Che tipo di virus ha attaccato Rosneft. Virus Petya: il campo di battaglia è Rosneft. Login

Il virus ransomware ha attaccato i computer di decine di aziende in Russia e Ucraina, paralizzando il lavoro delle agenzie governative, e ha iniziato a diffondersi in tutto il mondo

In Russia, Bashneft e Rosneft sono state vittime del virus Petya, un clone del ransomware WannaCry che ha colpito i computer di tutto il mondo a maggio.

A Bashneft, tutti i computer sono stati infettati dal virus, ha detto a Vedomosti una fonte dell'azienda. Il virus crittografa i file e richiede un riscatto di $ 300 per portafoglio bitcoin.

"Il virus ha prima disabilitato l'accesso al portale, al messenger interno di Skype for business, a MS Exchange, hanno pensato che fosse solo un errore di rete, poi il computer si è riavviato con un errore. Il disco rigido è morto, il successivo riavvio ha già mostrato un schermo rosso", ha detto la fonte.

Quasi contemporaneamente, Rosneft ha annunciato un "potente attacco hacker" ai suoi server. I sistemi IT e la gestione della produzione sono stati trasferiti in capacità di standby, l'azienda opera come al solito e "i diffusori di messaggi falsi e di panico saranno ritenuti responsabili insieme agli organizzatori dell'attacco hacker", ha detto a TASS il portavoce dell'azienda Mikhail Leontiev.

I siti Web di Rosneft e Bashneft non funzionano.

L'attacco è stato registrato intorno alle 14.00 ora di Mosca, tra le sue vittime al momento ci sono 80 compagnie. Oltre alle compagnie petrolifere, sono stati colpiti gli uffici di rappresentanza di Mars, Nivea e Mondelez International (produttore di cioccolato Alpen Gold), ha affermato Group-IB, che è impegnata nella prevenzione e nelle indagini sulla criminalità informatica.

Inoltre, la società metallurgica Evraz e la Home Credit Bank, costretta a sospendere il lavoro di tutte le sue filiali, hanno denunciato un attacco alle loro risorse. Secondo RBC, almeno 10 banche russe si sono rivolte martedì a specialisti della sicurezza informatica in relazione all'attacco.

In Ucraina, il virus ha attaccato i computer del governo, i negozi Auchan, gli operatori di telecomunicazioni Privatbank, Kyivstar, LifeCell e Ukrtelecom.

L'aeroporto Boryspil, la metropolitana di Kiev, Zaporizhzhyaoblenergo, Dneproenergo e Dnipro Electric Power System sono stati attaccati.

La centrale nucleare di Chernobyl è passata al monitoraggio manuale delle radiazioni del sito industriale a causa di un attacco informatico e di un arresto temporaneo del sistema Windows, ha riferito Interfax al servizio stampa dell'Agenzia di Stato per la gestione della zona di esclusione.

Il virus ransomware ha colpito un gran numero di paesi in tutto il mondo, ha dichiarato Costin Rayu, capo della divisione di ricerca internazionale di Kaspersky Lab, sul suo account Twitter.

Secondo lui, la nuova versione del virus, apparsa il 18 giugno di quest'anno, ha una falsa firma digitale Microsoft.

Alle 18.05 ora di Mosca, la compagnia di navigazione danese A.P. ha annunciato un attacco ai suoi server. Moller Maersk. Oltre a Russia e Ucraina, gli utenti nel Regno Unito, in India e in Spagna sono stati colpiti, ha riferito Reuters, citando l'Agenzia per la tecnologia dell'informazione del governo svizzero.

Natalia Kasperskaya, CEO di InfoWatch, ha spiegato a TASS che il virus di crittografia stesso è apparso più di un anno fa. Viene distribuito principalmente tramite messaggi di phishing ed è una versione modificata di un malware precedentemente noto. "Si è unito a un altro virus ransomware Misha con diritti di amministratore. Era una versione migliorata, un ransomware di backup", ha affermato Kaspersky.

Secondo lei, è stato possibile superare rapidamente l'attacco di maggio del ransomware WannaCry a causa della vulnerabilità del virus. "Se un virus non contiene una tale vulnerabilità, allora è difficile combatterla", ha aggiunto.

Il 12 maggio 2017 si è verificato un attacco informatico su larga scala tramite il virus ransomware WannaCry che ha infettato più di 200.000 computer in 150 paesi.

