Компьютерные системы из Украины в США были поражены во вторник в международной кибератаке, которая была похожа на недавнее нападение, которое искалело десятки тысяч машин по всему миру.
В Киеве перестала работать столица Украины А.Т.М. Примерно в 80 милях от рабочих были вынуждены вручную контролировать излучение на старой Чернобыльской АЭС, когда их компьютеры потерпели неудачу. И технические менеджеры в компаниях по всему миру - от Maersk, датского конгломерата по транспортировке, до Merck, фармацевтического гиганта в Соединенных Штатах, - пытались ответить. Даже австралийская фабрика для шоколадного гиганта Кэдбери была затронута.
Неясно, кто был за этой кибератакой, и масштабы ее воздействия по-прежнему трудно оценить во вторник. Это началось как нападение на украинские правительственные и бизнес-компьютерные системы - нападение, которое, казалось, предназначалось для того, чтобы попасть за день до праздника, отмечая принятие в 1996 году первой Конституции Украины после ее разрыва с Советским Союзом. Атака распространилась оттуда, вызвав сопутствующий ущерб по всему миру.
Вспышка была последней и, возможно, самой сложной в серии атак, использующих десятки инструментов взлома, которые были украдены у Агентства национальной безопасности и были утечены в Интернете в апреле группой под названием «Теневые брокеры».
Последний глобальный хакер взял под свой контроль компьютеры и потребовал от своих владельцев цифровой выкуп, чтобы восстановить доступ. По словам исследователей из компании Symantec по компьютерной безопасности, в новой атаке использовался тот же инструмент взлома Агентства национальной безопасности, Eternal Blue, который использовался в эпизоде WannaCry, а также два других способа продвижения его распространения.
Агентство национальной безопасности не признало, что его инструменты использовались в WannaCry или других атаках. Но специалисты по компьютерной безопасности требуют, чтобы агентство помогало остальному миру защищаться от оружия, которое оно создало.
«Н.С.А. Необходимо взять на себя лидирующую роль в тесном взаимодействии с поставщиками платформ безопасности и операционной системы, такими как Apple и Microsoft, для борьбы с чумой, которую они развязали », - сказал Голан Бен-Они, глобальный главный информационный директор IDT, основанный в Ньюарке Конгломерат попал в отдельную атаку в апреле, которая использовала инструменты взлома агентства. Г-н Бен-Они предупредил федеральных чиновников, что более серьезные нападения, вероятно, были на горизонте.
Уязвимость в программном обеспечении Windows, используемая Eternal Blue, была исправлена Microsoft в марте, но, как показали атаки WannaCry, сотни тысяч групп по всему миру не смогли правильно установить исправление.
«Просто потому, что вы развертываете патч, это не значит, что он будет быстро внедрен», - сказал Карл Хербергер (Carl Herberger), вице-президент по безопасности в Radware. «Чем бюрократичнее организация, тем выше вероятность того, что она не обновит свое программное обеспечение».
По словам исследователей из F-Secure, финской фирмы по кибербезопасности, из-за того, что вымогательство использовало по меньшей мере два других способа распространения во вторник - включая кражи учетных данных жертв - даже те, кто использовал патч Microsoft, могли быть уязвимыми и потенциальными целями для последующих атак, и другие.
Представитель Microsoft сказал, что последнее антивирусное программное обеспечение компании должно защищать от атаки.
Правительство Украины заявило, что некоторые из его министерств, местных банков и систем метро были затронуты. Ряд других европейских компаний, включая «Роснефть», российского энергетического гиганта; Saint-Gobain, французская компания строительных материалов; И WPP, британское рекламное агентство, также заявили, что они были нацелены.
Украинские официальные лица указали пальцем на Россию во вторник, хотя российские компании также пострадали. Главная кредитный банк, один из 50 крупнейших кредиторов России, был парализован, а все его офисы закрыты, сообщает сайт новостей РБК. Нападение также сказалось на Evraz, сталелитейной и горнодобывающей компании, в которой работает около 80 000 человек, сообщает сайт РБК.
