تعرضت أجهزة الكمبيوتر التابعة لشركة النفط Rosneft إلى "هجوم قرصنة قوي" بدا وكأنه تعديل للفيروس المثير - برنامج الفدية WannaCry. اتصلت الشركة بوكالات إنفاذ القانون ويجري التحقيق.

وقالت شركة روزنفت إن خوادمها تعرضت لـ”هجوم قراصنة قوي”. كتبت الشركة عن هذا في تغريد. صرح السكرتير الصحفي لشركة Rosneft ميخائيل ليونتييف لـ RBC أن معظم خوادم الشركة بها حماية موثوقةوأكد أن الشركة تتعامل مع العواقب هجوم القراصنةإلى النظام الخاص بك.

تشير المواد التي حصل عليها المحررون إلى أن أجهزة كمبيوتر Rosneft أصيبت بفيروس تشفير مشابه لـ Petya. وقال مصدر في إنفاذ القانون لـ RBC إن شبكات باشنفت، التي تسيطر عليها روسنفت، تعرضت لنفس الهجوم.

تضيف مصادر "فيدوموستي" أن جميع أجهزة الكمبيوتر في مصفاة "باشنفت" و"باشنفت-دوبيش" وإدارة "باشنفت" "أعيدت تشغيلها مرة واحدة، وبعد ذلك قاموا بتنزيل ملف مجهول" برمجةوعرض شاشة البداية فيروس بيتيا" ويشير المنشور إلى ظهور رسالة على شاشة المستخدمين تطلب منهم تحويل 300 دولار من عملات البيتكوين إلى العنوان المحدد، وبعد ذلك سيتم إرسال مفتاح للمستخدمين لفتح أجهزة الكمبيوتر الخاصة بهم عن طريق البريد الإلكتروني. وتم التأكيد أيضًا على أن الفيروس قام بتشفير جميع البيانات الموجودة على أجهزة كمبيوتر المستخدمين.

حاليًا، أكملت محكمة التحكيم في باشكورتوستان اجتماعًا نظرت فيه في مطالبة شركة Rosneft وشركة Bashneft التي تسيطر عليها ضد AFK Sistema وSistema-Invest لاسترداد 170.6 مليار روبل، والتي تكبدت خسائر وفقًا لشركة النفط Bashneft. نتيجة لإعادة التنظيم في عام 2014. وأشار المتحدث باسم شركة روزنفت ميخائيل ليونتييف على تويتر إلى أنه يأمل حقًا ألا يكون هذا الهجوم مرتبطًا بأي حال من الأحوال بالدعاوى القضائية للشركة.

محدث: بدأت البرامج الضارة (نسخة جديدة من Ransom:Win32/Petya وفقًا لأبحاث Microsoft) في الانتشار في 27 يونيو في أوروبا. وتم تسجيل الحوادث الأولى في أوكرانيا، حيث أصيب ما مجموعه 12.5 ألف جهاز كمبيوتر. في المجمل، تأثرت شركات في 64 دولة ببرامج الفدية الجديدة، بما في ذلك بلجيكا والبرازيل وألمانيا وروسيا والولايات المتحدة الأمريكية وغيرها الكثير.

يتمتع برنامج تشفير Petya الجديد بوظائف دودة الشبكة، مما يسمح له بالانتشار بسرعة عبر الشبكة. ومن خلال القيام بذلك، فإنه يستخدم استغلالًا لثغرة أمنية مغلقة منذ فترة طويلة في بروتوكول SMB CVE-2017-0144 (المعروف باسم EternalBlue)، والذي تم استغلاله أيضًا بواسطة فيروس برامج الفدية. بالإضافة إلى ذلك، تستخدم Petya ثغرة ثانية للثغرة الأمنية CVE-2017-0145 (المعروفة باسم EternalRomance)، والتي أغلقتها Microsoft أيضًا في نفس النشرة).

بعد ظهر يوم 27 يونيو، أبلغت شركة روزنفت عن هجوم قراصنة على خوادمها. وفي الوقت نفسه، ظهرت معلومات حول هجوم مماثل على أجهزة الكمبيوتر التابعة لشركة Bashneft وUkrenergo وKyivenergo وعدد من الشركات والمؤسسات الأخرى.

يقوم الفيروس بتأمين أجهزة الكمبيوتر ويبتز الأموال من المستخدمين، وهو مشابه لـ .

تم تنفيذ هجوم قرصنة قوي على خوادم الشركة. نأمل ألا يكون لهذا علاقة بالإجراءات القانونية الجارية.