WannaCry crittografa i file dell'utente e richiede un pagamento in bitcoin equivalente a $ 300 per decifrarli.

In Russia sono stati attaccati in particolare i sistemi informatici del Ministero dell'Interno, del Ministero della Salute, del Comitato Investigativo, delle Ferrovie russe, delle banche e degli operatori mobili.

Gli hacker nordcoreani del gruppo legato al governo Lazarus erano dietro l'attacco, secondo il British Cyber Security Center (NCSC), che sta conducendo le indagini internazionali sull'attacco del 12 maggio.

L'obiettivo principale dell'attacco del virus Petya, che ha recentemente infettato migliaia di computer in tutto il mondo, erano i sistemi informatici e. Numerosi media stranieri sono giunti a questa conclusione.

Secondo le pubblicazioni, l'attacco hacker mirava a distruggere prove importanti che sono fondamentali per l'attuale processo a Rosneft e Bashneft con, che è di proprietà di un oligarca russo.

“Petya non è un virus ransomware, ma un programma che distrugge i dati sui computer infetti. Sembra che non dovrebbe essere chiamato Petya, ma Petrovich - dal patronimico del capo di AFK Sistema, Vladimir Petrovich Yevtushenkov ", scrive Bostonmail.

La pubblicazione rileva che poche ore dopo l'attacco, l'autorevole rivista americana Fortune, citando le conclusioni degli analisti informatici, ha riferito che la fonte dell'attacco informatico si trovava in Ucraina. L'attacco è stato lanciato dalla società ucraina Intellect-Service, che sviluppa il software di contabilità MeDoc. Tra i clienti di Intellect-Service c'è uno dei più grandi operatori di telefonia mobile in Ucraina: Vodafone. Fino all'autunno del 2015, l'azienda, che ora offre i suoi servizi sotto il nome di Vodafone, si chiamava MTS Ukraine. Il proprietario del 100 percento delle azioni della società è il gruppo russo MTS, che è l'asset centrale di Sistema.

L'attacco informatico con Petya è stato lanciato nel momento in cui la Corte Arbitrale del Bashkortostan ha avviato le udienze nel caso Rosneft contro Sistema. Secondo la pubblicazione, una tale combinazione di circostanze non può essere definita una semplice coincidenza.

Questo è stato in parte il motivo per cui l'uomo d'affari è in uno stato di shock, secondo la pubblicazione. "Indubbiamente, era pronto a fare tutto il possibile per salvare la sua reputazione e fortuna", secondo il Bostonmail. Poco prima dell'attacco informatico, il tribunale arbitrale del Bashkortostan ha ricevuto una mozione in cui si affermava che Rosneft avrebbe archiviato la causa contro Sistema perché le società avevano raggiunto un accordo transattivo. Il documento è stato firmato da due vicepresidenti di Rosneft. Successivamente è stato accertato che si trattava di un falso, ma non è ancora chiaro chi lo abbia inviato in tribunale.

Un portavoce di Rosneft poco dopo l'attacco del virus ha dichiarato che lo scopo del crimine informatico era quello di "uccidere" i computer di Bashneft. I computer, ha aggiunto, contenevano una grande quantità di informazioni sulle operazioni di Bashneft durante il periodo in cui apparteneva ad altri proprietari.

Il danno collaterale subito dall'Ucraina e da altri Paesi non è casuale: era necessario per coprire il vero obiettivo dell'attacco, scrive EU Repoter. Lanciando l'attacco specificamente in Ucraina, i criminali si sono assicurati che, anche se i servizi ucraini potessero scoprire qualcosa, era improbabile che condividessero le loro scoperte con le loro controparti russe, poiché l'Ucraina non si fida delle autorità russe. “Penso che l'attacco fosse mirato specificamente a Rosneft. "Non ci sono altre spiegazioni", ha detto alla pubblicazione un giornalista russo.

A sostegno della sua teoria secondo cui Evtushenkov era lo sponsor dell'attacco, sostiene il fatto che Sistema è la più grande holding di telecomunicazioni della Russia, che impiega i migliori professionisti IT del paese. Sanno come gestire virus e hack e quindi come organizzarli. Chi altro nello spazio post-sovietico può organizzare un attacco hacker così potente?

