המחשבים של חברת הנפט Rosneft היו נתונים ל"מתקפת האקרים חזקה" שנראתה כמו שינוי של הווירוס הסנסציוני - תוכנת כופר WannaCry. החברה יצרה קשר עם רשויות אכיפת החוק ונפתחת חקירה.

רוזנפט אמרה שהשרתים שלה היו נתונים ל"מתקפת האקרים חזקה". החברה כתבה על כך בכתבה טוויטר. מזכיר העיתונות של רוסנפט, מיכאיל לאונטייב, אמר ל-RBC שלרוב שרתי החברה יש הגנה אמינהוהבטיחו שהחברה מתמודדת עם ההשלכות מתקפת האקריםלמערכת שלך.

חומרים שהגיעו לידי העורכים מצביעים על כך שמחשבי רוסנפט נדבקו בווירוס הצפנה הדומה לפטיה. מקור אכיפת חוק אמר ל-RBC כי הרשתות של בשנפט, בשליטת רוסנפט, היו נתונים לאותה מתקפה.

מקורות של Vedomosti מוסיפים כי כל המחשבים בבית הזיקוק בשנפט, בשנפט-דוביצ'ה והנהלת בשנפט "הופעל מחדש בבת אחת, ולאחר מכן הורידו קובץ לא מזוהה תוֹכנָהוהציג מסך פתיחה וירוס פטיה" הפרסום מציין כי על מסך המשתמשים הופיעה הודעה המבקשת מהם להעביר 300 דולר בביטקוין לכתובת שצוינה, ולאחר מכן יישלח למשתמשים מפתח לפתיחת מחשביהם בדואר אלקטרוני. כמו כן, מודגש כי הווירוס הצפין את כל הנתונים במחשבי המשתמש.

נכון לעכשיו, בית המשפט לבוררות של בשקורטוסטן השלים פגישה שבה הוא בחן את תביעתה של רוסנפט והבשנפט הנשלטת שלה נגד AFK Sistema ו-Sistema-Invest להשבת 170.6 מיליארד רובל, שלפי חברת הנפט, "בשנפט" נגרמו להפסדים כתוצאה מארגון מחדש ב-2014. דובר רוזנפט, מיכאיל לאונטייב, ציין בטוויטר שהוא באמת מקווה שהמתקפה הזו לא קשורה בשום אופן לתביעות של החברה.

UPD: התוכנה הזדונית (גרסה חדשה של Ransom:Win32/Petya לפי מחקר של מיקרוסופט) החלה להתפשט ב-27 ביוני באירופה. התקריות הראשונות נרשמו באוקראינה, שם נדבקו בסך הכל 12.5 אלף מחשבים. בסך הכל, חברות ב-64 מדינות הושפעו מתוכנת הכופר החדשה, כולל בלגיה, ברזיל, גרמניה, רוסיה, ארה"ב ועוד רבות אחרות.

למצפין Petya החדש יש פונקציות של תולעת רשת, מה שמאפשר לה להתפשט במהירות ברחבי הרשת. בכך, הוא משתמש ב-exploit עבור פגיעות סגורה זמן רב בפרוטוקול SMB CVE-2017-0144 (הידוע בשם EternalBlue), אשר נוצל גם על ידי וירוס הכופר. בנוסף, Petya משתמש בפגיעות CVE-2017-0145 (הידועה בשם EternalRomance), שנסגרה גם היא על ידי מיקרוסופט באותו עלון).

אחר הצהריים של ה-27 ביוני דיווחה רוסנפט על מתקפת האקרים על השרתים שלה. במקביל, הופיע מידע על מתקפה דומה על המחשבים של Bashneft, Ukrenergo, Kyivenergo ועוד מספר חברות וארגונים.

הווירוס נועל מחשבים וסוחט כסף ממשתמשים, זה דומה ל.

מתקפת האקרים חזקה בוצעה על שרתי החברה. אנו מקווים שאין לזה שום קשר להליכים משפטיים מתמשכים.

