Недовыловленные МВД и сотовыми операторами хакеры потребовали от них (и многих других) денег

Развитие событий: Абоненты «МегаФона» и «Йоты» остались без связи из-за аварии в ПО Hewlett-Packard (19 мая 2017)

Компьютеры МВД атаковал вирус-шифровальщик, рассказал RNS основатель и глава Group-IB Илья Сачков. Одновременно вирус поразил офисные компьютеры российского оператора связи «Мегафон» [не путать с серверами, обеспечивающими услуги связи, функционирующими без сбоев]. Директор «Мегафона» по связям с общественностью Петр Лидов заявил «Медузе»: «Компьютеры шифровались и просили выкуп. Оформление такое же» (пресс-службы «Билайна» и МТС рассказали Content Review, что их вирус не затронул, в Tele2 попросили уточнить контекст вопроса и ничего больше не рассказали на момент публикации).

61eede7e6c44e8

Иллюстрация из трансляции TJournal, издание следит за развитием эпидемии

Антивирусная компания Avast подсчитала, что 12 мая насчитываются десятки тысяч заражений вирусом-шифровальщиком по всем миру, но преимущественно в России, на Украине и Тайване. На поражённых компьютерах демонстрируется предложение заплатить владельцам вируса биткоинами.

https://twitter.com/JakubKroustek/status/863045197663490053

Класс вирусов шифровальщиков-вымогателей хорошо известен. Интересно, что в значительном числе прошлых заражений владельцы вируса просили расплачиваться с ними не биткоинами, а такими методами, как, например, платная SMS. Эти номера предоставляют так называемые «контент-провайдеры» (альтернативные способы платежа: Qiwi кошелёк, пополнение номера телефона), но без достаточно пассивной позиции сотовых операторов, работа подобных структур в сотовых сетях была бы невозможна.

Добавить 22 комментария

  • Ответить

    В пятницу по всему миру прошла волна хакерских атак с использованием программы ransomware WanaCrypt0r 2.0 (WannaCry). По данным «Лаборатории Касперского», хакеры произвели более 45 тыс. попыток заражения различных систем в 74 странах. Целями злоумышленников, вымогавших выкуп за доступ к зашифрованным вирусом файлам, стали, в частности, медучреждения в Великобритании, испанская телекоммуникационная компания Telefonica, американский почтовый гигант FedEx, российские Сбербанк, «МегаФон» а также МВД и МЧС России.
    https://russian.rt.com/world/article/388956-hackery-virys-kiberataka

  • Ответить

    Интересно, что значит «попыток заражения»?

    Вот у нас месяца три назад словил шифровальщика комп, стоявший с открытым Remote Desktop, подобрали пароль. Каждый пароль — попытка заражения?

  • Ответить

    Гм это теперь называется вирусами которые что там там атакуют ? И как они это интересно делают ? Мечами и палками или просто тупизной местных админов эникейщиков ?

  • Ответить

    Плюс непонятно что там они шифровать могут то ? К бд они вряд ли подберутся а вот разве что к локальным файлам ? Ну и в какой организации информация относящаяся к работе так хранится

  • Ответить

    И, кстати, чего это вирус к базе не подберется если он уже проник во внутреннюю сеть, а сервер на Винде?

  • Ответить

    >Антивирусная компания Avast подсчитала, что 12 мая насчитываются десятки тысяч заражений вирусом-шифровальщиком по всем миру, но преимущественно в России, на Украине и Тайване.

    интересно, а тут совсем другая картинка была
    https://cdn-images-1.medium.com/max/1400/1*iYeMwtu3n9DugpAEAegcxw.jpeg

    или вот еще
    https://twitter.com/malwrhunterteam/status/863332111742365696

    в какой момент Россия с Украиной стали основным пострадавшими-то?

  • Ответить

    Нехилый удар по биткоину, что то мне кажется что у анонимных валют такого плана скорее всего уже нет будущего, но уже точно есть враги в лице многих правительств мира во главе с сша.
    Особенно показателен пример с больницами, чтоб пипл наглядно ощутил на себе какие хакеры и их биткоин плохие и заслуживают возмездия от всей гос. машины просветленного запада.
    Может этот вирус ребята из АНБ и запустили?
    Чтоб попросить у народа еще больше затянуть пояса своей свободы и чтоб все начали приходить к мысли что валюта не привязанная в конкретной стране и анонимность в принципе это большое зло.

    Схема стройная получается, ребята из викиликс выкладывают цифровое оружие АНБ на всеобщий доступ и потом это же оружие «кто-то» используют на полную катушку для устрашения плебса под видом офигевших хакеров, чтоб никто и не думал там себе конкурентов доллару создавать даже в теории.

    PS Похоже на то что викиликс это филиал АНБ или ЦРУ, по крайней мере ощущается синхронность действий.

  • Ответить
    Игорь Ашманов Сам себе компания

    Главное, что это выдумки СМИ про огромный мастштаб атаки, «саму большую атаку в истории» и т.п.
    Офигеть, 300 тысяч заражённых компьютеров и 40 тысяч долларов заработано создателями вируса!
    That’s a fucking achievement (c).