Alla fine di giugno, i sistemi informatici del virus Petya in Ucraina, Russia, Italia, Israele, Serbia, Stati Uniti e altri paesi. Gli aggressori hanno bloccato i computer delle vittime e chiesto un riscatto per informazioni su di loro per un importo di 300 dollari in bitcoin. Successivamente, gli esperti hanno scoperto che gli hacker non avevano intenzione di ripristinare l'accesso ai dati crittografati, ma intendevano distruggerli.

TUTTE LE FOTO

Il virus ransomware WannaCry è stato sostituito dallo stesso ransomware, ma con un nome meno intricato -
. Nel pomeriggio del 27 giugno, "Petya" ha attaccato circa 80 organizzazioni in Ucraina e Russia. Rapporti successivi di attacchi di hacker provenivano dall'Europa e dall'India. Secondo i dati preliminari, le reti di computer nei Paesi Bassi, in Francia e in Spagna sono state infettate da un virus ransomware simile.

In Ucraina è stata colpita la rete governativa, in Russia le società Rosneft, Mars, Nivea e altre. Il Cremlino ha detto che non sono stati colpiti dal virus. Nel frattempo, Kiev ha accusato dell'attacco i servizi segreti russi, definendo quanto sta accadendo un elemento di una guerra ibrida.

Secondo Group-IB, il virus Petya.A blocca i computer e impedisce loro di avviare il sistema operativo. Per la ripresa del lavoro e la decrittazione dei file, chiede un riscatto di 300 dollari in bitcoin. Un attacco su larga scala contro società petrolifere, di telecomunicazioni e finanziarie in Russia e Ucraina è stato registrato intorno alle 14:00 ora di Mosca, riferisce TASS.

Secondo Kaspersky Lab, il ransomware utilizza una falsa firma elettronica Microsoft. La tecnologia di firma elettronica del codice viene utilizzata per mostrare agli utenti che il programma è stato sviluppato da un autore fidato e garantisce che non causerà danni. Kaspersky Lab ritiene che il virus sia stato creato il 18 giugno 2017.

Per fermare la diffusione del virus, Group-IB consiglia di chiudere immediatamente le porte TCP 1024-1035, 135 e 445.

Il virus Petya si è diffuso in tutto il mondo

Gli esperti hanno già riferito che il nuovo virus ransomware Petya si è diffuso oltre la CSI e ha colpito le reti di computer di tutto il mondo.

"Virus Petya con indirizzo di contatto [email protetta] si sta diffondendo in tutto il mondo, un numero enorme di paesi ne è colpito", ha scritto sulla sua pagina in Twitter Costin Rayu, capo del team di ricerca internazionale di Kaspersky Lab.

Ha chiarito che Petya utilizza una falsa firma digitale di Microsoft. Gli hacker di ransomware hanno già ricevuto almeno sette pagamenti di riscatto per riottenere l'accesso ai computer attaccati dal virus, ha affermato Raiu.

I giornalisti di Reuters riferiscono che l'attacco hacker si è diffuso nei paesi europei. Il virus ransomware è penetrato, in particolare, nelle reti di computer nel Regno Unito e in Norvegia. Inoltre, in India sono state trovate tracce di Petya.

Il vice primo ministro ucraino Pavlo Rozenko sulla sua pagina Facebook ha annunciato che la rete nella segreteria del governo aveva smesso di funzionare per un motivo sconosciuto. "Ta-dam! Semmai, anche la nostra rete è "caduta", come una campagna! Tutti i computer del Gabinetto dei Ministri dell'Ucraina mostrano un'immagine del genere", ha scritto.

La Banca nazionale ucraina (NBU) ha già avvertito le banche e altri partecipanti al settore finanziario di un attacco di hacker esterno da parte di un virus sconosciuto. La NBU ha inoltre osservato che, in relazione agli attacchi informatici nel settore finanziario ucraino, sono state rafforzate le misure di sicurezza e la risposta agli attacchi degli hacker, secondo un comunicato stampa dell'autorità di regolamentazione.

Ukrtelecom ha affermato che la società continua a fornire accesso a Internet e servizi di telefonia e che i sistemi informatici che accompagnano il call center e i centri di assistenza clienti non funzionano.

