Во вторник десятки организаций по всему миру столкнулись с масштабной атакой программы-вымогателя Petya. Первыми от вируса пострадали российские и украинские нефтяные, телекоммуникационные и финансовые компании, затем проблемы возникли и в других странах. Шифровальщик распространяется аналогично нашумевшему в мае вирусу WannaCry. Эксперты связывают обе атаки с весенней публикацией эксплойтов Агентства национальной безопасности США группой The Shadow Brokers.
Об атаке вируса-шифровальщика Petya по всему миру стало известно днем 27 июня. Она началась с России и Украины, где вирус заблокировал компьютеры компаний нефтяного, телекоммуникационного и финансового сектора, требуя $300 в биткойнах. Проблемы были также у компаний в Великобритании и Индии, сообщил Reuters со ссылкой на информацию агентства по информационным технологиям правительства Швейцарии. Именно там связали вирус с троянцем-шифровальщиком Petya, который еще в 2016 году использовался злоумышленниками для блокировки работоспособности ПК.
По информации испанской El Confidencial, атака парализовала работу офисов представительств международных компаний Mondelez International и DLA Piper в стране. По данным Bloomberg, от вируса также пострадал крупнейший в мире рекламный холдинг WPP. Международная логистическая компания Maersk сообщила в своем блоге в Twitter, что атака вируса Petya вывела из строя работу IT-систем и сайта компании в разных регионах. Официально подтвердили наличие проблем с вирусом и в Службе национальной безопасности Норвегии.
По состоянию на 20:45 на биткойн-кошелек вируса Petya было сделано 22 перевода на общую сумму около $5,6 тыс., следует из данных, доступных по его адресу. Создатели WannaCry за первые дни атаки заработали на своих жертвах около $66 тыс.
Среди жертв кибератаки, по информации Group-IB, оказались сети российских «Башнефти», «Роснефти», украинских «Запорожьеоблэнерго», «Днепроэнерго» и Днепровской электроэнергетической системы. Также в России атаке подверглись Mondelez International, Mars и Nivea. На Украине были атакованы правительственные компьютеры, Киевский метрополитен, магазины «Ашан», операторы связи «Киевстар», LifeCell и «Укртелеком», Приватбанк и предположительно аэропорт Борисполь.
Представитель «Роснефти» Михаил Леонтьев во вторник отметил, что атака была очень мощной и, если бы производственные подразделения не были сразу переведены на резервные системы управления, ущерб мог бы быть значительным. «В результате в этом сегменте ущерба не было никакого»,— подчеркнул Михаил Леонтьев. Один из собеседников “Ъ”, близких к «Роснефти», сообщил, что в ряде дочерних структур компании, в том числе в Уральском федеральном округе, компьютеры сотрудников были заблокированы всплывающими вирусными окнами. Во вторник днем сайт компании какое-то время был недоступен.
О заражении IT-систем банков РФ во вторник заявил Банк России. По информации ЦБ, в результате атак зафиксированы единичные случаи заражения объектов информационной инфраструктуры. Названия пострадавших банков там не раскрывают. «В настоящее время Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Банка России совместно с кредитными организациями работает над устранением последствий выявленных компьютерных атак»,— сообщили в ЦБ. Там отметили, что нарушений в работе систем банков и предоставлении сервисов клиентам не зафиксировано.
Тем не менее ХКФ-банк в связи с хакерской атакой приостановил обслуживание клиентов. В пресс-службе банка во вторник сообщили, что все отделения работают по обычному графику, но в консультационном режиме, клиентские операции в отделениях проводить нельзя, банкоматы и колл-центр работают. Сайт банка был недоступен. «Наши специалисты заметили первые признаки нестандартной сетевой активности. На фоне массовых сообщений об атаках на различные компании мы приняли решение в превентивном порядке провести проверку безопасности всех наших систем. Как только работа систем будет восстановлена, мы проинформируем об этом в группах банка в социальных сетях»,— пояснили в ХКФ-банке. В Сбербанке, ВТБ, Альфа-банке, Газпромбанке и банке «Открытие» сообщили, что информационных атак не фиксировали и все системы работают в штатном режиме.
Евгений Касперский, гендиректор «Лаборатории Касперского», в интервью “Ъ”
WannaCry имеет все шансы стать тем самым поворотным моментом, который заставит компании серьезнее относиться к защите
В «Лаборатории Касперского» сообщили, что шифровальщик не принадлежит к ранее известным семействам вредоносного ПО, отметив, что информацию о схеме работы вредоносного кода смогут сообщить после расследования. В компании Positive Technologies подтвердили схожесть вируса с вымогателем Petya. «Мы имеем дело отнюдь не с какой-либо новой версией WannaCry»,— подчеркнул руководитель отдела реагирования на угрозы информационной безопасности Positive Technologies Эльмар Набигаев. По его оценке, это вымогательское ПО совмещает различные хакерские методы развития атаки в сети, такие как использование стандартных утилит системного администрирования, использование хакерских утилит для получения паролей пользователей к операционным системам и т. п. Это гарантирует высокую скорость его распространения внутри сети и массовость эпидемии в целом при заражении хотя бы одного ПК. Результатом становится полная неработоспособность ПК и шифрование данных.
Заместитель директора по развитию компании «Айдеко» Дмитрий Хомутов связывает масштабные вирусные атаки последнего времени с весенней публикаций эксплойтов (программы или элементы кодов, использующие уязвимости в ПО) Агентства национальной безопасности США группой The Shadow Brokers. «При атаке первой модификации WannaCry злоумышленники использовали инструмент спецслужб Eternal Blue, совместив его с функцией шифрования»,— пояснил господин Хомутов. По его мнению, масштабные атаки будут продолжаться и усиливаться. Говоря о причинах возникновения новой атаки, эксперты отмечают, что проблема снова в небрежном отношении к информационной безопасности. «Уроки WannaCry пострадавшими организациями так и не выучены: обновления все так же устанавливаются несвоевременно»,— констатирует господин Набигаев.