Вірус Petya не здається. Друга кібератака розтягнулася на два дні
В Україні зупинили другу атаку вірусом Petya (він же Diskcoder.C, ExPetr, PetrWrap, Petya, NotPetya). Таку новину ще вчора повідомив міністр внутрішніх справ Арсен Аваков. За його словами, пік атаки планувався на 16:00, стартувала вона о 13:40, а до 15:00 кіберполіція заблокувала розсилку та активацію вірусу з серверів інформаційної системи М.Е. Doc.
“Атаку було зупинено. Сервера вилучено, разом зі слідами впливу кіберзлочинців з очевидними джерелами з Російської Федерації. Дякую спецагентам за службу!” – пише Аваков у Фейсбуку і ділиться деякими подробицями першої хвилі кібератаки.
Експерти достеменно встановили, що зараження систем українських компаній відбулося через програмне забезпечення для звітності та документообігу – M.E.Doc.
Хакери отримали доступ до вихідного коду програми, вбудували в чергове оновлення бекдор (програму, що дозволяє отримати віддалений доступ до комп’ютерів) і запустили “Петю”. Метою хакерів було масове ураження комп’ютерів і несанкціонований збір з них інформації, вважає головний полісмен країни. Вимагання грошового викупу – лише відволікання уваги.
“Слідством опрацьовується версія, що справжніми цілями були стратегічно-важливі для держави компанії, атаки на які могли дестабілізувати ситуацію в країні”, – заявив міністр.
Аби припинити безконтрольне поширення небезпечного для держави вірусу, робочі комп’ютери та сервери компанії ТОВ “Інтелект-Сервіс” (розробник M.E.Doc) були вилучені кіберполіцією.
“Представники компанії-розробника “M.E.Doc” були проінформовані про наявність вразливостей в їхніх системах антивірусними компаніями, але це було проігноровано. Компанія-виробник заперечила проблеми з безпекою і назвала це “збігом”, – заявляє Аваков.
Інформацію про те, що саме користувачі M.E.Doc стали “нульовими пацієнтами” у ході кібератаки вірусом Petya, підтвердила антивірусна компанія ESET.
“Експерти ESET виявили складний прихований бекдор, впроваджений в один з легітимних модулів M.E.Doc. Малоймовірно, що атакуючі виконали цю операцію без доступу до вихідного коду програми.
Епідемія Diskcoder.C (Petya) почалася через п’ять днів після виходу шкідливого поновлення 22 червня.
За сукупністю ознак, що включають інфраструктуру, шкідливі інструменти, схеми і цілі атак, експерти встановили зв’язок між епідемією Diskcoder.C (Petya) і кібергрупою Telebots. Достовірно визначити, хто стоїть за діяльністю цього угруповання, в даний час немає можливості,” – повідомляє ESET.
Сьогодні ж, 5 липня, директор компанії ТОВ “Інтелект-Сервіс” (розробник M.E.Doc) Олеся Білоусова розповіла подробиці вчорашнього обшуку. За її словами, співробітники прокуратури, кіберполіції та СБУ вилучили близько ста серверів, якими користуються близько 500 000 клієнтів по всій країні. Це близько 1 000 000 комп’ютерів.
Співробітники силових структур аж до ранку опитували по черзі всіх співробітників компанії (майже 200), а також перевіряли їхні мобільні телефони.
Незважаючи на те, що вчора атаку Diskcoder.C (Petya) начебто відбили, сьогодні, 5 червня, державний “Ощадбанк” вдруге зазнав атаки вірусу Petya. Як повідомляють джерела з банку, співробітникам дали розпорядження терміново вимкнути комп’ютери і чекати.
Водночас офіційно банк це заперечує: “У нас все добре: відділення, додатки, сайт – все працює. Ви завжди можете переконатися в цьому самі. А інформація про другу хвилю атаки на нас – неправда”.
Знову напав сьогодні “Петро” і на “Київенерго”.
“Шановні клієнти, інформуємо про тимчасове обмеження роботи клієнтських сервісів компанії через технічні заходи, націлені на посилення захисту інформаційної інфраструктури компанії.
Ми обов’язково проінформуємо про відновлення роботи клієнтських сервісів. Перепрошуємо за незручності!” – повідомляє компанія у Фейсбуку.