L'aeroporto di Boryspil, a sua volta, ha avvertito che "a causa di una situazione di emergenza, sono possibili ritardi dei voli". Attualmente, l'orario dei voli online non è disponibile per i passeggeri sul sito ufficiale dell'aeroporto.

La metropolitana di Kiev ha detto che a seguito dell'attacco è stata bloccata la funzione di pagamento con carte bancarie. "Le carte della metropolitana senza contatto funzionano come al solito", ha affermato la metropolitana.

Ukrenergo ha riferito che la società sta già indagando sull'attacco informatico.

Inoltre, l'attacco hacker ha portato alla chiusura del sistema informatico per il monitoraggio delle radiazioni di fondo nella centrale nucleare di Chernobyl. I computer che eseguono Windows hanno dovuto essere temporaneamente spenti, il monitoraggio delle radiazioni del sito industriale è stato commutato in modalità manuale.

Attualmente, il Centro per il monitoraggio e la risposta agli attacchi informatici nella sfera creditizia e finanziaria della Banca di Russia, insieme agli istituti di credito, sta lavorando per eliminare le conseguenze degli attacchi informatici identificati, ha sottolineato la Banca centrale.

Secondo TASS, anche tutti i computer del server aziendale dei ristoranti di Mosca della catena Tanuki-Ruff sarebbero stati attaccati da un hacker.

Il servizio stampa di Rosenergoatom ha riferito che tutte le centrali nucleari russe funzionano normalmente. L'assenza di tracce di attacchi hacker è stata confermata anche da Inter RAO, Enel Russia, Rosseti e System Operator UES. Rosseti ha aggiunto che sono già state adottate misure adeguate per prevenire possibili attacchi degli hacker.

Virus Petia

Un virus ransomware che blocca l'accesso ai dati e richiede $ 300 in bitcoin per sbloccarlo è noto in varie modifiche dal 2016.

Il malware viene distribuito tramite e-mail di spam. In particolare, le prime versioni di Petya erano camuffate da curriculum. Quando un utente apriva un'e-mail infetta, sullo schermo veniva visualizzato un programma Windows che richiedeva i diritti di amministratore.

Se un utente distratto ha accettato di concedere al programma i diritti appropriati, il virus ha sovrascritto l'area di avvio del disco rigido e ha mostrato una "schermata blu della morte" suggerendo un riavvio urgente del computer.

Prima che Petya fosse WannaCry

Il precedente attacco su larga scala alle organizzazioni di tutto il mondo, la cui arma era il virus WannaCry, è avvenuto il 12 maggio. Il virus ransomware ha disabilitato in modo massiccio i computer e ha chiesto un riscatto per decrittografare i file degli utenti. È stato riferito che la Russia è stato il paese più colpito da WannaCry. L'attacco informatico, in particolare, ha colpito la società MegaFon, il Ministero dell'Interno, Sberbank e il Ministero della Salute. Il tentativo di infezione è stato segnalato dalle Ferrovie russe e dalla Banca centrale, dove hanno sottolineato che l'attacco non ha avuto successo.

Gli esperti della società americana Flashpoint sono giunti alla conclusione che i creatori del virus ransomware WannaСry potrebbero provenire dalla Cina meridionale, Hong Kong, Taiwan o Singapore. Nel gruppo IB, hacker della RPDC, che hanno anche cercato di impersonare il russo.

Il virus ransomware ha attaccato i computer di decine di aziende in Russia e Ucraina, paralizzando il lavoro delle agenzie governative, e ha iniziato a diffondersi in tutto il mondo

In Russia, Bashneft e Rosneft sono state vittime del virus Petya, un clone del ransomware WannaCry che ha colpito i computer di tutto il mondo a maggio.

A Bashneft, tutti i computer sono stati infettati dal virus, ha detto a Vedomosti una fonte dell'azienda. Il virus crittografa i file e richiede un riscatto di $ 300 per portafoglio bitcoin.

I siti Web di Rosneft e Bashneft non funzionano.

In Ucraina, il virus ha attaccato i computer del governo, i negozi Auchan, gli operatori di telecomunicazioni Privatbank, Kyivstar, LifeCell e Ukrtelecom.

L'aeroporto Boryspil, la metropolitana di Kiev, Zaporizhzhyaoblenergo, Dneproenergo e Dnipro Electric Power System sono stati attaccati.