27 ביוני 2017

בתגובה למתקפת הסייבר, החברה יצרה קשר עם רשויות אכיפת החוק.

— PJSC NK Rosneft (@RosneftRu) 27 ביוני 2017

מקור המקורב לאחד ממבני החברה מציין כי כל המחשבים בבית הזיקוק בשנפט, חילוץ בשנפט וניהול בשנפט "הופעלו מחדש בבת אחת, ולאחר מכן הורידו תוכנות שהוסרו והציגו מסך פתיחה וירוס WannaCry"על המסך התבקשו המשתמשים להעביר 300 דולר בביטקוין לכתובת שצוינה, ולאחר מכן יישלחו למשתמשים מפתח לפתיחת המחשב שלהם בדואר אלקטרוני. הווירוס, אם לשפוט לפי התיאור, הצפין את כל הנתונים במחשבי המשתמש.

"וודומוסטי"

"הבנק הלאומי של אוקראינה הזהיר בנקים ומשתתפים אחרים במגזר הפיננסי מפני התקפת האקרים חיצונית על ידי וירוס לא ידוע על כמה בנקים אוקראינים, כמו גם על כמה מפעלים במגזר המסחרי והציבורי, המתרחשת היום.

כתוצאה ממתקפות סייבר כאלה, הבנקים הללו מתקשים לתת שירות ללקוחות ולבצע עסקאות בנקאיות".

הבנק הלאומי של אוקראינה

מערכות המחשוב של חברת האנרגיה Kyivenergo בבירה היו נתונים למתקפת האקרים, כך אמרה החברה לאינטרפקס-אוקראינה.

"היינו נתונים למתקפת האקרים לפני שעתיים נאלצנו לכבות את כל המחשבים, אנחנו ממתינים לאישור הדלקה משירות הביטחון", אמר קייבנרגו.

בתורו, NEC Ukrenergo אמרה לאינטרפקס-אוקראינה שהחברה נתקלה גם בבעיות במערכות המחשב שלה, אך הן לא היו קריטיות.

"היו כמה בעיות עם תפעול המחשבים אבל בסך הכל, הכל יציב ומבוקר ניתן להסיק על בסיס תוצאות של חקירה פנימית", ציינה החברה.

"אינטרפקס-אוקראינה"

רשתות Ukrenergo ו-DTEK, הגדולות ביותר חברות אנרגיהאוקראינה נדבקה בסוג חדש של תוכנת כופר המזכירה את WannaCry. ל-TJ נמסר על כך על ידי מקור באחת החברות שעומד ישירות מול מתקפת הנגיף.

לטענת המקור, ב-27 ביוני אחר הצהריים, המחשב שלו בעבודה התאתחל, ולאחר מכן החלה לכאורה המערכת לבדוק דיסק קשיח. לאחר מכן הוא ראה שדבר דומה קורה בכל המחשבים במשרד: “הבנתי שמתקפה מתבצעת, כיביתי את המחשב וכשהדלקתי אותו כבר הייתה הודעה אדומה על ביטקוין ו כֶּסֶף."

גם מחשבים ברשת של חברת הפתרונות הלוגיסטיים דמקו נפגעים. גם בחטיבות אירופה וגם ברוסית. התפשטות הזיהום היא רחבה מאוד. ידוע שגם בטיומן, למשל, הכל דפוק.

אבל בואו נחזור לנושא אוקראינה: כמעט כל המחשבים של Zaporozhyeoblenergo, Dneproenergo ו-Dnieper Electric Power System חסומים גם הם על ידי מתקפת וירוסים.

שיהיה ברור, זה לא WannaCry, אלא תוכנה זדונית דומה בהתנהגותה.

Rosneft Ryazan Refinery - הרשת כבתה. גם פיגוע. בנוסף לרוסנפט/בשנפט הותקפו גם חברות גדולות נוספות. בעיות שדווחו ב- Mondelez International, Oschadbank, Mars, נובה פושטה, Nivea, TESA ואחרות.

