) потрібно зібрати MBR для подальшого аналізу.
Зібрати його можливо за наступною інструкцією:
a). Завантажуйте з ESET SysRescue Live CD або USB (створення в описано в п.3)
b). Погодьтесь з ліцензією на користування
c). Натисніть CTRL+ALT+T (відкриється термінал)
d). Напишить команду "parted -l" без лапок, параметр цього маленька буква "L" і натисніть
e). Перегляньте список дисків та ідентифікуйте уражений ПК (повинен бути один з /dev/sda)
f). Напишіть команду "dd if=/dev/sda of=/home/eset/petya.img bs=4096 count=256" без лапок, замість "/dev/sda" використовуйте диск, який визначили у попередньому кроці і натисніть (Файл /home/eset/petya.img буде створений)
g). Підключіть флешку і скопіюйте файл /home/eset/petya.img
h). Комп'ютер можна вимкнути.

ІІ. http://zillya.ua/…/epidemiya-zarazhe...na-s-deistvie…

Методи протидії зараженню:

Відключення застарілого протоколу SMB1. Інструкція з відключення SMB1 в TechBlog компанії Microsoft: https://blogs.technet.microsoft.com/...op-using-smb1/
Установлення оновлень безпеки операційної системи Windows з Microsoft Security Bulletin MS17-010: https://support.microsoft.com/en-us/help/4013389/title
Якщо є можливість відмовитися від використання в локальній мережі протоколу NetBios (не використовувати для організації роботи мережеві папки і мережеві диски), в Брандмауері локальних ПК і мережевого обладнання заблокувати TCP/IP порти 135, 139 та 445
Блокування можливості відкриття JavaScript файлів, отриманих електронною поштою.

[satvitek]

Кибератака затронула работу Чернобыльской АЭС

Из-за хакерской атаки на Чернобыльской атомной электростанции (ЧАЭС) не работает электронный документооборот, сообщил в комментарии "Украинской правде" начальник смены ЧАЭС Владимир Ильчук.

"Предварительная информация – что некоторые компьютеры были заражены вирусом. Поэтому, как только эта хакерская атака началась, была дана персональная команда компьютерных рабочих в местах персонала компьютеры отключить", – отметил Ильчук.

Он подчеркнул, что радиационной угрозы из-за атаки не существует.

"По радиационной обстановке на станции замечаний нету. Превышения контрольных уровней нету. То есть у нас по промышленной площадке, по сооружениям ухудшения радиационной обстановки не произошло", – разъяснил представитель ЧАЭС.

В Украине 27 июня зафиксирована масштабная кибератака, "вирус-вымогатель" парализовал работу компьютерных сетей в банках, СМИ, торговых организациях и так далее.

Название вируса, шифрующего файлы на жестком диске всех компьютеров в зараженной сети, – Petya.A.

[satvitek]

Хакеры "положили" компьютеры в Кабмине

В результате хакерской атаки перестали работать все компьютеры в Кабинете министров. Об этом на своей странице в Facebook сообщает вице-премьер-министр Украины Павел Розенко.

Украинские частные и государственные компании подверглись массированной хакерской атаке. В частности, кибератака затронула энергосистемы, почтовых операторов и банки.

[satvitek]

10 вопросов о самой масштабной кибератаке в истории Украины

Всего за несколько часов вирус-вымогатель Petya A поразил компьютерные системы десятков компаний
Украинские банки и другие учреждения атаковал вирус-вымогатель. Впервые в истории Украины, хакерская атака за несколько часов поразила банки, заправки, магазины, сайты государственных структур. Парализованными оказались даже сайты Кабинета министров и ряда крупнейших СМИ.


"Страна" собрала все, что известно о хакерском взломе, и также советы специалистов – как минимизировать риск "заражения".

1. Кого поразил вирус?

Неизвестный вирус поразил сети целого ряда крупных компаний, в том числе крупных государственных. Известно, что вирус атакует компьютеры на базе Windows.
Читайте также: Кибератака на аэропорт "Борисполь": Пассажиров информируют в ручном режиме

Около 13.30 "Стране" стало известно о хакерской атаке на "Ощадбанк". При этом в официальном сообщении банк поначалу заявлял, что никакой атаки не было – якобы компьютеры в отделениях перестали работать из-за плановых технических работ.

Известно, что вслед за "Ощадом" вирус охватил также банк "Пивденный", "Укргазбанк", "ТАСКОМБАНК", и небанковские предприятия, среди которых – энергокомпания "Киевэнерго", "Укрпочта", аэропорт "Борисполь", "Укразализныця". Атаке подверглись и негосударственные компании, например, "Новая почта". Вирус даже парализовал сайты всех СМИ Украинского медиахолдинга. От вируса-захватчика также перестала работать вся интернет-сеть Кабинета министров. Уже известно, что вирус атаковал и заправки.

Хакерской атаке подверглись также некоторые крупные госкомпании в России. В частности, о "мощной хакерской атаке" на свои сервера заявила "Роснефть".

Пока неизвестно, являются ли хакерские атаки в Украине и России действиями одной группы лиц.

Полный список пораженных вирусом компаний "Страна" уже собрала. Список постоянно обновляется.

2. Что это за вирус?

IT-специалисты говорят, что это вирус который называется Petya A или mbr locker 256, который относится к вирусам-вымогателям.

MBR - это главная загрузочная запись, код, необходимый для последующей загрузки ОС и расположен в первом секторе устройства. После включения питания компьютера проходит так называемая процедура POST, тестирующая аппаратное обеспечение, по прохождению которой BIOS загружает MBR в оперативную память по адресу 0x7C00 и передает ему управление. Так вирус попадает в компьютер и поражает его. Модификаций вируса существует много.

Специалисты утверждают, что вирус является аналогом WannaCry, который в мае нанес миллиардный ущерб мировой экономике.

3. Как происходит "заражение"?

Как стало известно "Стране" из источников в одном из коммерческих банков, вирус-вымогатель активизируется с помощью ссылки, которая присылается на почту из неизвестного адреса.

Заражение идет через открытие писем. При заражении система падает и пользователь обычно пытается сделать перезагрузку. Но как отмечают эксперты, именно этого делать не стоит: после нее идет полная блокировка системы. Но пока достоверной информации о вирусе нет.
Читайте также: Компании со всего мира сообщают об атаке вируса-вымогателя Petya

4. Какие симптомы?

Вирус распространяется очень быстро. За несколько часов он поразил десятки компаний по всей Украине.

Симптомы заражения неизвестным вирусом проявляются в отказе работы компьютеров на платформе Windows. Компьютеры перегружаются, а вся информация на них зашифровывается.