27 يونيو 2017

ردًا على الهجوم السيبراني، اتصلت الشركة بوكالات إنفاذ القانون.

– شركة مساهمة عامة إن كيه روسنفت (@RosneftRu) 27 يونيو 2017

يشير مصدر مقرب من أحد هياكل الشركة إلى أن جميع أجهزة الكمبيوتر في مصفاة باشنفت واستخراج باشنفت وإدارة باشنفت "تم إعادة تشغيلها مرة واحدة، وبعد ذلك قاموا بتنزيل البرامج التي تم إلغاء تثبيتها وعرضوا شاشة البداية فيروس واناكراي"على الشاشة، طُلب من المستخدمين تحويل 300 دولار من عملات البيتكوين إلى العنوان المحدد، وبعد ذلك سيتم إرسال مفتاح للمستخدمين لفتح أجهزة الكمبيوتر الخاصة بهم عن طريق البريد الإلكتروني. وقام الفيروس، انطلاقًا من الوصف، بتشفير جميع البيانات الموجودة على أجهزة كمبيوتر المستخدمين.

"فيدوموستي"

"حذر البنك الوطني الأوكراني البنوك والمشاركين الآخرين في القطاع المالي من هجوم قرصنة خارجي بواسطة فيروس غير معروف على العديد من البنوك الأوكرانية، وكذلك على بعض الشركات في القطاعين التجاري والعام، وهو ما يحدث اليوم.

ونتيجة لمثل هذه الهجمات السيبرانية، تواجه هذه البنوك صعوبة في خدمة العملاء وإجراء المعاملات المصرفية.

البنك الوطني في أوكرانيا

تعرضت أنظمة الكمبيوتر الخاصة بشركة الطاقة Kyivenergo في العاصمة لهجوم قراصنة، حسبما ذكرت الشركة لوكالة إنترفاكس أوكرانيا.

وقال كييفينيرجو: "لقد تعرضنا لهجوم قراصنة قبل ساعتين، واضطررنا إلى إيقاف تشغيل جميع أجهزة الكمبيوتر، ونحن في انتظار الحصول على إذن من جهاز الأمن".

بدورها، صرحت شركة NEC Ukrenergo لوكالة إنترفاكس أوكرانيا أن الشركة واجهت أيضًا مشكلات في تشغيل أنظمة الكمبيوتر، لكنها لم تكن حرجة.

وأشارت الشركة إلى أنه "كانت هناك بعض المشاكل في تشغيل أجهزة الكمبيوتر، ولكن بشكل عام، كل شيء مستقر ومسيطر عليه".

"إنترفاكس-أوكرانيا"

شبكات Ukrenergo وDTEK، الأكبر شركات الطاقةأصيبت أوكرانيا بنوع جديد من برامج الفدية التي تذكرنا ببرنامج WannaCry. تم إخبار TJ بهذا من قبل مصدر داخل إحدى الشركات التي واجهت هجوم الفيروس بشكل مباشر.

وفقًا للمصدر، بعد ظهر يوم 27 يونيو، تمت إعادة تشغيل جهاز الكمبيوتر الخاص به في العمل، وبعد ذلك بدأ النظام في التحقق القرص الصلب. بعد ذلك، رأى أن شيئًا مشابهًا كان يحدث على جميع أجهزة الكمبيوتر في المكتب: "أدركت أن هناك هجومًا جاريًا، وأوقفت تشغيل جهاز الكمبيوتر الخاص بي، وعندما قمت بتشغيله، كانت هناك بالفعل رسالة حمراء حول Bitcoin و مال."

كما تأثرت أجهزة الكمبيوتر الموجودة على شبكة شركة الحلول اللوجستية دامكو. سواء في الانقسامات الأوروبية والروسية. انتشار العدوى واسع جدا. ومن المعروف أنه في تيومين، على سبيل المثال، كل شيء مشدود أيضًا.

ولكن دعونا نعود إلى موضوع أوكرانيا: يتم أيضًا حظر جميع أجهزة الكمبيوتر الخاصة بـ Zaporozhyeoblenergo وDneproenergo وDnieper Electric Power System تقريبًا بسبب هجوم فيروسي.

للتوضيح، هذا ليس WannaCry، ولكنه برنامج ضار مشابه في السلوك.

مصفاة روزنفت ريازان - تم إيقاف الشبكة. هجوم أيضاً. وبالإضافة إلى روسنفت/باشنفت، تعرضت شركات كبيرة أخرى للهجوم أيضًا. تم الإبلاغ عن المشكلات في Mondelēz International، Oschadbank، Mars، نوفا بوشتاونيفيا وتيسا وغيرها.