Il virus ransomware ha colpito un gran numero di paesi in tutto il mondo, ha dichiarato Costin Rayu, capo della divisione di ricerca internazionale di Kaspersky Lab, sul suo account Twitter.

Secondo lui, la nuova versione del virus, apparsa il 18 giugno di quest'anno, ha una falsa firma digitale Microsoft.

Il 12 maggio 2017 si è verificato un attacco informatico su larga scala tramite il virus ransomware WannaCry che ha infettato più di 200.000 computer in 150 paesi.

WannaCry crittografa i file dell'utente e richiede un pagamento in bitcoin equivalente a $ 300 per decifrarli.

Basato su materiali multimediali

Il 27 giugno il mondo ha subito un altro attacco hacker: un virus dal nome beffardamente frivolo Petya ha bloccato i computer in molti paesi, chiedendo 300 dollari per la restituzione dell'accesso ai database aziendali. Dopo aver raccolto circa 8mila, "Petya" si è calmato, lasciando però molte domande.

Il più ardente, ovviamente - chi, dove? Secondo la rivista Fortune - una pubblicazione molto autorevole - "Petya" ci è arrivata dall'Ucraina. La polizia informatica tedesca tende allo stesso punto di vista e, tipicamente, anche quella ucraina. "Petya" è entrata nel grande mondo dalle viscere della società ucraina "Intellect-Service", uno sviluppatore di un'ampia varietà di software su ordinazione.

In particolare, il più grande cliente dell'azienda è l'operatore mobile ucraino Vodafone, meglio noto come "MTS Ukraine" - così veniva chiamato fino al 2015. In generale, MTS è una risorsa chiave della società AFK Sistema, di proprietà del famigerato Vladimir Yevtushenkov. L'uomo d'affari ha contribuito allo sviluppo e al lancio di Petit?

Secondo "Version", questo è più che probabile. "Petya" ha intrapreso la sua "strada maestra" proprio alla vigilia della riunione della Corte Arbitrale della Bashkiria, dove le pretese di Rosneft contro AFK Sistema, l'ex proprietario di Bashneft, che è stata rilevata dalla più grande compagnia petrolifera nazionale, sono state considerato. Secondo Rosneft, Yevtushenkov e il suo top management hanno inflitto 170 miliardi di rubli di perdite a Bashneft con il loro management, cosa che chiedono in tribunale.

La corte, tra l'altro, è incline a credere al nuovo proprietario, perché ha già sequestrato 185 miliardi di rubli appartenenti al vecchio, compreso, tra l'altro, il 31,76% delle azioni MTS. Di conseguenza, le condizioni di Evtushenkov "hanno perso peso" di quasi la metà e i nervi dello stesso uomo d'affari hanno iniziato a fallire sempre più spesso. Qual è il valore di un falso accordo transattivo, che è arrivato in tribunale dal nulla - l'attore, come si è scoperto, non lo ha visto nei suoi occhi, per non parlare di firmarlo.

Se non ha funzionato con lettere anonime, il prossimo passo logico è nascondere le prove degli atti dubbi dell'imputato che gli sono incriminati. E queste prove sono archiviate nei computer di Bashneft, che, insieme a tutto il resto della sua proprietà, sono stati trasferiti a Rosneft. Quindi non ridere di "Petya": i suoi creatori non volevano "ridurre facilmente i soldi", ma ripulire i conti.

E, in generale, il calcolo non era male. E la compagnia ucraina non è stata scelta per caso: dove, se non in Ucraina, tutte le richieste ufficiali rimarranno bloccate e la raccolta delle prove si fermerà? E il sistema informatico di Rosneft è stato scosso da un attacco hacker, ma, grazie al sistema di backup, è comunque sopravvissuto, su cui l'ex proprietario non poteva in alcun modo contare: probabilmente si aspettava che il sistema di difesa informatica del suo avversario fosse pieno di buchi , come era a Bashneft ai tempi di AFK Sistema.

