Поиск

Eset представила новый отчет об эпидемии шифратора Diskcoder.C (Petya). Исследование позволило определить начальный вектор заражения. От Diskcoder.C (Petya) пострадали компании в ряде стран мира, при этом «нулевым пациентом» стали украинские пользователи M.E.Doc, корпоративного программного обеспечения для отчетности и документооборота. Атакующие получили доступ к серверу обновлений M.E.Doc и с его помощью направляли троянизированные обновления с автоматической установкой. Эксперты Eset обнаружили сложный скрытый бэкдор, внедренный в один из легитимных модулей M.E.Doc. Маловероятно, что атакующие выполнили эту операцию без доступа к исходному коду программы. Изучив все обновления M.E.Doc, выпущенные в 2017 году, исследователи выяснили, что модуль бэкдора содержали как минимум три апдейта: 01.175-10.01.176 от 14 апреля 2017 года, 01.180-10.01.181 от 15 мая 2017 года и 01.188-10.01.189 от 22 июня 2017 года. Эпидемия Diskcoder.C (Petya) началась через пять дней после выхода вредоносного обновления 22 июня. Ранее, в мае, Eset фиксировала активность другого шифратора – Win32/Filecoder.AESNI.C (XData). По данным телеметрии, он появлялся на компьютере после запуска программного обеспечения M.E.Doc. 17 мая вышло обновление M.E.Doc, не содержащее вредоносный модуль бэкдора. Вероятно, этим можно объяснить сравнительно небольшое число заражений XData. Атакующие не ожидали выхода апдейта 17 мая и запустили шифратор 18 мая, когда большинство пользователей уже успели установить безопасное обновление. Бэкдор позволяет загружать и выполнять в зараженной системе другое вредоносное ПО – так осуществлялось начальное заражение шифраторами Petya и XData. Кроме того, программа собирает настройки прокси-серверов и email, включая логины и пароли из приложения M.E.Doc, а также коды компаний по ЕДРПОУ (Единому государственному реестру предприятий и организаций Украины), что позволяет идентифицировать жертв. «Нам предстоит ответить на ряд вопросов, – сказал Антон Черепанов, старший вирусный аналитик Eset. Как долго используется бэкдор? Какие команды и вредоносные программы, помимо Petya и XData, были направлены через этот канал? Какие еще инфраструктуры скомпрометировала, но пока не использовала кибергруппа, стоящая за этой атакой?». Eset продолжает исследование угрозы. По совокупности признаков, включающих инфраструктуру, вредоносные инструменты, схемы и цели атак, эксперты установили связь между эпидемией Diskcoder.C (Petya) и кибергруппой Telebots. Достоверно определить, кто стоит за деятельностью этой группировки, в настоящее время не представляется возможным. Eset рекомендует всем пользователям M.E.Doc сменить пароли прокси-серверов и учетных записей электронной почты. Антивирусные продукты Eset детектируют бэкдор как MSIL/TeleDoor.A.

«Ростелеком» объявил об отражении атаки новой модификации вируса Petya, как и недавних атак WannaCry, которым подверглись многие российские компании и государственные учреждения. Организации, пользующиеся защитой от «Ростелекома», смогли быстро остановить распространение этих вирусов и минимизировать ущерб от него. В качестве одного из основных векторов заражения злоумышленники использовали «фишинговые» письма - как только пользователь открывал письмо, вирус загружался на компьютер пользователя и продолжал распространятся по сети на ПК других пользователей корпоративной сети. «Команда центра мониторинга и реагирования на инциденты безопасности «Ростелекома» непрерывно изучает оперативную информацию о новых киберугрозах и индикаторах компрометации и незамедлительно реагирует, принимая оперативные меры с целью минимизации риска для защищаемого сегмента, проводит детальный анализ инцидента и предлагает дополнительные меры для адаптации контура защиты к новым угрозам», - сказал директор продуктового офиса «Информационная безопасность» «Ростелекома» Станислав Барташевич. «Ростелеком» запустил управляемые сервисы информационной безопасности (MSS), которые позволяют с минимумом затрат за 1-2 месяца значительно увеличить устойчивость организации к кибер-атакам, а также застраховать кибер-риски для обеспечения непрерывности бизнеса. Поскольку основным каналом заражения являет рассылка мошеннических писем, то для своих заказчиков «Ростелеком» запустил новый проект по управлению навыками ИБ пользователей, что значительно повышает вероятность распознавания и удаления сотрудником «фишингового» письма с вредоносным вложением или ссылкой. «Еще при атаке WannaCry наши службы показали слаженную работу и достойно отразили атаку на периметр Национальной облачной платформы и инфраструктуру электронного правительства благодаря использованию актуальных средств защиты и высокой квалификации специалистов ИБ», - отметил директор продуктового офиса перспективных продуктов «Ростелекома» Александр Обухов. «Кроме того, для клиентов услуги «Виртуальный ЦОД» доступна возможность резервного копирования важных данных заказчиков, размещенных в облачной инфраструктуре, что позволяет восстановить практически все важные файлы из резервной копии даже в случае заражения локальной и облачной инфраструктур».

