石油会社ロスネフチのコンピューターは、センセーショナルなウイルスを改変したように見える「強力なハッカー攻撃」にさらされました。 WannaCry ランサムウェア。 同社は法執行機関に連絡しており、捜査が進められている。

ロスネフチは、自社のサーバーが「強力なハッカー攻撃」を受けたと述べた。 同社はこれについて次のように書いています。 ツイッター。 ロスネフチの報道官ミハイル・レオンチェフ氏はRBCに対し、同社のサーバーのほとんどが 信頼性の高い保護そして会社がその結果に対処していることを保証した ハッカー攻撃あなたのシステムに。

編集者が入手した資料は、ロスネフチのコンピュータが Petya に似た暗号化ウイルスに感染していたことを示唆しています。 法執行機関関係者はRBCに対し、ロスネフチが管理するバシネフチのネットワークも同様の攻撃を受けたと語った。

ヴェドモスチの情報筋は、バシネフチ製油所、バシネフチ・ドビチェ、およびバシネフチ経営陣のすべてのコンピューターが「一斉に再起動し、その後正体不明のファイルをダウンロードした」と付け加えた。 ソフトウェアスプラッシュ画面を表示しました ペティアウイルス」 同出版物によると、ユーザーの画面にメッセージが表示され、指定されたアドレスにビットコインで300ドルを送金するよう求められ、その後ユーザーにはコンピューターのロックを解除するためのキーが電子メールで送信されるという。 また、ウイルスがユーザーのコンピュータ上のすべてのデータを暗号化したことも強調されています。

現在、バシコルトスタンの仲裁裁判所は、ロスネフチとその傘下のバシネフチによるAFKシステマおよびシステマ・インベストに対する1706億ルーブルの回収を求める会議を終了し、石油会社バシネフチによれば損失を被った」としている。 2014年の組織再編により、 ロスネフチの広報担当ミハイル・レオンチェフ氏はツイッターで、今回の攻撃が同社の訴訟と何ら関係がないことを心から願っていると述べた。

UPD: このマルウェア (Microsoft の調査によると、Ransom:Win32/Petya の新しい亜種) は、6 月 27 日にヨーロッパで拡散を開始しました。 最初のインシデントはウクライナで記録され、合計 12.5 千台のコンピュータが感染しました。 ベルギー、ブラジル、ドイツ、ロシア、米国などを含む合計 64 か国の企業が新しいランサムウェアの影響を受けました。

新しい Petya 暗号化ツールにはネットワーク ワームの機能があり、ネットワーク全体に急速に拡散します。 その際、ランサムウェア ウイルスでも悪用された、SMB プロトコル CVE-2017-0144 (EternalBlue として知られる) の長い間クローズされていた脆弱性のエクスプロイトを利用します。 さらに、Petya は脆弱性 CVE-2017-0145 (EternalRomance として知られている) に対して 2 番目の脆弱性を使用しています。これも同じセキュリティ情報で Microsoft によってクローズされています。

6月27日午後、ロスネフチは自社サーバーに対するハッカー攻撃を報告した。 同時に、バシネフチ、ウクレネルゴ、キイヴェネルゴ、その他多くの企業や企業のコンピューターに対する同様の攻撃に関する情報も明らかになりました。

このウイルスはコンピュータをロックし、ユーザーから金銭を脅し取るもので、これは に似ています。

強力なハッカー攻撃が当社のサーバーに対して実行されました。 これが進行中の法的手続きと無関係であることを願っています。

2017 年 6 月 27 日

サイバー攻撃を受けて当社は法執行機関に通報した。

— PJSC NK ロスネフチ (@RosneftRu) 2017 年 6 月 27 日

同社の組織の1つに近い情報筋は、バシネフチ製油所、バシネフチ抽出所、およびバシネフト管理部門のすべてのコンピューターが「同時に再起動し、その後アンインストールされたソフトウェアをダウンロードし、スプラッシュ画面を表示した」と指摘している。 WannaCry ウイルス画面上では、ユーザーは指定されたアドレスにビットコインで 300 ドルを送金するよう求められ、その後ユーザーはコンピューターのロックを解除するためのキーを電子メールで送信されます。説明から判断すると、このウイルスはユーザーのコンピューター上のすべてのデータを暗号化していました。 。

「ヴェドモスティ」

「ウクライナ国立銀行は、今日起きている、ウクライナの複数の銀行、商業および公共部門の一部の企業に対する未知のウイルスによる外部ハッカー攻撃について、銀行およびその他の金融セクター参加者に警告した。