Айтишники одной из киевских редакций, проверили один из зараженных компьютеров, и оказалось, что вирус уничтожил все данные на жестком диске.

5. Чего хотят хакеры?

О требованиях вируса стало известно по фото экрана, который появляется при заражении компьютера. На данный момент известно, что вирус блокирует компьютер, а ключ к разблокированию продает за биткоины в эквиваленте $300.

"Хакеры требуют выкуп с биткоинами, но вы же понимаете, если "ляжет" банковская система Украины, хакеры от этого смогут получить профит гораздо больше, чем просто с биткоинов. Нужно следить за транзакциями. Не исключено, что под ударом окажется финмониторинг", – сообщил "Стране" IT-специалист.

6. Как лечить?

Самостоятельно – никак. Когда хакеры получат деньги, обещают прислать код, с помощью которого можно будет разблокировать компьютеры.

7. А это вообще лечится?

Глава ИнАУ Александр Федиенко не советует пользователям пораженных компьютеров соглашаться на требования хакеров и перечислять им деньги. По его словам, "вылечиться" уже не получится.

"Ни в коем случае нельзя перечислять им деньги. Это развод. Никакой код, никакая инструкция не поможет избавиться от вируса. Из того, что проанализировали наши специалисты, ясно, что из-за вируса идет полное шифрование файлов. Всю пораженную вирусом технику можно просто выбросить на помойку. От вируса вылечить компьютеры нереально. Если уже началось шифрование, это уже всё", – сказал "Стране" Федиенко.

8. Какова цель хакеров?

По мнению IT-экспертов, с которыми поговорила "Страна", так как вирус поразил не единичные компании и не ограничился банковскими учреждениями, хакеры намерены нанести ущерб всей экономике Украины.

"Чего хотят добиться хакеры – это скорее вопрос к психологам. Я не знаю. Но сейчас они уже добились того, что в экономике страны случился коллапс. Все застыло. Эта атака, я считаю, была сделала из экономических побуждений, нанести ущерб целой стране, а не отдельным компаниям. Скорее всего, эта атака приведет к большим экономическим убыткам. Это элемент терроризма. Кибер-тероризм", – комментирует Александр Федиенко.

9. Как защититься от вируса?

1) Обязательно пользоваться антивирусами. По мнению специалиста, Virus "Petya А" блокирует сервис Avast, тога как "Касперский" этот вирус не видит. Принудительно обновите базу антивируса и операционные системы.

2) Не скачивать сторонние программы и файлы.

3) Не переходите по сторонним подозрительным ссылкам, в том числе, из соцсетей. Особенно если они исходят от неизвестных вам пользователей. Хотя, по словам Федиенко, не стоит открывать вообще никакие файлы и программы, даже если вам их присылают ваши знакомые. Или пропускать их через антивирусы.

4) Если заражение все-таки произошло, после заражения не перезагружайте компьютер! Этим вы активируете вирус.

"К сожалению, других, более подробных и конкретных рекомендаций пока дать нельзя, потому что до сих пор не ясно до конца, что это за вирус", – говорит Александр Федиенко.

10. Кто стоит за хакерской атакой?

Пока неизвестно. Но то, что атака нацелена на экономику всей страны, говорит о факте вмешательства извне.

Советник министра МВД Антон Геращенко уже заявил, что кибератака под видом вируса-вымогателя была организована со стороны спецслужб РФ.

По словам Федиенко, недавно аналогичный вирус распространялся в Европе.

"Пока нет точных фактов, что это за вирус и откуда он пришел. Но я читал в иностранной прессе, что в Европе недавно была похожая атака. Но она развивалась очень медленно и вяло. Просто в связи с тем, что украинский сегмент интернета очень высокоскоростной, плюс хорошее проникновение абонентов, в Украине этот вирус распространяется молниеносно. Грубо говоря, за полчаса заражено пол-страны", – говорит Федиенко.

Специалист отмечает, что наша страна де-факто оказалась неготовой к такой кибератаке. "Это звездный час подразделения по кибербезопасности. Наши компетентные службы сейчас должны тщательно и быстро все проанализировать и дать четкие рекомендации нашей отрасли, как реагировать и как бороться с вирусом", – отмечает Александр Федиенко.

[satvitek]

Атака кибер-вымогателя в Украине: детальный разбор нового зловреда


Новая атака программы-вымогателя в Украине, которая может быть связана с семейством вредоносных программ Petya, стала вчера топовой темой на страницах многочисленных СМИ и социальных медиа.

В случае успешного инфицирования MBR, вредоносная программа шифрует весь диск компьютера. В других случаях угроза зашифровывает файлы, как Mischa.

Как сообщается на сайте антивирусных продуктов ESET, для распространения угроза, вероятно, использует эксплойт SMB (EternalBlue), который был применен для проникновения в сеть угрозой WannaCry, а затем распространяется через PsExec внутри сети.

Эта опасная комбинация может быть причиной скорости распространения Win32/Diskcoder.C Trojan, даже несмотря на то, что предыдущие инфицирования с использованием эксплойтов широко освещались в СМИ, а большинство уязвимостей было исправлено. Для проникновения в сеть Win32/Diskcoder.C Trojan достаточно лишь одного компьютера без соответствующего исправления, а дальше вредоносное программное обеспечение может получить права администратора и распространяться на другие компьютеры по внутренней сети.

После шифрования файлов на экране жертвы отображается соответствующее сообщение с требованием о выкупе: «Если вы видите этот текст, то ваши файлы не доступны, так как они были зашифрованы ... Мы гарантируем, что вы можете восстановить все ваши файлы безопасным и легким способом. Все, что вам нужно сделать, это передать платеж [$ 300 биткойн] и приобрести ключ дешифрования».

Вероятно, программы-вымогателя инфицировала компьютеры не только украинских пользователей. Издание «The Independent» отмечает, что также могли пострадать Испания и Индия, датская судоходная компания и британская рекламная компания.


Еще в 2016 году компания ESET сообщала, что Petya осуществляет шифрование не отдельных файлов, а инфицирует файловую систему. Основной целью вредоносной программы является главная загрузочноя запись (MBR), который отвечает за загрузку операционной системы.