Вирус-вымогатель Petya стал причиной масштабной атаки на нефтяные, телекоммуникационные и финансовые компании России и Украины. Об этом сегодня сообщили в компании Group-IB, которая специализируется на раннем выявлении киберугроз. "Он блокирует компьютеры и требует 300 долларов в биткоинах. Атака произошла около 14.00. Судя по фотографиям, это криптолокер Petya", — пояснили в пресс-службе компании, отметив, что способ распространения Petya в локальной сети аналогичен вирусу WannaCry. По предварительным данным, от вируса пострадали многие компании, в том числе "Башнефть" и "Роснефть", а также украинские "Запорожьеоблэнерго", "Днепроэнерго" и "Днепровской электроэнергетической системы". "Mondelez International, Ощадбанк, Mars, "Новая Почта", Nivea, TESA и другие. Киевский метрополитен также подвергся хакерской атаке. Атакованы правительственные компьютеры Украины, магазины "Ашан", украинские операторы ("Киевстар", LifeCell, "УкрТелеКом"), Приватбанк. Аэропорт Борисполь, предположительно, также подвергся хакерской атаке", — добавил представитель Group-IB. Вирус стал причиной сбоя в работе киевского метро: пассажиры не могут оплатить проезд с помощью банковских карт. В свою очередь, вице-премьер Украины Павел Розенко заявил, что хакерской атаке подверглись все компьютеры в кабмине. Киевский аэропорт Борисполь предупредил о возможных задержках рейсов. "Сегодня в аэропорту и в нескольких крупных предприятиях государственного сектора внештатная ситуация — спам-атака. Наши IT-службы пытаются совместными усилиями урегулировать ситуацию", — написал исполняющий обязанности директора аэропорта Евгений Дыхне на своей странице в Facebook. Ранее об атаке на свои серверы сообщила "Роснефть". В компании отметили, что сразу перешли на резервную систему управления производством, что позволило избежать остановки добычи нефти. Вирус WannaCry атаковал сотни тысяч компьютеров по всему миру 12 мая. Тогда хакеры использовали модифицированную вредоносную программу Агентства национальной безопасности США: инструмент разведслужб, известный как eternal blue ("неисчерпаемая синева"), был совмещен с "программой-вымогателем" WannaCry.

Специалисты «Лаборатории Касперского» обнаружили новый троян, который использует шифровальщика Petya для целевых атак на бизнес. Основная особенность трояна, получившего название PetrWrap, заключается в том, что он использует оригинальный вредонос без разрешения его разработчиков. Семейство вымогателей Petya распространяется посредством бизнес-модели «Вымогательское ПО как услуга» (Ransomware-as-a-Service, RaaS). Для предотвращения неавторизованного использования вредоноса его авторы встроили в код ряд защитных механизмов, однако разработчикам PetrWrap удалось их обойти. Новый троян использует собственные ключи шифрования вместо применяемых по умолчанию в Petya, поэтому для расшифровки данных в случае уплаты выкупа PetrWrap не требуется помощь создателей оригинального вымогателя. Помимо прочего, PetrWrap модифицирует код загрузчика Petya и текст сообщения о выкупе, чтобы избавиться от анимации в виде мигающего черепа и удалить все упоминания о Petya. Вредоносное ПО Petya обладает почти безупречным криптографическим алгоритмом, расшифровать который весьма сложно. Предыдущие версии вредоноса содержали ряд ошибок, позволивших экспертам восстановить зашифрованные файлы, однако авторы уже исправили практически все уязвимости. «Мы наблюдаем очень интересный процесс: киберпреступники стали нападать друг на друга. С нашей точки зрения, это признак растущей конкуренции между различными группировками. Отчасти это хорошо, ведь чем больше времени злоумышленники проводят в борьбе друг с другом, тем менее организованными и эффективными будут их атаки и они сами», - отметил аналитик «Лаборатории Касперского» Антон Иванов.