Rambler's Top100
Все новости Новости отрасли

Petya набирает обороты

28 июня 2017

Атаки вируса-вымогателя Petya, поразившего вчера компании в России и на Украине, были замечены в Индии, Китае и Австралии.

Как сообщает "КоммерсантЪ", в Индии из-за кибератаки была затруднена работа грузового терминала порта имени Джавахарлала Неру в Мумбае, управляемого компанией A.P. Moller-Maersk - из-за неполадок в системе автоматической идентификации грузов сотрудникам терминала пришлось задействовать ручные системы управления. О следах вируса сообщили и представители китайских компаний. По данным главного инженера по кибербезопасности китайской компании Qihoo 360 Technology Co Чжэнь Вэньбина, вирус начинает распространяться и по Китаю, однако пока рано говорить о массовой атаке.

В Австралии из-за кибератаки было приостановлено производство на кондитерской фабрике Cadbury, находящейся под управлением американской компании Mondelez. По данным секретаря Австралийского профсоюза рабочих Джона Шорта, производство на фабрике в тасманийском городе Хобарт было приостановлено в 21:30 по местному времени из-за массового отключения компьютеров, пораженных вирусом.

Напомним, что вчера от действий вируса пострадали украинские и российские компании. В их числе специалисты называют компании Новая Почта, Запорожьеоблэнерго, Днепроэнерго, Ощадбанк, медиахолдинг ТРК "Люкс", Mondelēz International, TESA, Nivea, Mars, операторы LifeCell, УкрТелеКом, Киевстар и многие другие организации. В Киеве оказались заражены в том числе некоторые банкоматы и кассовые терминалы в магазинах. Именно на Украине зафиксированы первые атаки.

В России о хакерской атаке сообщили Evraz и "Роснефть", причем атака на серверы последней была столь ощутима, что компания обратилась в правоохранительные органы. Также об обнаружении хакерских атак, направленных на системы российских кредитных организаций, сообщил Банк России. В результате этих атак зафиксированы единичные случаи заражения объектов информационной инфраструктуры.

Who is Petya?

Отметим, что оценки экспертов относительно того, как именно должен именоваться новый вирус и какова его природа, несколько расходятся. Так, компания Group-IB, сделавшая перые предупреждения об атаке, говорила о том, что злоумышлененики используют энкодер Petya. В ESET сообщили, что новый вирус является модификацией данного вымогателя. С этой точкой зрения согласен Василий Дягилев, глава представительства компании Check Point Software Technologies в России и СНГ. "Похоже, что это новая версия вымогателя Petya, который впервые появился в марте 2016 года", - говорит Дягилев.

Президент ГК InfoWatch Наталья Касперская также заявила, что Petya.A обнаружили еще в апреле 2016 года, и первый его вариант был бессильным, если ему не давались права администратора. "Поэтому он объединился с некоторым другим вымогателем-вирусом Misha, который имел права администратора. Это был улучшенная версия, резервный шифровальщик", — цитирует РИА Новости слова Касперской.

В компании Dr.Web также заявили, что вирус, поражавший компьютеры по всему миру во вторник, отличается от вируса-вымогателя Petya способом распространения, хотя и схож с ним способом действия на системы.

В "Лаборатории Касперского" заявили, что по предварительным данным, новый шифровальщик не принадлежит к уже известному семейству вымогателей Petya, хотя и имеет несколько общих с ним строк кода. В данном случае речь идет о новом семействе вредоносного ПО с существенно отличающейся от Petya функциональностью. «Лаборатория Касперского» назвала новый шифровальщик ExPetr.

По данным «Лаборатории Касперского», число атакованных пользователей достигло 2 тысяч. Больше всего инцидентов было зафиксировано в России и Украине, также случаи заражения наблюдались в Польше, Италии, Великобритании, Германии, Франции, США и ряде других стран.

Специалисты компании ESET сегодня распространили сообщение, в котором указано, что ими установлен источник эпидемии трояна-шифратора Win32/Diskcoder.C Trojan (Petya.С). По данным компании, злоумышленники скомпрометировали бухгалтерское программное обеспечение M.E.Doc, широко распространенное в украинских компаниях, включая финансовые организации. Некоторые корпоративные пользователи установили троянизированное обновление M.E.Doc, положив начало атаке, охватившей страны Европы, Азии и Америки.

По данным системы телеметрии ESET, большинство срабатываний антивирусных продуктов ESET NOD32 пришлось на Украину, Италию и Израиль.

Шифратор распространяется при помощи SMB-эксплойта EternalBlue, который ранее стал причиной массового характера эпидемии WannaCry. Дальнейшее распространение внутри локальной сети осуществляется через PsExec. Это сочетание обуславливает стремительное распространение вредоносной программы. Метод заражения Petya до сих пор до конца не ясен, но он точно может заражать устройства, используя тот же протокол, что и WannaCry — он распространяется по всей корпоративной сети.

В «Лаборатории Касперского» также предполагают, что данное вредоносное ПО использовало несколько векторов атаки. Установлено, что для распространения в корпоративных сетях применялся модифицированный эксплоит EternalBlue и эксплоит EternalRomance.

В отличие от других типов вымогательского ПО, уточняют в Check Point, Petya не шифрует каждый отдельный файл на зараженной машине, а блокирует весь жесткий диск.

Что делать?

«Атака демонстрирует два основных тренда, - отмечает глава представительства компании Check Point Software Technologies в России и СНГ. - Во-первых, насколько быстро новые варианты вредоносного ПО могут создаваться и распространяться на глобальном уровне. Во-вторых, компании по большей части до сих пор не имеют средств превентивной защиты для предотвращения таких угроз. Организации должны сосредоточиться на проактивной борьбе с угрозами. На примере таких атак видно, что простое обнаружение угроз не поможет, потому что будет слишком поздно. Продвинутая защита от угроз необходима, так как она позволяет блокировать любой подозрительный контент и трафик до его попадания в сеть».

На данный момент  для защиты от шифровальщика все эксперты настоятельно рекомендуют организациям немедленно установить последние патчи Microsoft и отключить протокол обмена файлами SMBv1 в системах Windows.
 
Кроме того, пользователям следует убедиться,  что все узлы сети защищены комплексным антивирусным ПО, которое обновлено до последней версии и поддерживает современные технологии обнаружения. При подозрении на заражение нужно отключить инфицированные рабочие станции от корпоративной сети и обраться в службу технической поддержки своего антивирусного вендора. Если заражение все же произошло, специалисты не рекомендуют платить выкуп злоумышленникам. Почтовый адрес злоумышленников был заблокирован, поэтому ключ для расшифровки не будет получен даже если оплата будет произведена.

По необходимости следует проверить рабочие станции на предмет защищенности от эксплойт-атак с EternalBlue.

По материалам открытых источников
Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.