В связи с массовым распространением вредоносной программы специалисты ESET рекомендуют использовать актуальные версии антивирусного и другого программного обеспечения, а также настроить сегментацию сети, может помочь предотвратить распространение угрозы в корпоративной сети.
Читайте также: Грицак проморгал спецоперацию ФСБ в Киеве
Все, что вы хотели узнать о #Petya, но боялись спросить

Эксперты компании Positive Technologies представили детальный разбор нового зловреда и дали рекомендации по борьбе с ним

Вслед за нашумевшей кампанией вируса-шифровальщика WannaCry, которая была зафиксирована в мае этого года, 27 июня более 80 компаний России и Украины стали жертвой новой атаки с использованием шифровальщика-вымогателя Petya. И эта кампания оказалась вовсе не связана с WannaCry.

Жертвами вымогателя уже стали украинские и российские компании Новая Почта, Запорожьеоблэнерго, Днепроэнерго, Ощадбанк, медиахолдинг ТРК "Люкс", Mondelēz International, TESA, Nivea, Mars, операторы LifeCell, УкрТелеКом, Киевстар и многие другие организации. В Киеве оказались заражены в том числе некоторые банкоматы и кассовые терминалы в магазинах. Именно в Украине зафиксированы первые атаки.

Анализ образца вымогателя, проведенный экспертами Positive Technologies , показал, что принцип действия Petya основан на шифровании главной загрузочной записи (MBR) загрузочного сектора диска и замене его своим собственным загрузчиком. Эта запись – первый сектор на жёстком диске, в нем расположена таблица разделов и программа-загрузчик, считывающая из этой таблицы информацию о том, с какого раздела жёсткого диска будет происходить загрузка системы. Исходный MBR сохраняется в 0x22-ом секторе диска и зашифрован с помощью побайтовой операции XOR с 0x07.

После запуска вредоносного файла создается задача на перезапуск компьютера, отложенная на 1-2 часа, в это время можно успеть запустить команду[1] bootrec /fixMbr для восстановления MBR и восстановить работоспособность ОС. Таким образом, запустить систему даже после ее компрометации возможно, однако расшифровать файлы не удастся. Для каждого диска генерируется свой ключ AES, который существует в памяти до завершения шифрования.

Он шифруется на открытом ключе RSA и удаляется. Восстановление содержимого после завершения требует знания закрытого ключа, таким образом, без знания ключа данные восстановить невозможно. Предположительно, зловред шифрует файлы максимум на глубину 15 директорий. То есть файлы, вложенные на большую глубину, находятся в безопасности (по крайней мере для данной модификации шифровальщика).

В случае, если диски оказались успешно зашифрованы после перезагрузки, на экран выводится окно с сообщением о требовании заплатить выкуп $300 (на 27 июня 2017 - примерно 0,123 биткойна) для получения ключа разблокировки файлов. Для перевода денег указан биткоин-кошелек 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX[2]. Через несколько часов после начала атаки на кошелек уже поступают транзакции, кратные запрошенной сумме – некоторые жертвы предпочли заплатить выкуп, не дожидаясь, пока исследователи изучат зловред и попытаются найти средство восстановления файлов.

За несколько часов число транзакций увеличилось втрое.

Petya использует 135, 139, 445 TCP-порты для распространения (с использованием служб SMB и WMI). Распространение внутри сети на другие узлы происходит несколькими методами: с помощью WindowsManagement Instrumentation (WMI) и PsExec[3], а также с помощью эксплойта, использующего уязвимость MS17-010[4] (EternalBlue[5]). WMI – это технология для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows.

PsExec широко используется для администрирования Windows и позволяет выполнять процессы в удаленных системах. Однако для использования данных утилит необходимо обладать привилегиями локального администратора на компьютере жертвы, а значит, шифровальщик может продолжить свое распространение только с тех устройств, пользователь которых обладает максимальными привилегиями ОС. Эксплойт EternalBlue позволяет получить максимальные привилегии на уязвимой системе.

Также шифровальщик использует общедоступную утилиту Mimikatz[6] для получения в открытом виде учетных данных всех пользователей ОС Windows, в том числе локальных администраторов и доменных пользователей. Такой набор инструментария позволяет Petya сохранять работоспособность даже в тех инфраструктурах, где был учтен урок WannaCry и установлены соответствующие обновления безопасности, именно поэтому шифровальщик настолько эффективен.

В рамках тестирований на проникновение современных корпоративных инфраструктур эксперты Positive Technologies регулярно демонстрируют возможность применения эксплойта EternalBlue (в 44% работ в 2017 году), а также успешное применение утилиты Mimikatz для развития вектора атаки до получения полного контроля над доменом (в каждом проекте).

Таким образом, Petya обладает функциональностью, позволяющей ему распространяться на другие компьютеры, причем этот процесс лавинообразный. Это позволяет шифровальщику скомпрометировать в том числе контроллер домена и развить атаку до получения контроля над всеми узлами домена, что эквивалентно полной компрометации инфраструктуры.

О существующей угрозе компрометации в Positive Technologies сообщали более месяца назад в оповещениях об атаке WannaCry[7] и давали рекомендации[8], каким образом определить уязвимые системы, как их защитить и что делать, если атака уже произошла. Дополнительные рекомендации дадим и в данной статье. Кроме того, компания разработала бесплатную утилиту WannaCry_Petya_FastDetect [9] для автоматизированного выявления уязвимости в инфраструктуре.

Эксперты Positive Technologies выявили “kill-switch” – возможность локально отключить шифровальщик. Если процесс имеет административные привилегии в ОС, то перед подменой MBRшифровальщик проверяет наличие файла perfc (либо другого пустого файла с иным названием) без расширения в директории C:Windows (директория жестко задана в коде). Этот файл носит то же имя, что и библиотека dll данного шифровальщика (но без расширения).



Наличие такого файла в указанной директории может быть одним из индикаторов компрометации. Если файл присутствует в данной директории, то процесс выполнения ВПО завершается, таким образом, создание файла с правильным именем может предотвратить подмену MBR и дальнейшее шифрование.


Если шифровальщик при проверке не обнаружит такой файл, то файл создается и стартует процесс выполнения ВПО. Предположительно, это происходит для того, чтобы повторно не запустился процесс подмены MBR.

С другой стороны, если процесс изначально не обладает административными привилегиями, то шифровальщик не сможет выполнить проверку наличия пустого файла в директории C:Windows, и процесс шифрования файлов все же запустится, но без подмены MBR и перезапуска компьютера.

Для того, чтобы не стать жертвой подобной атаки, необходимо в первую очередь обновить используемое ПО до актуальных версий, в частности, установить все актуальные обновления MSWindows. Кроме того, необходимо минимизировать привилегии пользователей на рабочих станциях.