הנגיף זוהה - זה Petya.A. פטיה.א אוכלת דיסקים קשיחים. הוא מצפין את טבלת הקבצים הראשית (MFT) וסוחט כסף לפענוח.

גם המטרו של קייב היה נתון למתקפת האקרים. מחשבי ממשלת אוקראינה, חנויות Auchan, מפעילים אוקראינים(Kyivstar, LifeCell, UkrTeleCom), PrivatBank. יש דיווחים על מתקפה דומה על חרקובגז. לפי מנהל מערכת, במכונות הותקנה Windows 7 עדכונים אחרונים. סגן ראש ממשלת אוקראינה, פאבל ולרייביץ' רוזנקו, הותקף אף הוא. גם נמל התעופה בוריספיל היה נתון לפי החשד למתקפת האקרים.

ערוץ טלגרם "אבטחת סייבר ושות'.

27 ביוני, 16:27לפחות 80 חברות רוסיות ואוקראיניות נפגעו מווירוס Petya.A, אמר ולרי באולין, נציג של Group-IB, המתמחה בזיהוי מוקדם של איומי סייבר.

"לפי הנתונים שלנו, יותר מ-80 חברות ברוסיה ואוקראינה הושפעו כתוצאה מהתקיפה באמצעות וירוס ההצפנה Petya.A", אמר. באולין הדגיש כי המתקפה אינה קשורה ל-WannaCry.

כדי לעצור את התפשטות הנגיף, יש צורך לסגור מיד את יציאות TCP 1024–1035, 135 ו-445, הדגיש Group-IB<...>

"בין הקורבנות של מתקפת הסייבר היו הרשתות של Bashneft, Rosneft, החברות האוקראיניות Zaporozhyeoblenergo, Dneproenergo ו-Dnieper Electric Power System, Oschadbank, Mars, Novaya Poshta, Nivea, TESA ואחרות נחסמו גם הם על ידי התקפת הנגיף; המטרו של קייב היה נתון גם למתקפת האקרים של אוקראינה, חנויות Auchan, מפעילים אוקראינים (Kyivstar, LifeCell, UkrTeleCom) וגם נמל התעופה Privat Bank Boryspil היה נתון למתקפה של האקרים. מציין.

מומחי Group-IB גילו גם כי תוכנת הכופר Petya.A שימשה לאחרונה על ידי קבוצת Cobalt כדי להסתיר עקבות של התקפה ממוקדת על מוסדות פיננסיים.

RNS

חברת Rosneft התלוננה על מתקפת האקרים חזקה על השרתים שלה. החברה הודיעה על כך בכתבה טוויטר. "התקפת האקרים חזקה בוצעה על שרתי החברה. אנו מקווים שאין לכך קשר להליכים המשפטיים הנוכחיים", נכתב בהודעה.

"החברה יצרה קשר עם רשויות אכיפת החוק בנוגע למתקפת הסייבר", - זה אומרבהודעה. החברה הדגישה כי מתקפת האקרים עלולה להוביל לתוצאות חמורות, אולם "בזכות העובדה שהחברה עברה ל- מערכת גיבויניהול תהליכי הייצור, לא הופסקה ההפקה ולא הכנת הנפט". בן שיח של העיתון Vedomosti, קרוב לאחד ממבני החברה, מציין כי כל המחשבים בבית הזיקוק בשנפט, בשנפט-דוביצ'ה והנהלת בשנפט "הופעלו מחדש בבת אחת, ולאחר מכן הורידו תוכנות שהוסרו והציגו מסך התזת וירוס WannaCry. "

על המסך התבקשו המשתמשים להעביר 300 דולר בביטקוין לכתובת שצוינה, ולאחר מכן יישלחו למשתמשים לכאורה מפתח לפתיחת המחשבים שלהם בדואר אלקטרוני. הנגיף, אם לשפוט לפי התיאור, הצפין את כל הנתונים במחשבי המשתמש.