تم التعرف على الفيروس - إنه Petya.A. بيتيا.أ يأكل محركات الأقراص الصلبة. يقوم بتشفير جدول الملفات الرئيسية (MFT) ويبتز الأموال لفك التشفير.

كما تعرض مترو كييف لهجوم قراصنة. أجهزة الكمبيوتر الحكومية الأوكرانية، متاجر أوشان، المشغلين الأوكرانيين(Kyivstar، LifeCell، UkrTeleCom)، PrivatBank. هناك تقارير عن هجوم مماثل على خاركوف غاز. وفق مسؤول النظام، تم تثبيت Windows 7 على الأجهزة آخر التحديثات. كما تعرض بافيل فاليريفيتش روزينكو، نائب رئيس وزراء أوكرانيا، للهجوم. ويُزعم أن مطار بوريسبيل تعرض أيضًا لهجوم قرصنة.

قناة التليجرام "Cybersecurity and Co.

27 يونيو، 16:27وقال فاليري باولين، ممثل مجموعة-IB، المتخصصة في الكشف المبكر عن التهديدات السيبرانية، إن ما لا يقل عن 80 شركة روسية وأوكرانية تأثرت بفيروس Petya.A.

وأضاف: "وفقًا لبياناتنا، تأثرت أكثر من 80 شركة في روسيا وأوكرانيا نتيجة الهجوم باستخدام فيروس التشفير Petya.A". وأكد باولين أن الهجوم ليس له علاقة بـ WannaCry.

وشددت Group-IB على أنه لوقف انتشار الفيروس، من الضروري إغلاق منافذ TCP 1024-1035 و135 و445 على الفور.<...>

"من بين ضحايا الهجوم السيبراني، تم أيضًا حظر شبكات باشنفت، وروسنفت، والشركات الأوكرانية زابوروجيوبلينيرجو، ودنيبروينيرجو، ونظام الطاقة الكهربائية دنيبر؛ ومونديليز إنترناشيونال، وأوشادبانك، ومارس، ونوفايا بوشتا، ونيفيا، وتيسا، وغيرها بسبب هجوم الفيروس. تعرض مترو كييف أيضًا لهجوم قراصنة. كما تعرضت أجهزة الكمبيوتر الحكومية في أوكرانيا، ومتاجر أوشان، والمشغلين الأوكرانيين (Kyivstar، LifeCell، UkrTeleCom) للهجوم، ويُزعم أيضًا أن مطار Privat Bank Boryspil تعرض لهجوم قرصنة، "Group-IB. يشير.

ووجد متخصصو Group-IB أيضًا أن برنامج الفدية Petya.A قد تم استخدامه مؤخرًا من قبل مجموعة Cobalt لإخفاء آثار هجوم مستهدف على المؤسسات المالية.

RNS

اشتكت شركة Rosneft من هجوم قرصنة قوي على خوادمها. أعلنت الشركة ذلك في تقريرها تغريد. "تم تنفيذ هجوم قرصنة قوي على خوادم الشركة. نأمل ألا يكون لذلك علاقة بالإجراءات القانونية الحالية”.

"اتصلت الشركة بوكالات إنفاذ القانون بشأن الهجوم السيبراني" تقولفي الرسالة. وشددت الشركة على أن هجوم القراصنة يمكن أن يؤدي إلى عواقب وخيمة، “بفضل حقيقة أن الشركة تحولت إلى نظام النسخ الاحتياطيإدارة عمليات الإنتاج، ولم يتوقف الإنتاج ولا تحضير الزيت”. يشير أحد محاوري صحيفة "فيدوموستي"، المقرب من أحد هياكل الشركة، إلى أن جميع أجهزة الكمبيوتر في مصفاة "باشنفت" و"باشنفت-دوبيتشي" وإدارة "باشنفت" "تم إعادة تشغيلها مرة واحدة، وبعد ذلك قاموا بتنزيل البرامج التي تم إلغاء تثبيتها وعرضوا شاشة البداية الخاصة بفيروس WannaCry. "

على الشاشة، طُلب من المستخدمين تحويل 300 دولار من عملات البيتكوين إلى عنوان محدد، وبعد ذلك يُزعم أنه سيتم إرسال مفتاح للمستخدمين لفتح أجهزة الكمبيوتر الخاصة بهم عن طريق البريد الإلكتروني. الفيروس، انطلاقا من الوصف، قام بتشفير جميع البيانات الموجودة على أجهزة كمبيوتر المستخدمين.