Если заражение уже произошло, эксперты Positive Technologies не рекомендуют платить деньги злоумышленникам. Почтовый адрес нарушителей wowsmith123456@posteo.net был заблокирован, и даже в случае оплаты выкупа ключ для расшифрования файлов наверняка не будет получен. Для предотвращения распространения шифровальщика в сети рекомендуется выключить другие компьютеры, которые не были заражены, отключить от сети зараженные узлы и снять образы скомпрометированных систем. В случае, если исследователи найдут способ расшифрования файлов, заблокированные данные могут быть восстановлены в будущем. Кроме того, данный образ может быть использован для проведения анализа шифровальщика, что поможет исследователям в их работе.

В долгосрочной перспективе рекомендуется разработать систему регулярных тренингов сотрудников с целью повышения их осведомленности в вопросах информационной безопасности, основанную на демонстрации практических примеров потенциально возможных атак на инфраструктуру компании с использованием методов социальной инженерии. Необходимо проводить регулярную проверку эффективности таких тренингов.

Также необходимо на все компьютеры установить антивирусное ПО с функцией самозащиты, предусматривающей ввод специального пароля для отключения или изменения настроек. Кроме того, необходимо обеспечить регулярное обновление ПО и ОС на всех узлах корпоративной инфраструктуры, а также эффективный процесс управления уязвимостями и обновлениями.

Регулярное проведение аудитов ИБ и тестирований на проникновение позволит своевременно выявлять существующие недостатки защиты и уязвимости систем. Регулярный мониторинг периметра корпоративной сети позволит контролировать доступные из сети Интернет интерфейсы сетевых служб и вовремя вносить корректировки в конфигурацию межсетевых экранов. Для своевременного выявления и пресечения уже случившейся атаки необходимо осуществлять мониторинг внутренней сетевой инфраструктуры, для чего рекомендуется применять систему класса SIEM.
Для выявления атаки Petya в инфраструктуре могут быть использованы следующие индикаторы:

· C:Windowsperfс

· Задача в планировщие Windows с пустым именем и действием (перезагрузка) "%WINDIR%system32shutdown.exe /r /f"

Срабатывание правил IDS/IPS:

· msg: "[PT Open] Unimplemented Trans2 Sub-Command code. Possible ETERNALBLUE (WannaCry, Petya) tool"; sid: 10001254; rev: 2;

· msg: "[PT Open] ETERNALBLUE (WannaCry, Petya) SMB MS Windows RCE"; sid: 10001255; rev: 3;

· msg: "[PT Open] Trans2 Sub-Command 0x0E. Likely ETERNALBLUE (WannaCry, Petya) tool"; sid: 10001256; rev: 2;

· msg: "[PT Open] Petya ransomware perfc.dat component"; sid: 10001443; rev: 1

· msg:"[PT Open] SMB2 Create PSEXESVC.EXE"; sid: 10001444; rev:1

Сигнатуры:

· https://github.com/ptresearch/Attack...2CPetya).rules

[1] https://twitter.com/msuiche/status/879722894997278720

[2] https://blockchain.info/address/1Mz7...8mGSdzaAtNbBWX

[3] https://technet.microsoft.com/ru-ru/.../bb545021.aspx

[4] https://technet.microsoft.com/en-us/.../ms17-010.aspx

[5] https://vulners.com/seebug/SSV-92952

[6] https://github.com/gentilkiwi/mimikatz

[7] https://www.ptsecurity.com/upload/co...lytics-rus.pdf

[8] https://www.ptsecurity.com/ru-ru/abo...nnacry-protect

[9] https://github.com/ptresearch/Pentes...tya_FastDetect

[satvitek]

Как выглядит кибервойна с Россией

Как Украина стала полигоном для российских кибератак — большая история Wired.


С осени 2015 года Украина регулярно попадает под шквал хакерских атак. Среди жертв — государственные компании и большие медиахолдинги. Нападения приписывают хакерской группировке Sandworm, которую связывают с Кремлем. По словам украинских и международных экспертов, Украина стала полигоном в кибервойне, объявленной Россией. Издание Wired разобралось в этой истории, восстановив хронологию и детали всех атак, а также поговорив с зарубежными и отечественными экспертами по кибербезопасности. Редакция AIN.UA приводит адаптированный перевод материала.

На часах были нули, когда свет погас

Это была субботняя ночь прошлого декабря. Алексей Ясинский сидел на диване с женой и ребенком в своей квартире в Киеве. Сорокалетний эксперт по кибербезопасности и его семья смотрели фильм «Сноуден», когда в здании отключилось электричество.

«Хакеры не хотят, чтобы мы досмотрели фильм», — пошутила жена Ясинского. Она говорила о ситуации, которая случилась год назад, когда из-за кибератаки у четверти миллиона украинцев отключилось электричество. Ясинский, главный аналитик киевской компании, специализирующейся на кибербезопасности, не смеялся. Он посмотрел на часы — ровно полночь.

Скрытый текст

Ясинский прошел на кухню и зажег свечи. Он посмотрел в окно: во всех зданиях на горизонте не было света. Отметив точное время и дату, которая почти совпадала с прошлогодней хакерской атакой, Ясинский понял, что это был не обычный блэкаут.

В его голове засела мысль: в течение последних 14 месяцев Ясинский находился в центре кризиса. Список компаний и госпредприятий, которые обращались к эксперту, постоянно рос. Они хотели, чтобы Ясинский разобрался в кибератаках, которые поражали учреждения. Казалось, что за этим стоит одна и та же группа хакеров. Теперь он не мог подавить ощущение, что это те люди, за которыми он следит больше года, пришли к нему в дом.

Сейчас в Украине воплощается в жизнь сценарий кибервойны. Каждый блэкаут длился не более нескольких часов — столько времени, сколько нужно инженерам, чтобы вручную включить электричество. Но как доказательство концепции, атака создала новый прецедент: в тени России многолетний кошмар, когда хакеры останавливают механизмы современного общества, стал реальностью.

Блэкауты не были изолированными атаками. Они были частью цифрового блицкрига, который наносил ущерб Украине последние три года — непрерывное кибернападение, какого никогда не видел мир. Хакерская армия систематически подрывала практически все сектора Украины: медиа, финансы, транспорт, военный сектор, политику и энергетику. Волны вторжений уничтожали данные, разрушали компьютеры, а в некоторых случаях останавливали работу основных направлений организаций.

В декабре 2016 года Петр Порошенко заявил, что за два предыдущих месяца на 36 объектов в Украине было нанесено около 6500 кибератак. Международные аналитики были в шаге от того, чтобы приписать эти атаки Кремлю, но Порошенко не сомневался: по его словам, расследования, проведенные Украиной, указывают на «прямое или косвенное участие секретных служб России, которые развязали кибервойну против нашей страны».