このようなサイバー攻撃の結果、これらの銀行は顧客へのサービスや銀行取引の遂行に困難を抱えています。」

ウクライナ国立銀行

首都のエネルギー会社キヴェネルゴのコンピューターシステムがハッカー攻撃の対象になったと同社はインターファクス・ウクライナに語った。

「私たちはハッカーの攻撃を受けました。2時間前にすべてのコンピューターの電源を切ることを余儀なくされました。現在、セキュリティサービスから電源を入れる許可を待っています」とキーヴェネルゴ氏は語った。

一方、NEC Ukrenergo は、同社のコンピュータ システムにも問題が発生したが、重大ではなかったとインターファクス ウクライナに語った。

「コンピューターの動作にいくつか問題がありましたが、全体的にはすべてが安定しており、内部調査の結果に基づいてこの事件についての結論が導き出されます」と同社は述べた。

「インターファクス-ウクライナ」

最大の Ukrenergo および DTEK ネットワーク エネルギー会社ウクライナが、WannaCry を彷彿とさせる新種のランサムウェアに感染しました。 TJ は、ウイルス攻撃に直接直面したある企業の内部関係者からこのことについて聞かされました。

関係者によると、6月27日午後、職場のコンピューターが再起動し、その後システムのチェックが始まったという。 ハードドライブ。 その後、オフィス内のすべてのコンピューターで同様のことが起こっていることに気づきました。「攻撃が進行中であることに気づき、コンピューターの電源を切り、電源を入れたときには、すでにビットコインとビットコインに関する赤いメッセージが表示されていました。お金。"

物流ソリューション会社ダムコのネットワーク上のコンピュータも影響を受ける。 ヨーロッパ部門とロシア部門の両方で。 感染の広がりは非常に広範囲に及びます。 たとえば、チュメニでもすべてが台無しになっていることが知られています。

しかし、ウクライナの話題に戻りましょう。ザポリージャブレネルゴ、ドネプロエネルゴ、ドニエプル電力システムのほぼすべてのコンピューターもウイルス攻撃によってブロックされています。

明確にしておきますが、これは WannaCry ではなく、動作が似たマルウェアです。

ロスネフチ リャザン製油所 - ネットワークがオフになりました。 攻撃も。 ロスネフチ/バシネフチに加えて、他の大企業も攻撃されました。 モンデリーズ・インターナショナル、オシャドバンク、マース、 ノヴァ・ポシュタ、ニベア、TESAなど。

ウイルスは特定されました - それは Petya.A です。 Petya.A が食べる ハードドライブ。 彼はマスター ファイル テーブル (MFT) を暗号化し、復号化のために金銭を強要します。

キエフの地下鉄もハッカー攻撃を受けた。 ウクライナ政府のコンピューター、Auchan ストア、 ウクライナのオペレーター(Kyivstar、LifeCell、UkrTeleCom)、PrivatBank。 ハリコフガズに対する同様の攻撃の報告もある。 によると システム管理者、マシンには Windows 7 がインストールされていました。 最新のアップデート。 ウクライナ副首相のパベル・ヴァレリエヴィチ・ロゼンコ氏も襲撃された。 ボルィースピリ空港もハッカー攻撃を受けたとされる。

Telegram チャンネル「Cyber​​security and Co.

6月27日16時27分サイバー脅威の早期発見を専門とするGroup-IB代表のヴァレリー・バウリン氏は、少なくともロシアとウクライナの企業80社がPetya.Aウイルスの影響を受けたと述べた。

同氏は、「われわれのデータによると、ロシアとウクライナの80社以上の企業が、Petya.A暗号化ウイルスを使った攻撃の影響を受けた」と述べた。 バウリン氏は、この攻撃はWannaCryとは無関係であると強調した。

ウイルスの拡散を阻止するには、TCPポート1024～1035、135、445を直ちに閉じる必要があるとGroup-IBは強調した。<...>

「サイバー攻撃の被害者の中には、バシネフチ、ロスネフチ、ウクライナ企業ザポリージャブレネルゴ、ドネプロエネルゴ、ドニエプル電力システム、モンデリーズ・インターナショナル、オシャドバンク、マース、ノヴァヤ・ポシュタ、ニベア、TESAなどのネットワークもウイルス攻撃によってブロックされた。キエフの地下鉄もハッカー攻撃の対象となった。ウクライナ政府のコンピューター、Auchan の店舗、ウクライナの通信事業者 (Kyivstar、LifeCell、UkrTeleCom) も攻撃され、プライベート銀行ボルィースピリ空港もハッカーの攻撃を受けたとされる。」と指摘する。