قالت الشركة لمجلة فوربس إن Group-IB، التي تعمل على منع الجرائم الإلكترونية والاحتيال والتحقيق فيها، حددت فيروسًا أثر على إحدى شركات النفط. نحن نتحدث عن فيروس تشفير Petya، الذي لم يهاجم شركة Rosneft فقط. متخصصو المجموعة IB. تبين أن حوالي 80 شركة في روسيا وأوكرانيا تعرضت للهجوم: شبكات باشنفت، وروزنفت، والشركات الأوكرانية زابوروجيوبلينيرجو، ودنيبروينيرجو ونظام الطاقة الكهربائية دنيبر، ومونديليز إنترناشيونال، وأوشادبانك، ومارس، ونوفا بوشتا، ونيفيا، وتيسا وغيرها. كما تعرض مترو كييف لهجوم قراصنة. تعرضت أجهزة الكمبيوتر الحكومية في أوكرانيا، ومتاجر Auchan، والمشغلين الأوكرانيين (Kyivstar، LifeCell، UkrTeleCom)، وPrivatBank للهجوم. ويُزعم أن مطار بوريسبيل تعرض أيضًا لهجوم قرصنة.

ينتشر الفيروس إما بشكل عشوائي أو من خلال القوائم البريدية - حيث يقوم موظفو الشركة بفتح مرفقات ضارة في رسائل البريد الإلكتروني بريد إلكتروني. ونتيجة لذلك، تم حظر جهاز الكمبيوتر الخاص بالضحية وتم تشفير MFT (جدول ملفات NTFS) بشكل آمن، كما يوضح ممثل Group-IB. وفي الوقت نفسه، لا يتم الإشارة إلى اسم برنامج الفدية على شاشة القفل، مما يعقد عملية الاستجابة للموقف. ومن الجدير بالذكر أيضًا أن Petya تستخدم خوارزمية تشفير قوية وليس لديها القدرة على إنشاء أداة فك التشفير. يتطلب برنامج الفدية 300 دولار من عملات البيتكوين. وقد بدأ الضحايا بالفعل في تحويل الأموال إلى محفظة المهاجمين.

أثبت متخصصو Group-IB أن نسخة معدلة مؤخرًا من برنامج تشفير Petya، "PetrWrap"، قد تم استخدامها من قبل مجموعة Cobalt لإخفاء آثار هجوم مستهدف على المؤسسات المالية. ومن المعروف أن جماعة كوبالت الإجرامية نجحت في مهاجمة البنوك في جميع أنحاء العالم - روسيا وبريطانيا العظمى وهولندا وإسبانيا ورومانيا وبيلاروسيا وبولندا وإستونيا وبلغاريا وجورجيا ومولدوفا وقيرغيزستان وأرمينيا وتايوان وماليزيا. هذا الهيكل متخصص في الهجمات (المنطقية) غير التلامسية على أجهزة الصراف الآلي. بالإضافة إلى أنظمة التحكم في أجهزة الصراف الآلي، يحاول مجرمو الإنترنت الوصول إلى أنظمة التحويل بين البنوك (SWIFT)، وبوابات الدفع ومعالجة البطاقات.

وهاجم فيروس الفدية حواسيب عشرات الشركات في روسيا وأوكرانيا، مما أدى إلى شل عمل الهيئات الحكومية وغيرها، وبدأ ينتشر في جميع أنحاء العالم

وفي الاتحاد الروسي، أصبحت شركتا "باشنفت" و"روسنفت" ضحايا لفيروس "بيتيا"، وهو نسخة من برنامج الفدية "وانا كراي" الذي أصاب أجهزة الكمبيوتر في جميع أنحاء العالم في مايو/أيار.

وقال مصدر في الشركة لفيدوموستي إن جميع أجهزة الكمبيوتر في شركة Bashneft مصابة بالفيروس. يقوم الفيروس بتشفير الملفات ويطلب فدية قدرها 300 دولار لمحفظة البيتكوين.

"لقد قام الفيروس في البداية بتعطيل الوصول إلى البوابة، وإلى برنامج المراسلة الداخلي Skype for Business، وإلى MS Exchange، واعتقدوا أن الأمر كان مجرد فشل في الشبكة، ثم تمت إعادة تشغيل الكمبيوتر مع حدوث خطأ". القرص الصلبوقال المصدر إن عملية إعادة التشغيل التالية أظهرت بالفعل شاشة حمراء.