С самого начала войны на Донбассе, один из главных фронтов этого противостояния был цифровым. В преддверии выборов 2014 года пророссийская группа хакеров «КиберБеркут», которую связывают с Кремлем, взломала сайт Центральной избирательной комиссии, чтобы анонсировать победу ультраправого кандидата в президенты Дмитрия Яроша. Администраторы сайта устранили неполадки меньше чем за час до объявления результатов выборов. Но та атака была только прелюдией к самому амбициозному эксперименту в цифровой войне, шквалу кибератак, которые начались осенью 2015 года и не прекращаются по сей день.

Бывший президент Украины Виктор Ющенко верит, что тактика России, как в интернете, так и за его пределами, имеет одну цель — «дестабилизировать ситуацию в Украине, заставить правительство выглядеть некомпетентным и уязвимым». Он связывает блэкауты и другие кибератаки с российской пропагандой в СМИ, террористической кампанией на Донбассе и своим отравлением.

«Россия никогда не признает Украину суверенной и независимой страной, — говорит Ющенко, на чьем лице все также виднеются шрамы от отравления. — Прошло 25 лет с развала СССР, но Россия до сих пор одержима империалистическим синдромом».
Читайте также: Кибератака Petya: первые факты и теневые зоны

Но многие международные аналитики имеют более масштабную теорию об эпидемии кибератак в Украине. Они верят, что Россия используют Украину как полигон — лабораторию для улучшения новых способов ведения онлайн-войны. И цифровые взрывчатки, которые Россия устанавливала неоднократно в Украине — те же, что и устанавливались, по крайней мере однажды, в гражданской инфраструктуре США.

Воскресным утром, в октябре 2015 года, за год до того, как Ясинский смотрел в окно из своей квартиры на темный горизонт, он сидел рядом с тем же окном, пил чай и ел хлопья. Ему позвонили по работе. На тот момент Ясинский работал директором безопасности медиахолдинга StarLightMedia. Накануне ночью два сервера StarLightMedia по непонятной причине «упали». Ясинского заверили, что серверы уже восстановили из резервных копий. Но он чувствовал себя неспокойно. Два устройства стали недоступны почти одновременно. «Такое случается, когда „падает“ один сервер. Но два одновременно? Это подозрительно».

Ясинский отправился в офис. По прибытию он вместе с администраторами компании обнаружил, что часть жесткого диска сервера, которая говорит компьютеру, где искать его операционную систему, была перезаписана нулями. Это обеспокоило их особенно, так как эти серверы были контроллерами домена, у них был доступ к сотням других машин корпоративной сети.

Ясинский быстро понял, что произошла атака намного хуже, чем казалась. Два поврежденных сервера установили вредоносное ПО на ноутбуки 13 сотрудников StarLightMedia. Тем не менее, Ясинский видел, что ему повезло. Просмотрев сетевой журнал, он обнаружил, что контроллеры домена преждевременно отключились. Атака должна была уничтожить более 200 ПК компании. Впоследствии Ясинский услышал от сотрудников компании ТРК, что они были менее удачливыми. Компания потеряла более 100 компьютеров после аналогичной атаки.

Ясинскому удалось вытащить копию вредоносной программы из сети StarLightMedia. Вернувшись домой, он проанализировал ее код. Эксперт по кибербезопасности был поражен: вредоносное ПО уклонилось от всех антивирусных сканирований и даже выдало себя за другой антивирус — Windows Defender.

На тот момент Ясинский уже 20 лет работал в сфере информационной безопасности. Он управлял массивными сетями и раньше сражался со сложными атаками. Но он никогда не анализировал такое утонченное цифровое оружие.

Ясинский выяснил, что это вредоносная программа, известная как KillDisk — уничтожающий все данные паразит, который существует уже около десятилетия. Чтобы понять, как он попал в их систему, Ясинский и двое его коллег в StarLightMedia приступили к анализу сетевых журналов компании. Отслеживая признаки пребывания хакеров, они пришли к ужасающему выводу — злоумышленники находились в их системе более полугода. В итоге Ясинский определил часть вредоносного ПО, которое служил первоначальной опорой хакеров: это был универсальный троян, известный как BlackEnergy.

Вскоре Ясинский начал узнавать от коллег в других компаниях и в правительстве, что они также были взломаны почти аналогичным способом. Одной из жертв стала «Укрзалізниця». Другие компании попросили не упоминать их. Раз за разом хакеры использовали BlackEnergy для доступа и разведки, а затем KillDisk для уничтожения. Их мотивы оставались за***кой, но их знаки были повсюду.

«С каждым шагом становилось понятно, что наш „Титаник“ нашел свой айсберг. Чем глубже мы копали, тем больше он был», — говорит Ясинский.

Но даже тогда Ясинский не знал реальных масштабов угрозы. Например, он понятия не имел, что к декабрю 2015 года BlackEnergy и KillDisk также находились, но пока не «раскрывали» себя в системах по крайней мере трех крупнейших украинских энергетических компаний.

Сначала Роберт Ли обвинил белок

Это был сочельник 2015 года. На следующий день Роберт Ли должен был отправиться в родную Алабаму, чтобы отпраздновать свадьбу со своей девушкой. Незадолго до этого Ли ушел с престижной работы в одной из спецслужб, название которой состоит из трех букв. Там он занимался кибербезопасностью критических объектов инфраструктуры. Теперь он планировал основать свой стартап, специализирующийся на кибербезопасности.

В то время как Ли готовился к свадьбе, он увидел новость, где сообщалось, что хакеры атаковали энергосистему на востоке Украины. Значительная часть страны осталась без электричества на шесть часов. Ли не придал значение новости — у него были дела важнее. Он слышал ложные заявления о взломанных энергосистемах много раз. Причиной, как правило, был грызун или птица — идея о том, что белки представляют большую угрозу для энергосистемы стала шуткой в отрасли.

Впрочем, на следующий день, перед самой свадьбой, Ли получил текст о предполагаемой кибератаке от Майка Ассанте, сотрудника SANS Institute, элитного учебного центра в сфере кибербезопасности. Это привлекло внимание Ли: когда дело доходит до киберугроз для электросетей, Ассанте считается одним из самых уважаемых экспертов в мире. И он рассказал Ли, что украинский блэкаут выглядит реальной хакерской атакой.

Сразу после того, как Ли дал обет и поцеловал невесту, источник в Украине тоже прислал ему сообщение: человек сообщил, что блэкаут действительно был и ему нужна помощь американского эксперта. Для Ли, который провел свою карьеру, готовясь к кибератакам инфраструктуры, наконец-то наступил момент, который он ожидал годами. Поэтому он ушел с церемонии и стал переписывать с Ассанте.