Questo è probabilmente il motivo per cui gli autori dell'attacco si sono affrettati a diffondere voci secondo cui Rosneft avrebbe dovuto sospendere la produzione. No, la produzione non si è fermata, ma queste voci indicano ancora una volta che i creatori di "Petya" erano molto interessati a questo. E oggi il discredito di Rosneft è il primo punto all'ordine del giorno delle strutture di Vladimir Yevtushenkov.

in dettaglio

Avvicinamento

Nell'iniziativa della Guardia russa di inasprire le pene per attività illegali di sicurezza privata, la cosa più interessante non sono le sanzioni proposte, ma l'oggetto dell'applicazione della forza chiaramente definito dal più giovane servizio speciale russo. Si prevede infatti di dichiarare una vera guerra al poliedrico esercito di sentinelle e amministratori.

Quindi ora è apparso un nuovo virus.

Che cos'è un virus e dovremmo averne paura

Ecco come appare su un computer infetto

Un virus chiamato mbr locker 256 (che sul monitor si fa chiamare Petya) ha attaccato i server delle compagnie russe e ucraine.

Blocca i file sul computer e li crittografa. Gli hacker richiedono $ 300 in bitcoin per sbloccarlo.

MBR- questo è il record di avvio principale, il codice richiesto per il successivo avvio del sistema operativo. Si trova nel primo settore del dispositivo.

Dopo aver acceso il computer, viene eseguita una procedura POST, testando l'hardware e, successivamente, il BIOS carica l'MBR nella RAM a 0x7C00 e gli trasferisce il controllo.

Pertanto, il virus entra nel computer e infetta il sistema. Ci sono molte modifiche del malware.

Funziona sotto Windows, proprio come il malware precedente.

Chi ha già sofferto

Società ucraine e russe. Ecco una parte dell'intero elenco:

"Zaporozhyeoblenergo"

DTEK

"Sistema elettrico Dnipro"

Kharkivgaz

Kyivenergo

"Kyivvodokanal"

"Antonio"

"Metropolitana di Kiev"

"Nuovo Post"

Auchan

"Epicentro"

"banca privata"

Banca Oschad

"Banca nazionale dell'Ucraina"

Nivea

tre operatori mobili: Kyivstar, LifeCell e UkrTeleCom

Aeroporto di Borispol"

Rosneft

Molte aziende hanno respinto rapidamente l'attacco, ma non tutte sono state in grado di farlo. Per questo motivo, alcuni dei server non funzionano.

Le banche non possono effettuare una serie di transazioni monetarie a causa di Petya. Gli aeroporti stanno posticipando o ritardando i voli. Il metropolita dell'Ucraina non ha accettato pagamenti contactless fino alle 15:00.

Per quanto riguarda le apparecchiature per ufficio, i computer non funzionano. Allo stesso tempo, non ci sono problemi con il sistema energetico, con l'approvvigionamento energetico. Ciò ha interessato solo i computer dell'ufficio (in esecuzione su piattaforma Windows). Ci è stato dato il comando di spegnere i computer. - Ukrenergo

Gli operatori si lamentano di aver sofferto anche loro. Ma allo stesso tempo cercano di lavorare per gli abbonati nella modalità normale.

Come proteggersi da Petya.A

Per proteggersi, è necessario chiudere le porte TCP 1024-1035, 135 e 445 sul computer.Questo è abbastanza semplice da fare:

Passo 1. Apriamo il firewall.

Passo 2. Sul lato sinistro dello schermo, vai su "Regole per le connessioni in entrata".

Passaggio 3. Seleziona "Crea regola" -> "Per porta" -> "Protocollo TCP" -> "Porte locali specifiche".

Passaggio 4. Scriviamo “1024-1035, 135, 445”, selezioniamo tutti i profili, clicchiamo “Blocca connessione” e “Avanti” ovunque.

Passaggio 5. Ripetere i passaggi per le connessioni in uscita.

Bene, il secondo è aggiornare l'antivirus. Gli esperti riferiscono che gli aggiornamenti necessari sono già comparsi nei database del software antivirus.

La società Rosneft si è lamentata di un potente attacco hacker ai suoi server. Lo ha annunciato la società nel suo

Basato su materiali multimediali

in dettaglio

Il politologo Anton Bredikhin è convinto che la Russia dovrebbe fare ogni sforzo per riportare i nostri concittadini dalla Libia. Si tratta dei sociologi della Fondazione per la protezione dei valori nazionali Maxim Shugalei e Samer Suifan, detenuti a Tripoli nel maggio 2019. Sono ancora nel carcere non ufficiale di Mitiga, nessuna accusa è stata mossa contro di loro.