في الوقت نفسه تقريبًا، أعلنت شركة Rosneft عن "هجوم قرصنة قوي" على خوادمها. وقال السكرتير الصحفي للشركة ميخائيل ليونتييف لوكالة تاس، إنه تم نقل أنظمة تكنولوجيا المعلومات وإدارة الإنتاج إلى القدرة الاحتياطية، وتعمل الشركة كالمعتاد، و"سيتم محاسبة موزعي الرسائل الكاذبة والذعر إلى جانب منظمي هجوم القراصنة".

مواقع Rosneft وBashneft لا تعمل.

وتم تسجيل الهجوم في حوالي الساعة 14.00 بتوقيت موسكو، ويوجد حاليا بين ضحاياه 80 شركة. بالإضافة إلى عمال النفط، تأثر ممثلو شركات Mars وNivea وMondelez International (الصانعة لشوكولاتة Alpen Gold)، حسبما ذكرت Group-IB، التي تمنع الجرائم الإلكترونية وتحقق فيها.

كما أبلغت شركة المعادن "إيفراز" وبنك "هوم كريديت" الذي اضطر إلى تعليق عمل جميع فروعه، عن هجوم على مواردهما. وفقًا لـ RBC، اتصلت ما لا يقل عن 10 بنوك روسية بأخصائيي الأمن السيبراني يوم الثلاثاء فيما يتعلق بالهجوم.

وفي أوكرانيا، هاجم الفيروس أجهزة الكمبيوتر الحكومية، ومتاجر Auchan، وPrivatbank، ومشغلي الاتصالات Kyivstar، وLifeCell، وUkrtelecom.

تعرض مطار بوريسبيل، ومترو كييف، وزابوروجيوبلينيرجو، ودنيبروينيرجو، ونظام دنيبر للطاقة الكهربائية للهجوم.

تحولت محطة تشيرنوبيل للطاقة النووية إلى المراقبة اليدوية للإشعاع في الموقع الصناعي بسبب هجوم إلكتروني وإغلاق مؤقت أنظمة ويندوزحسبما صرحت الخدمة الصحفية للوكالة الحكومية لإدارة المناطق المحظورة لوكالة إنترفاكس.

فيروس الفدية المتضررة عدد كبيروقال كوستن رايو، رئيس قسم الأبحاث الدولية في كاسبرسكي لاب، على حسابه على تويتر:

ووفقا له، في نسخة جديدةالفيروس الذي ظهر في 18 يونيو من هذا العام مزيف التوقيع الرقميمايكروسوفت.

في الساعة 18.05 بتوقيت موسكو، أعلنت شركة الشحن الدنماركية A.P. عن هجوم على خوادمها. مولر ميرسك. وبالإضافة إلى روسيا وأوكرانيا، تأثر المستخدمون في المملكة المتحدة والهند وإسبانيا، حسبما ذكرت رويترز نقلاً عن الوكالة تكنولوجيا المعلوماتالحكومة السويسرية.

وأوضحت المديرة العامة لمجموعة InfoWatch، ناتاليا كاسبرسكايا، لوكالة تاس أن فيروس التشفير نفسه ظهر منذ أكثر من عام. يتم توزيعه بشكل أساسي من خلال رسائل التصيد الاحتيالي وهو نسخة معدلة من ما كان معروفًا سابقًا البرمجيات الخبيثة. وقالت كاسبرسكايا: "لقد تعاونت مع بعض فيروسات برامج الفدية الأخرى Misha، التي كانت تتمتع بحقوق المسؤول. لقد كانت نسخة محسنة، ومشفرة احتياطية".

ووفقا لها، تم هزيمة هجوم برنامج الفدية WannaCry في شهر مايو بسرعة بسبب وجود ثغرة أمنية في الفيروس. وأضافت: "إذا كان الفيروس لا يحتوي على مثل هذه الثغرة، فمن الصعب محاربته".

وقع هجوم إلكتروني واسع النطاق باستخدام فيروس WannaCry Ransomware، والذي أثر على أكثر من 200 ألف جهاز كمبيوتر في 150 دولة، في 12 مايو 2017.

يقوم WannaCry بتشفير ملفات المستخدم ويتطلب الدفع بعملة البيتكوين بما يعادل 300 دولار لفك تشفيرها.

وفي روسيا، على وجه الخصوص، تعرضوا للهجوم أنظمة الكمبيوتروزارة الداخلية، وزارة الصحة، لجنة التحقيق، السكك الحديدية الروسية، البنوك ومشغلي الهاتف المحمول.

ووفقا لمركز الأمن السيبراني البريطاني (NCSC)، الذي يقود التحقيق الدولي في هجوم 12 مايو، فإن قراصنة كوريين شماليين من مجموعة لازاروس المرتبطة بالحكومة كانوا وراء الهجوم.