Вскоре Ли добрался до компьютера в родительском доме, который находился неподалеку. Работая в тандеме с Ассантом, они анализировали карты Украины и схему энергосистемы страны.

Три пораженные электрические подстанции находились в разных регионах страны, в сотнях километрах друг от друга. «Это были не белки», — подытожил Ли. До самой ночи эксперт препарировал вредоносный KillDisk, который ему отправил источник из Украины. Через несколько дней он получил образец кода BlackEnergy и данные об атаках. Ли увидел, что вторжение началось с фишингового письма, которое выдавало себя за сообщение от украинского парламента. Вредоносный файл Word бесшумно запускал скрипт на устройствах жертв, устанавливая BlackEnergy.

Как оказалось, хакеры распространились по сетям энергетических компаний и в конечном итоге скомпрометировали VPN, которую предприятия использовали для удаленного доступа к своей сети.

Глядя на методы нападавших, Ли начал формировать представление о том, кто были хакерами. Он был поражен сходством между тактикой этих злоумышленников и группой хакеров, которая недавно приобрела известность как Sandworm.

Никто не знал о намерениях этих людей. Но все указывало на то, что они из России: компания, специализирующаяся на кибербезопасности FireEye выяснила, что одна из характерных техник группы была представлена на конференции российских хакеров. И когда инженерам FireEye удалось получить доступ к одному из незащищенных серверов, они нашли инструкции по использованию BlackEnergy на русском языке вместе с другими русскоязычными файлами.

Роберт Ли

Больше всего беспокоит американских аналитиков то, что цели Sandworm простираются западнее Атлантического океана. Ранее 2014 году правительство США сообщило, что хакеры запустили BlackEnergy в сетях американских энергокомпаний и предприятий по водоснабжению. Эти вторжения были также связаны с Sandworm.

Для Ли пазл сложился: похоже, что та же самая группа, которая только что выключила свет четверти миллиона украинцев, недавно заразила компьютеры американских электрических подстанций теми же вредоносными программами.

Прошло всего несколько дней после рождественского блэкаута, и Ассанте подумал, что еще рано начинать обвинять в атаке какую-либо конкретную группу хакеров — не говоря уже о правительстве. Но Ли мысленно поднял тревогу. Нападение на Украину представляло собой нечто большее, чем просто далекое исследование. «Противник, который уже нацелился на американские энергетические компании, пересек черту и атаковал энергосистему. Это была непосредственная угроза США».

В холодный ясный день несколько недель спустя в Киев прибыла команда американцев.Среди них были люди из ФБР, Министерства энергетики США, Министерства внутренней безопасности, организации North American Electric Reliability Corporation и другие. Среди них был также Ассанте.

В первый день прибывшие собрались в конференц-зале отеля «Хаятт» с персоналом «Киевоблэнерго», одной из жертв атак. В течение следующих нескольких часов инженеры украинской компании рассказали о рейде на свою сеть.

Во второй половине дня 23 декабря 2015 года сотрудники «Киевоблэнерго» беспомощно наблюдали за тем, как отключались подстанции за подстанциями, которые, по-видимому, управлялись невидимыми компьютерами в их сети.

Специалисты «Киевоблэнерго» определили, что нападавшие удаленно создали собственную копию управляющего программного обеспечения на ПК в далеком объекте, а затем использовали этот клон для отправки команд.

После того, как десятки тысяч украинцев остались без света, хакеры начали новую фазу атаки. Они переписали прошивку конвертеров serial-to-*ethernet — небольших коробок на серверах подстанций, которые переводили интернет-протоколы для взаимодействия со старым оборудованием. Переписав этот код — трюк, на создание которого, вероятно, потребовались недели, — хакеры надолго заблокировали устройства и не давали законным операторам управлять выключателями.

Майк Ассанте

Хакеры также оставили одну из своих визитных карточек, запустив KillDisk, чтобы уничтожить несколько компьютеров компании. Но самый жестокий элемент взлома заключался в атаке по резервным батареям контрольных станций. Когда электричество отключилось в регионе, станции также потеряли электроэнергию. С предельной точностью хакеры создали блэкаут в блэкауте.

После встречи в «Хаятте» делегация отправилась в «Прикарпатьеоблэнерго», которое находится в Ивано-Франковске. В компании описали атаку, которая была идентична той, что произошла на «Киевоблэнерго». BlackEnergy, поврежденная прошивка, резервная система питания, KillDisk.

Но в этой операции злоумышленники сделали еще один шаг, завалив колл-центры компании фальшивыми телефонными звонками — возможно, чтобы не допустить предупреждения об отключении электроэнергии или просто чтобы добавить больше хаоса и унижения.

Было и еще одно различие. При атаке на «Прикарпатьеоблэнерго» хакеры не копировали ПО, чтобы через подделку отключать электроэнергию. Вместо этого они воспользовались инструментом службы поддержки компании, чтобы получить контроль над передвижениями мышки на компьютерах предприятия. Перед глазами сотрудников фантомные руки щелкали по десяткам выключателей, каждый из которых отвечал за конкретную станцию, и отключали их.

Центральный офис «Прикарпатьеоблэнерго»

В августе 2016 года, спустя восемь месяцев после рождественского блэкаута, Алексей Ясинский покинул StarLightMedia. Чтобы не отставать от хакеров, ему нужно было получить более целостное представление об их работе, а Украине необходимо было последовательнее реагировать на действия наглой организации, которой стала Sandworm.

Ясинский возглавил отдел исследований в киевской компании Information Systems Security Partners. Тогда она была мало кому известна. Но Ясинский превратил ее в компанию, которая де-факто стала первой отвечать на цифровую осаду Украины.

Вскоре после того как Ясинский поменял рабочее место, как будто по команде, страна попала под другую, даже более сильную волну атак. Среди жертв были пенсионный фонд Украины, Госказначейство, Министерства инфраструктуры, обороны и финансов.

Хакеры снова атаковали «Укрзалізницю», на этот раз «уронив» систему онлайн-бронирования на нескольких дней — в самый разгар сезона путешествий. Как и в 2015 году, в большинстве атак использовалась KillDisk. В случае с Министерством финансов атака удалила терабайты данных, в то время как орган готовил бюджет на следующий год.

