Вирус-вымогатель Petya.A атаковал Украину и Россию

Group-IB обнаружила новую волну эпидемии вируса-шифровальщика. А отличие от получившего всемирную известность WannaCry, новый вирус специализируется в основном на России и Украине. В Group-IB сообщили, что вирус блокирует компьютеры и требует $300 в биткоинах.

Среди жертв кибератаки оказались сети "Башнефти", "Роснефти", украинских компаний "Запорожьеоблэнерго", "Днепроэнерго" и Днепровской электроэнергетической системы, также заблокированы вирусной атакой Mondelēz International (крупный производитель продуктов питания), Ощадбанк, Mars, "Новая Почта", Nivea, TESA и другие. Киевский метрополитен также подвергся хакерской атаке. Атакованы правительственные компьютеры Украины, магазины Auchan, украинские операторы ("Киевстар", LifeCell, "Укртелеком"), "Приват Банк", аэропорт "Борисполь", — говорится в сообщении Group-IB.

Первые сообщения об атаке Petya.A появились приблизительно в 15:00 по московскому времени. Сообщения о вирусе поступали из Киева, Одессы и Житомира.

Из-за атаки «легла» система оплаты в Киевском метрополитене.

На Украине предсказуемо обвинили в эпидемии российские спецслужбы. Депутат Рады от «Народного фронта» Антон Геращенко заявил, что кибератака под видом вируса-вымогателя была организована российской стороной. «Это еще один пример использования кибератак в гибридной войне против нашей страны», - заявил Геращенко.

Жертвами атаки также стали украинские медиа, среди которых медиахолдинг ТРК «Люкс», куда входит «24 канал», «Комсомольская правда» и «Корреспондент».

В России Центробанк объявил, что обнаружены "единичные случаи заражения объектов информационной инфраструктуры банков". В частности банк "Хоум Кредит" был вынужден закрыть все отделения из за сбоев, вызванных атакой вируса. Атаке вируса подверглась группа Evaraz, ее представители сообщили, что производство и персонал компании сейчас вне опасности.

Сегодня днем также появлялись сообщения, что из-за эпидемии вируса даже остановилась добыча на ряде предприятий «Роснефти», сама компания это отрицает.

 

Добавить 6 комментариев

  • Ответить

    А в статье на BFM(https://www.bfm.ru/news/358218) сказано, что о закладке АНБ в ОС Microsoft Windows было известно. А как же тогда Windows проходила сертификацию ФСБ(на отсутствие закладок и всё такое) ? Выходит сертификация была липовой ? Это тянет на гос. измену. И будут ли теперь отзывать ранее выданный сертификат ? Интересно, такая процедура вообще предусмотрена ?

  • Ответить

    Это была не закладка, а баг, известный АНБ и более никому. Естественно, при сертификации его не нашли.

    «Сразу после скандала корпорация выпустила заплатку, но судя по атаке вируса Petya, заплатка проблему не решила, то есть была липовой. » — а вот это вообще чушь, потому что вчерашний вариант Petya использовал много способов распространения, в том числе АНБ-шную дырку, но не только её.

    «How does the ransomware spread?

    To capture credentials for spreading, the ransomware uses custom tools, a la Mimikatz. These extract credentials from the lsass.exe process. After extraction, credentials are passed to PsExec tools or WMIC for distribution inside a network.

    Other observed infection vectors include:

    A modified EternalBlue exploit, also used by WannaCry.

    The EternalRomance exploit – a remote code execution exploit targeting Windows XP to Windows 2008 systems over TCP port 445 (Note: patched with MS17-010).

    An attack against the update mechanism of a third-party Ukrainian software product called MeDoc.

    IMPORTANT: A single infected system on the network possessing administrative credentials is capable of spreading this infection to all the other computers through WMI or PSEXEC.»

    https://securelist.com/schroedingers-petya/78870/

  • Ответить

    >А как же тогда Windows проходила сертификацию ФСБ

    Мне почему то кажется что ФСБ бы не стала сертифицировать версию ОС которая в последствии будет автоматически обновляться, т.е. получать код не прошедший проверку, думается мне что ОС с сертификатом ФСБ не совсем такая как для массового потребителя и обновляться она будет совсем по другому, но это имхо, не специалист в этом, так, поразмышлял логически, может сотрудник ФСБ и ошибку совершил, или даже измену….