Group-IB の専門家は、Petya.A ランサムウェアが最近、Cobalt グループによって金融機関に対する標的型攻撃の痕跡を隠すために使用されたことも発見しました。

RNS

ロスネフチ社は、サーバーに対する強力なハッカー攻撃について苦情を述べた。 同社はこれを社内で発表した。 ツイッター。 「強力なハッカー攻撃が会社のサーバーに対して実行されました。 これが現在の法的手続きとは無関係であることを願っています」とメッセージには記載されています。

「同社はサイバー攻撃に関して法執行機関に連絡した」 それは言うメッセージの中で。 同社は、ハッカー攻撃が深刻な結果を招く可能性があることを強調したが、「会社が次のシステムに切り替えたという事実のおかげで」 バックアップシステム生産プロセスを管理しており、生産も石油の準備も停止していません。」 同社の組織の1つに近いベドモスチ新聞の対話者は、バシネフチ製油所、バシネフチ・ドビチェおよびバシネフチ経営陣のすべてのコンピューターが「すぐに再起動し、その後、アンインストールされたソフトウェアをダウンロードし、ウイルスのスプラッシュ画面WannaCryを表示した」と述べている。 」

この画面では、ユーザーはビットコインで 300 ドルを指定のアドレスに送金するよう求められ、その後、コンピューターのロックを解除するためのキーが電子メールで送信されるとされています。 説明から判断すると、このウイルスはユーザーのコンピュータ上のすべてのデータを暗号化しました。

サイバー犯罪と詐欺の防止と調査を行う Group-IB は、石油会社に影響を与えたウイルスを特定したと同社がフォーブスに語った。 私たちはロスネフチだけを攻撃したわけではない Petya 暗号化ウイルスについて話しています。 グループIBスペシャリスト。 ロシアとウクライナの約80社が攻撃されたことが判明した。バシネフチ、ロスネフチ、ウクライナ企業ザポリージョブレネルゴ、ドネプロエネルゴ、ドニエプル電力システム、モンデリーズ・インターナショナル、オシャドバンク、マース、ノヴァヤ・ポフタ、ニベア、TESAなどのネットワークが攻撃された。 キエフの地下鉄もハッカー攻撃を受けた。 ウクライナ政府のコンピューター、Auchan ストア、ウクライナの通信事業者 (Kyivstar、LifeCell、UkrTeleCom)、PrivatBank が攻撃されました。 ボルィースピリ空港もハッカー攻撃を受けたとされる。

ウイルスは、ワナクライとして、またはメーリング リストを通じて拡散します - 会社の従業員が電子メールの悪意のある添付ファイルを開いた 電子メール。 その結果、被害者のコンピュータはブロックされ、MFT (NTFS ファイル テーブル) は安全に暗号化されたと Group-IB の担当者は説明しています。 同時に、ランサムウェア プログラムの名前がロック画面に表示されないため、状況への対応プロセスが複雑になります。 Petya は強力な暗号化アルゴリズムを使用しており、復号化ツールを作成する機能がないことにも注意してください。 ランサムウェアは 300 ドルのビットコインを要求します。 被害者はすでに攻撃者のウォレットへの送金を開始しています。

Group-IB の専門家は、Petya 暗号化ツールの最近変更されたバージョンである「PetrWrap」が、金融機関に対する標的型攻撃の痕跡を隠すために Cobalt グループによって使用されたことを立証しました。 Cobalt 犯罪グループは、ロシア、イギリス、オランダ、スペイン、ルーマニア、ベラルーシ、ポーランド、エストニア、ブルガリア、ジョージア、モルドバ、キルギスタン、アルメニア、台湾、マレーシアなど、世界中の銀行を攻撃することに成功したことで知られています。 この構造は、ATM に対する非接触（論理）攻撃に特化しています。 ATM 制御システムに加えて、サイバー犯罪者は銀行間送金システム (SWIFT)、支払いゲートウェイ、カード処理へのアクセスを試みています。