16 декабря 2016 года Олег Зайченко сидел в комнате управления одной из подстанций на севере Киева. Он заполнял документы, когда внезапно раздался сигнал тревоги. Справа от себя Зайченко увидел, что два огня, указывающих на состояние выключателей системы передачи, переключились с красного на зеленый — на универсальном языке инженеров это означало, что они отключены. Специалист позвонил оператору в штаб-квартиру «Укрэнерго», чтобы предупредить его о рутинной аварии. В это время загорелся еще один зеленый индикатор. В то время как Зайченко в спешке объяснял ситуацию удаленному оператору, все больше индикаторов становились зелеными: сначала восемь, потом десять, потом двенадцать.

По мере того как ситуация обострялась, оператор приказал Зайченко выбежать на улицу и проверить физическое состояние оборудования. В этот момент 20-й и последний выключатель отключился, и огни в диспетчерской погасли.

В этот раз атака была произведена на подстанцию мощностью в 200 МВт — больше, чем суммарная мощность 50 распределительных устройств, которые подверглись атаке в 2015 году. К счастью, система «упала» всего на час — не слишком долго, чтобы начали замерзать трубы или местные жители начали паниковать, — прежде чем инженеры «Укрэнерго» начали вручную закрывать выключатели и возвращать все к сети.

Атака была выполнена с использованием адаптируемого вредоносного ПО известного как CrashOverride, которое закодировано для автоматического уничтожения сети. Стартап Роберта Ли Dragos и компания ESET определили, что CrashOverride мог «говорить» на языке протоколов системы управления сетью и, таким образом, отправлять команды непосредственно на оборудование.

И CrashOverride — это не просто одноразовый инструмент, ориентированный только на сеть «Укрэнерго». Исследователи говорят, что это многоразовое и адаптируемое оружие разрушения электрических сетей.

Никто не знает, как или где случатся последующие атаки Sandworm. Будущий взлом может быть нацелен не на распределительную или передающую станцию, а на конкретно электростанцию. Атака может быть создана не просто, чтобы отключить оборудование, а для того, чтобы его уничтожить.

Подстанция «Северная», которая была атакована вредоносным ПО CrashOverride

Сейчас Ясинский уже два года сосредоточен на противостоянии с хакерской группировкой Sandworm, начиная с первой атаки на StarLightMedia. Он рассказывает, что пытался поддерживать беспристрастный взгляд на злоумышленников, которые обыскивают его страну. Но когда блэкаут затронул и его дом, то он почувствовал себя «ограбленным».

Ясинский говорит, что невозможно точно узнать, сколько украинских учреждений было поражено во время кибератак. Любая цифра может быть заниженной. На каждую общеизвестную цель есть, по крайней мере, одна тайная жертва, которая не подтвердила атаку, а также есть и другие компании, которые еще не обнаружили вредоносное ПО в своих системах.

Хакеры уже работают над своей следующей атакой. За Ясинским двое сотрудников очищают корпоративную систему от вредоносного ПО, которое компания получила накануне из новой волны фишинговых писем. Атаки, отметил Ясинский, разделились на сезонные циклы. В первые месяцы года хакеры закладывают основу будущей атаки, бесшумно проникают в устройства жертв и расширяют свои позиции. В конце года они нападают.

Ясинский знает, что основа для следующего вторжения уже заложена. Говоря о следующем раунде, Ясинский подчеркивает, что это похоже на подготовку к приближающемуся финальному экзамену. Но, по большому счету, он считает, что то, с чем Украина столкнулась в течение последних трех лет, возможно, было всего лишь серией тестов.

Он называет атаки одним словом: полигон. Учебная площадка. Ясинский предполагает, что даже в самых опасных атаках хакеры могли пойти дальше. Они могли бы уничтожить не только сохраненные данные Министерства финансов, но и его резервные копии. Вероятно, они могли бы вывести из строя станцию «Укрэнерго» на более долгий срок или обеспечить постоянный физический вред сети.

«Они до сих пор играют с нами», — отмечает Ясинский. Каждый раз хакеры отступали перед достижением максимально возможного ущерба, как бы храня свои истинные возможности для какой-либо будущей операции.

Многие международные аналитики пришли к такому же выводу. Где лучше тренировать армию кремлевских хакеров — в цифровом бою или в неограниченной атмосфере горячей войны внутри сферы влияния Кремля?

По словам Томаса Рида, профессора Королевского колледжа Лондона, Россия также нащупывает границы вседозволенности. Кремль вмешался в украинские выборы и не получил отпор. Затем он пробовал аналогичную тактику в Германии, Франции и Соединенных Штатах. Российские хакеры безнаказанно отключили электроэнергию в Украине — логическую цепочку не трудно завершить.

Как будет выглядеть следующий шаг? В тусклой комнате лаборатории ISSP Ясинский признает, что не знает. Возможно, еще один блэкаут. Или, возможно, целенаправленная атака на предприятие, обеспечивающее водоснабжение. «Используйте свое воображение», — сухо говорит он.

«Киберпространство не является самоцелью — утверждает Ясинский. — Это среда». И эта среда во всех отношениях связана механизмами самой цивилизации.

[свернуть]

[satvitek]

Израильский специалист нашел способ, как бороться с вирусом Petya

Исследователь в области компьютерной безопасности Амит Серфер из Израиля нашел способ борьбы с вирусом-вымогателем Petya.

«Когда вредоносный вирус начинает работать, он (вирус — ред) проверяет, не был ли он заражен этим же вирусом в прошлом. Это делается, чтобы избежать повторного шифрования данных», — заявил изданию эксперт Амит Серфер из компании Siibrizn Labs.

По его словам, в рамках этой проверки вирус ищет имя определенного файла в папке Windows»: C:windowsperfc.

По словам Серфера, если вирус Petya находит этот файл, то «решает», что компьютер уже был атакован, поэтому сразу прекращает действия. Таким образом, по его словам, добавление в компьютерные системы файла с таким названием может стать своеобразной «вакциной» от Petya.

Для того, чтобы имитировать ситуацию с заражением, следует создать, например, в программе «Блокнот» файл perfc и разместить его в указанной папке на этом диске.

В свою очередь, Би-Би-Си отмечает, что эксперты из других стран также сообщают об эффективности данного метода. Но при этом они подчеркивают, что такая защита ограждает компьютер от вмешательства вируса, но, тем не менее, он остается «носитетем» Petya и, следовательно, может передавать его другим пользователям.

Способа полного уничтожения вируса во всем киберпространстве специалисты пока не нашли.

Би-Би-Си констатирует, что для подавляющего большинства пользователей компьютерами использование обновленной версии Windows поможет избавиться от вызванных вирусом потенциальных проблем.