Group-IB, המונעת וחוקרת פשעי סייבר והונאות, זיהתה וירוס שהשפיע על חברת נפט, אמרה החברה לפורבס. אנחנו מדברים על וירוס ההצפנה Petya, שתקף לא רק את רוסנפט. מומחי Group-IB. גילה שכ-80 חברות ברוסיה ואוקראינה הותקפו: הרשתות של Bashneft, Rosneft, החברות האוקראיניות Zaporozhyeoblenergo, Dneproenergo ו-Dnieper Electric Power System, Mondelēz International, Oschadbank, Mars, Nova Poshta, Nivea, TESA ואחרות. גם המטרו של קייב היה נתון למתקפת האקרים. הותקפו מחשבים ממשלתיים של אוקראינה, חנויות Auchan, מפעילים אוקראינים (Kyivstar, LifeCell, UkrTeleCom), PrivatBank. גם נמל התעופה בוריספיל היה נתון לפי החשד למתקפת האקרים.

הנגיף מתפשט או כרצונות או דרך רשימות תפוצה - עובדי החברה פתחו קבצים מצורפים זדוניים במיילים אימייל. כתוצאה מכך, המחשב של הקורבן נחסם וטבלת הקבצים MFT (NTFS) הוצפנה בצורה מאובטחת, מסביר נציג Group-IB. יחד עם זאת, שם תוכנת הכופר אינו מצוין במסך הנעילה, מה שמקשה על תהליך התגובה למצב. כדאי גם לציין ש-Petya משתמשת באלגוריתם הצפנה חזק ואין לה את היכולת ליצור כלי פענוח. תוכנת הכופר דורשת 300 דולר בביטקוין. הקורבנות כבר החלו להעביר כסף לארנק התוקפים.

מומחי Group-IB קבעו כי גרסה ששונתה לאחרונה של תוכנת הכופר Petya, "PetrWrap", שימשה את קבוצת Cobalt כדי להסתיר עקבות של התקפה ממוקדת על מוסדות פיננסיים. קבוצת הפשע קובלט ידועה בכך שתוקפת בהצלחה בנקים ברחבי העולם - רוסיה, בריטניה, הולנד, ספרד, רומניה, בלארוס, פולין, אסטוניה, בולגריה, גאורגיה, מולדובה, קירגיזסטן, ארמניה, טייוואן ומלזיה. מבנה זה מתמחה בהתקפות ללא מגע (לוגיות) על כספומטים. בנוסף למערכות בקרת כספומטים, פושעי סייבר מנסים לקבל גישה למערכות העברה בין-בנקאית (SWIFT), שערי תשלום ועיבוד כרטיסים.

וירוס הכופר תקף את מחשביהם של עשרות חברות ברוסיה ואוקראינה, שיתק בין היתר את עבודתם של סוכנויות ממשלתיות והחל להתפשט ברחבי העולם

בפדרציה הרוסית, Bashneft ו-Rosneft הפכו לקורבנות של וירוס Petya, שיבוט של תוכנת הכופר WannaCry שהדביקה מחשבים ברחבי העולם בחודש מאי.

כל המחשבים בבשנפט נגועים בווירוס, אמר מקור בחברה ל-Vedomosti. הנגיף מצפין קבצים ודורש כופר של 300 דולר לארנק ביטקוין.

"הווירוס השבית בתחילה את הגישה לפורטל, למסנג'ר הפנימי סקייפ לעסקים, ל-MS Exchange, הם חשבו שזה רק כשל ברשת, ואז המחשב הופעל מחדש עם שגיאה "מת". HDD, האתחול הבא כבר הראה מסך אדום", אמר המקור.

כמעט במקביל, רוזנפט הכריזה על "התקפת האקרים חזקה" על השרתים שלה. מערכות ה-IT וניהול הייצור הועברו לקיבולת מילואים, החברה פועלת כרגיל, ו"מפיצים של הודעות שווא ופאניקה יישאו באחריות יחד עם מארגני מתקפת ההאקרים", אמר מזכיר העיתונות של החברה מיכאיל לאונטייב ל-TASS.