    Это бытовая, каждодневная атака. Большие атаки, например, такие:
    https://ru.wikipedia.org/wiki/ILOVEYOU
    Червь I Love You, три миллиона заражений.

    Или такие:
    https://xakep.ru/2003/01/27/17448/
    Сламмер, падение Южной Кореи, нарушение работы выборов в Канаде, замедление Интернета по всему миру.

    А вот это повседневность — ботнет на пару миллионов компьютеров, который просто тихо работает, без вот этого всего, зарабатывая миллионы долларов в день:
    https://habrahabr.ru/company/kingservers/blog/318172/

    То есть WannaCrypt — это чисто медийная атака, всех этих ток-шоу и переписывателей заголовков друг у друга.

  • Ответить

    >То есть WannaCrypt — это чисто медийная атака

    Тогда все ясно, понятно, штаты начали наезд на анонимность в интернете и прочую слабо ими контролируемую активность, стройно все получается, сначала русские хакеры, теперь «глобальная» интернет «эпидемия» высосанная из пальца и как то прицельно по больницам и прочей социальной инфраструктуре массовой.

    Но в общем это считаю соответствует и нашим интересам тоже, в борьбе с анонимностью в сети, которая в общем для любого государства и экономики большое зло, а то мы прям такие злобные ненавистники интернет свободы со своей Яровой а они стражи свободы, а тут интересы совпадают, вот человек на роеме выкладывал:
    http://www.pcgamer.com/goodbye-internet-privacy-us-house-of-representatives-just-killed-fcc-privacy-rules/

    Ради такого хорошего дела можно и хакеров наших активизировать, поддать так сказать жару, чтоб прям совсем ужас-ужас был с этими атаками, наши СМИ обязательно нужно подключать на полную катушку чтоб население считало что Яровая как то либерально с интернетом обошлась, мягко что ли, женщина же, могла бы и пожестче гайки крутнуть.

    Многим покажется что любая власть, любой страны враг всего хорошего и свободного в интернете, но по факту человечество стоит на пороге перехода в новую цифровую экономику которая никак не совместима с анонимностью и валютами типа биткоин, и различные государства здесь могли бы объединить свои усилия, благое дело для всех, хоть для нас, хоть для амеров.

    PS А пушку викиликс таки не плохую себе сша заимели, всегда снимал шляпу перед сша как они здорово умеют какать в мозги всей планете, очень прям тонко и красиво, с чувством, с толком, с расстановкой, гебельс будет доволен, дело его живет и процветает с невиданным ранее размахом.

  • Ответить

    Ну вы как ребенок, Игорь Станиславович.
    Ну да, ботнет на полмиллиона. Ну да, два крупных сайта полдня не работали. Но все полечили и жизнь восстановилась как прежде. Ужас-ужас.

    А тут у пострадавших пропажа всех документов, всех архивов. Это атака совершенно рутинного размера, но совершенно нерутинная по последствиям.

    P.S.: бабла подняли уже 65 000 и поднимут еще, когда больше пострадавших разберется, как заплатить http://howmuchwannacrypaidthehacker.com/

  • Ответить

    Посмотрел трансляцию на tjournal.ru. Откуда такой масштаб поражения компьютеров сотрудников МВД.
    Я уверен, что у меня в почтовом ящике в папке СПАМ если поискать есть пара писем с подозрительным вложением, запускать которые нельзя. И заголовок у писем составлен с приемами социальной инженерии, что на английском, некий Invoce #, или сканированный документ в PDF отправленный по почте с некого корпоративного сканера Canon, и российские варианты со счетами на оплату, или документацией по тендерам… Бывали и письма в стиле «фото с отдыха», «как мы отрывались».

    Интересно, а что было написано в заголовке и теле письма, что сотрудник МВД получив его, ничего не заподозрил и открыл вложение?

  • Ответить

    > Интересно, а что было написано в заголовке и теле письма, что сотрудник МВД получив его, ничего не заподозрил и открыл вложение?

    Действительно, любопытно, почему, по-вашему мнению, этот конкретный зловред, который распространяется совершенно другим образом, имеете какое-то отношение к спам-письмам.

    Всех, понимаете ли, заражает через дырку в SMB1, а некоторого сотрудника из конкретного мвд, видите ли, через спам-письмо.

    Любопытное допущение.

  • Ответить

    Бывают компы, сидящие на настоящих IP, которым никто не удосуживается отключить «обмена файлами Микрософт».

    Кто-то из буржуев эксперементировал — WannaCry приходил к ним за полчаса.

  • Ответить

    Винлокеры это вообще детский сад, но и шифровальщики, вы абсолютно правы, это «рутинный функционал».
    Вот только до сих пор ни один из них, насколько мне известно, не распространялся через пусть не 0-day, но относительно свежую уязвимость в сетевом стеке, так, чтобы заражение не требовало никаких действий со стороны жертвы.

    Другими словами ни метод распространения не представляет собой ничего особенного, ни нагрузка, а вот их комбинация создала очень неприятную и серьезно пугающую комбинацию.

    PS: сборов уже 80 000.