Во вторник компьютерный вирус Petya стал причиной сбоев работы в ряде компаний по всему миру. В десятку стран, которых чувствительнее всего затронул вирус, вошли Италия, Израиль, Сербия, Венгрия, Румыния, Польша, Аргентина, Чехия и Германия.

[satvitek]

Стало известно, как выглядит письмо с вирусом Petya.A

Процесс заражения компьютеров может происходит годами

Заместитель министра информационной политики Украины Дмитрий Золотухин показал, как может выглядеть фишинговое письмо с вирусом Petya.A. После открытия вложения письма запускается скрипт, который инфицирует компьютер получателя и все устройства, связанные с ним по внутренне-корпоративной сети, пояснил чиновник.

По данным Золотухина, процесс может происходить годами, инфицируя тысячи компьютеров. "Цель применяемых методов социальной инженерии заключается в том, чтобы подталкивать получателя письма заинтересоваться содержимым вложенного файла. Я неоднократно видел, как офисные сотрудники просто автоматически кликают по названиях вложенных файлов, открывая вложения", - отметил Золотухин.


Атака вируса на ряд стратегических компаний в Украине началась 27 июня.

От кибератак пострадали "Новая почта", Укрпочта", клиника "Борис", "Киевэнерго" и "Укрэнерго", медиахолдинг ТРК "Люкс" и его "24 Канал", национальная сеть радиостанций "Радио Люкс" и "Радио Максимум", компьютерная система Кабмина, аэропорта "Борисполь", "Ощадбанк", киевский метрополитен, сайт журнала "Корреспондент", издание "КП в Украине", несколько сетей заправок и облэнерго, сеть "Ашан", "Приватбанк" и многие другие. Чернобыльская АЭС вовсе перешла на ручной мониторинг радиации из-за кибератак.

[satvitek]

Symantec нашел легкий способ защиты от вируса-вымогателя

Специалисты компании Symantec опубликовали рекомендации по защите компьютера от заражения вирусом-вымогателем Petya (Вирус Петя), который 27 июня атаковал компании по всему миру. Для этого надо сделать вид, что компьютер уже заражен.

В момент атаки Petya ищет файл C:Windowsperfc. Если такой файл на компьютере уже есть, то вирус заканчивает работу без заражения.

Чтобы создать такой файл для защиты от Petya (вируса Петя) можно использовать обычный «Блокнот». Причем разные источники советуют создавать либо файл perfc (без расширения), либо perfc.dll. Специалисты также советуют сделать файл доступным только для чтения, чтобы вирус не мог внести в него изменения.

Эксперты FireEye предположили, что вирус могли изначально распространить по украинским компаниям через обновление бухгалтерской программы M.E.Doc. Создатели программы утверждают, что это не так, поскольку последнее обновление было разослано еще 22 июня — за пять дней до атаки.

#Petya checks for preexisting infection by looking for its own filename,usually C:windowsperfc.Creating this file may help as a killswitch pic.twitter.com/yh8O1v6CzB
— Security Response (@threatintel) 27 июня 2017 г.

[satvitek]

Гендиректор Rozetka: Как минимум транспортом для вируса Petya стал M.E.Doc – стукачик, которого всучил нам Клименко


Программа M.E.Doc, через которую, вероятно, распространился вирус Petya, работает на компьютерах с правами суперпользователя и может самостоятельно запускать файлы, чего не должна делать согласно документации, рассказал генеральный директор интернет-супермаркета Rozetka Владислав Чечеткин, добавив, что программу "всучил" представителям бизнеса экс-министр доходов и сборов Украины Александр Клименко.

Бухгалтерское программное обеспечение M.E.Doc могло быть минимум "транспортом" для вируса Petya, который атаковал компьютеры ряда компаний и учреждений. Об этом в Facebook написал генеральный директор интернет-супермаркета Rozetka Владислав Чечеткин.

"Налоговая опять "помогла" бизнесу. Есть почти полная уверенность, что как минимум транспортом для вируса стал M.E.Doc, это стукачик, которого всучил нам Клименко (экс-министр доходов и сборов Украины в правительстве Николая Азарова Александр Клименко. – "ГОРДОН")", – написал Чечеткин.

По его словам, есть еще две "плохие новости".

"Вирус был распространен ранее, а сегодня активирован, и никто не знает, как долго он был и что еще всунули. M.E.Doc (если это он) работает с правами суперпользователя, а по-другому не работает, и умеет запускать файлы на наших компьютерах, чего не должен делать по документации. А что еще он делает, чего не должен?" – заявил гендиректор Rozetka.

Чечеткин добавил, что "отчетность пока можно не сдавать, так как налоговая тоже не работает".

В Украине 27 июня была зафиксирована масштабная кибератака, "вирус-вымогатель" парализовал работу компьютерных сетей в банках, СМИ, торговых организациях и так далее.

Западная пресса сообщила о блокировке компьютерных сетей крупнейшей транспортной компании Европы Maersk, а также компаний в Великобритании, Нидерландах, Литве и других странах.

Название вируса, шифрующего файлы на жестком диске всех компьютеров в зараженной сети, – Petya.A. В Службе безопасности Украины заявили, что для атаки была использована новая версия "вируса-вымогателя", и опубликовали перечень рекомендаций по противодействию вирусу.

28 июня в Кабинете Министров сообщили, что ситуация с компьютерным вирусом, поразившим украинские предприятия и учреждения 27 июня, находится под полным контролем специалистов по кибербезопасности.

Департамент киберполиции Нацполиции Украины за сутки получил больше 1 тыс. сообщений, связанных с кибератакой, которая началась 27 июня.

Министр доходов и сборов в правительстве Николая Азарова Александр Клименко сейчас находится в международном розыске. Ему инкриминируют злоупотребление властью и служебным положением, а также уклонение от уплаты налогов в особо крупных размерах.

[satvitek]

Целью вирусной атаки Petya.A были не деньги – ООН

Следователи до сих пор не могут установить инициаторов последней глобальной кибератаки, но стратегия нападающих указывает, что не деньги были основным мотивом их действий. Об этом сообщил председатель Глобальной программы ООН по киберпреступности Нил Уолш, передает "Радио Свобода".

Программное обеспечение, использованное при атаке на этой неделе, было сложнее, чем то, которое применялось в предыдущих атаках с применением вируса WannaCry, отметил специалист. Но инициаторы новой атаки неопытны в вопросе сбора выкупа от жертв в обмен на разблокирование их компьютеров, утверждает Уолш.

Это позволило 28 июня заблокировать учетную запись и сделать невозможным получение денег.

"Это может быть кто угодно: от одного парня, сидящего в подвале, до государства", – сказал Уолш.