ランサムウェア ウイルスはロシアとウクライナの数十社のコンピュータを攻撃し、政府機関などの業務を麻痺させ、世界中に広がり始めました。

ロシア連邦では、バシネフチとロスネフチが、5 月に世界中のコンピューターに感染した WannaCry ランサムウェアのクローンである Petya ウイルスの被害者になりました。

バシネフチのコンピュータはすべてウイルスに感染していると、同社関係者がベドモスチに語った。 このウイルスはファイルを暗号化し、ビットコイン ウォレットに 300 ドルの身代金を要求します。

「このウイルスは当初、ポータル、社内メッセンジャー Skype for Business、MS Exchange へのアクセスを無効にしました。彼らはこれが単なるネットワーク障害であると考えましたが、その後コンピューターが再起動して「死亡」エラーが発生しました。 ハードドライブ、次の再起動ではすでに赤い画面が表示されていました」と情報筋は述べています。

ほぼ同時に、ロスネフチは自社サーバーに対する「強力なハッカー攻撃」を発表した。 ITシステムと生産管理は予備稼働に移され、同社は通常通り営業しており、「ハッカー攻撃の主催者とともに虚偽メッセージやパニックメッセージの配布者も責任を問われるだろう」と同社報道官のミハイル・レオンチェフ氏はタス通信に語った。

ロスネフチとバシネフチのウェブサイトは機能しません。

この攻撃はモスクワ時間約14時頃に記録され、現在80社が被害者となっている。 石油労働者に加えて、マース、ニベア、モンデリーズ・インターナショナル（アルペン・ゴールド・チョコレートのメーカー）の代表者も影響を受けたとサイバー犯罪の防止と調査を行うグループIBが報告した。

冶金会社エブラズと全支店の業務停止を余儀なくされたホーム・クレジット銀行も、経営資源への攻撃を報告した。 RBCによると、少なくともロシアの銀行10行が火曜日、この攻撃に関連してサイバーセキュリティの専門家に連絡した。

ウクライナでは、ウイルスは政府のコンピュータ、Auchanストア、Privatbank、通信事業者のKyivstar、LifeCell、Ukrtelecomを攻撃した。

ボルィースピリ空港、キエフ地下鉄、ザポリーショブレネルゴ、ドネプロエネルゴ、ドニエプル電力システムが攻撃を受けた。

チェルノブイリ原子力発電所はサイバー攻撃と一時停止のため、工場敷地の放射線監視を手動に切り替えた Windows システム, 州立ち入り禁止区域管理庁の報道機関がインタファクスに伝えた。

ランサムウェアウイルスの影響を受ける 多数のカスペルスキーの国際研究部門責任者、コスティン・ライウ氏は自身のツイッターアカウントでこう述べた。

彼によれば、 新しいバージョン今年6月18日に出現したウイルスは偽物 デジタル署名マイクロソフト。

モスクワ時間18時5分、デンマークの海運会社A.P.は自社サーバーへの攻撃を発表した。 モラー・マースク。 ロシアとウクライナに加えて、英国、インド、スペインのユーザーも影響を受けたとロイター通信が同庁の話として報じた。 情報技術スイス政府。

InfoWatch GroupのゼネラルディレクターであるNatalya Kasperskaya氏はタス通信に対し、暗号化ウイルス自体は1年以上前に出現したと説明した。 これは主にフィッシング メッセージを通じて配布され、以前に知られていたものの修正バージョンです。 マルウェア。 カスペルスカヤ氏は、「管理者権限を持つ他のランサムウェアウイルス「ミーシャ」と連携したもので、バックアップ暗号化ソフトの改良版だった」と述べた。

彼女によると、5 月に発生した WannaCry ランサムウェア攻撃は、ウイルスの脆弱性によりすぐに阻止されたとのことです。 「ウイルスにそのような脆弱性が含まれていない場合、ウイルスと戦うのは困難です」と彼女は付け加えた。

2017年5月12日、150カ国の20万台以上のコンピュータに影響を与えたランサムウェア「WannaCry」を使った大規模サイバー攻撃が発生した。

WannaCry はユーザー ファイルを暗号化し、復号化するには 300 ドル相当のビットコインでの支払いを必要とします。

特にロシアでは攻撃を受けた コンピュータシステム内務省、保健省、調査委員会、ロシア鉄道、銀行、携帯電話会社。

5月12日の攻撃に関する国際調査を主導している英国サイバーセキュリティセンター（NCSC）によると、政府系グループ「ラザラス」の北朝鮮ハッカーらが背後にいたという。