האתרים של רוסנפט ובשנפט לא עובדים.

התקיפה תועדה בערך בשעה 14:00 שעון מוסקבה, וכיום ישנן 80 חברות בין קורבנותיה. בנוסף לעובדי הנפט, נפגעו נציגי מארס, Nivea ומונדלז אינטרנשיונל (יצרנית שוקולד אלפן גולד), כך דיווחה Group-IB, המונעת וחוקרת פשעי סייבר.

גם חברת המתכות אברז ובנק הום קרדיט, שנאלצו להפסיק את עבודת כל סניפיו, דיווחו על תקיפת משאביהם. לפי RBC, לפחות 10 בנקים רוסים יצרו קשר עם מומחי אבטחת סייבר ביום שלישי בקשר למתקפה.

באוקראינה, הנגיף תקף מחשבים ממשלתיים, חנויות Auchan, Privatbank, מפעילי הטלקום Kyivstar, LifeCell ו-Ukrtelecom.

שדה התעופה בוריספיל, מטרו קייב, זפורוז'יאובלנרגו, דניפרואנרגו ומערכת החשמל החשמלית של הדנייפר היו תחת מתקפה.

תחנת הכוח הגרעינית בצ'רנוביל עברה לניטור קרינה ידני של אתר התעשייה עקב מתקפת סייבר והשבתה זמנית מערכות ווינדוס, נמסר לאינטרפקס על ידי שירות העיתונות של הסוכנות הממלכתית לניהול אזורי הדרה.

וירוס תוכנת הכופר הושפע מספר גדול שלמדינות ברחבי העולם, אמר קוסטין ראיו, ראש חטיבת המחקר הבינלאומית של מעבדת קספרסקי, בחשבון הטוויטר שלו.

לדבריו, ב גרסה חדשהוירוס, שהופיע ב-18 ביוני השנה, הוא מזויף חתימה דיגיטליתמיקרוסופט.

בשעה 18.05 שעון מוסקבה, חברת הספנות הדנית A.P. הודיעה על מתקפה על השרתים שלה. מולר-מארסק. בנוסף לרוסיה ואוקראינה, משתמשים בבריטניה, הודו וספרד הושפעו, כך דיווחה רויטרס, תוך ציטוט של הסוכנות טכנולוגיות מידעממשלת שוויץ.

המנהלת הכללית של קבוצת InfoWatch, נטליה קספרסקיה, הסבירה ל-TASS כי וירוס ההצפנה עצמו הופיע לפני יותר משנה. הוא מופץ בעיקר באמצעות הודעות דיוג והוא גרסה שונה של הגרסה הידועה בעבר תוכנות זדוניות. "זה התחבר לווירוס כופר אחר Misha, שהיה לו זכויות מנהל. זו הייתה גרסה משופרת, מוצפן גיבוי", אמר קספרסקאיה.

לדבריה, מתקפת הכופר של WannaCry במאי הובסה במהירות עקב פגיעות בנגיף. "אם הנגיף אינו מכיל פגיעות כזו, אז קשה להילחם בה", הוסיפה.

מתקפת סייבר בקנה מידה גדול באמצעות וירוס הכופר WannaCry, שהשפיע על יותר מ-200 אלף מחשבים ב-150 מדינות, התרחשה ב-12 במאי 2017.

WannaCry מצפינה קבצי משתמשים ודורשת תשלום בביטקוין שווה ערך ל-$300 כדי לפענח אותם.

ברוסיה, במיוחד, הם הותקפו מערכות מחשבמשרד הפנים, משרד הבריאות, ועדת החקירה, רכבת רוסיה, בנקים ומפעילי סלולר.

לפי מרכז אבטחת הסייבר הבריטי (NCSC), שמוביל את החקירה הבינלאומית על הפיגוע ב-12 במאי, מאחוריה עמדו האקרים צפון קוריאנים מקבוצת לזרוס הקשורה לממשלה.