В Соединенных Штатах многонациональная юридическая фирма DLA Piper также сообщила, что была поражена. Больницы в Пенсильвании были вынуждены отменить операции после нападения на компьютеры в Heritage Valley Health Systems, медицинском работнике Пенсильвании и больницах в Бивер и Сьюкли, штат Пенсильвания, и в местах расположения спутников по всему штату.
Выкуп также повредил австралийские филиалы международных компаний. Австралийские офисы DLA Piper предупреждали клиентов о том, что они имеют дело с «серьезным глобальным инцидентом в киберпространстве» и отключили электронную почту в качестве меры предосторожности. В местных новостных сообщениях говорилось, что в Хобарте, Тасмания, во вторник вечером компьютеры в шоколадной фабрике Cadbury, принадлежащие Mondelez International, отображали сообщения о вымогательстве, которые требовали 300 долларов в биткойнах.
Система бронирования Qantas Airways вовремя не смогла во вторник, но компания заявила, что разбивка была вызвана несвязанной аппаратной проблемой.
Австралийское правительство настоятельно призвало компании устанавливать обновления безопасности и изолировать любые зараженные компьютеры от своих сетей.
«Эта атака на выкуп - это призыв ко всем австралийским компаниям регулярно обновлять свои данные и устанавливать последние исправления безопасности», - сказал Дэн Техан, министр кибербезопасности. «Мы осознаем ситуацию и внимательно следим за ней».
Представитель Агентства национальной безопасности упомянул вопросы об атаке в Департамент внутренней безопасности. «Департамент внутренней безопасности контролирует сообщения о кибератаках, затрагивающих многие глобальные субъекты, и координирует с нашими международными и отечественными кибер-партнерами», - сказал в заявлении пресс-секретарь Скотта Макконнелла.
Правительство Украины заявило, что некоторые из его министерств, местных банков и систем метро были затронуты. Ряд других европейских компаний, включая «Роснефть», российского энергетического гиганта; Saint-Gobain, французская компания строительных материалов; И WPP, британское рекламное агентство, также заявили, что они были нацелены.
Украинские официальные лица указали пальцем на Россию во вторник, хотя российские компании также пострадали. Главная кредитный банк, один из 50 крупнейших кредиторов России, был парализован, а все его офисы закрыты, сообщает сайт новостей РБК. Нападение также сказалось на Evraz, сталелитейной и горнодобывающей компании, в которой работает около 80 000 человек, сообщает сайт РБК.
В Соединенных Штатах многонациональная юридическая фирма DLA Piper также сообщила, что была поражена. Больницы в Пенсильвании были вынуждены отменить операции после нападения на компьютеры в Heritage Valley Health Systems, медицинском работнике Пенсильвании и больницах в Бивер и Сьюкли, штат Пенсильвания, и в местах расположения спутников по всему штату.
Выкуп также повредил австралийские филиалы международных компаний. Австралийские офисы DLA Piper предупреждали клиентов о том, что они имеют дело с «серьезным глобальным инцидентом в киберпространстве» и отключили электронную почту в качестве меры предосторожности. В местных новостных сообщениях говорилось, что в Хобарте, Тасмания, во вторник вечером компьютеры в шоколадной фабрике Cadbury, принадлежащие Mondelez International, отображали сообщения о вымогательстве, которые требовали 300 долларов в биткойнах.
Система бронирования Qantas Airways вовремя не смогла во вторник, но компания заявила, что разбивка была вызвана несвязанной аппаратной проблемой.
Австралийское правительство настоятельно призвало компании устанавливать обновления безопасности и изолировать любые зараженные компьютеры от своих сетей.
«Эта атака на выкуп - это призыв ко всем австралийским компаниям регулярно обновлять свои данные и устанавливать последние исправления безопасности», - сказал Дэн Техан, министр кибербезопасности. «Мы осознаем ситуацию и внимательно следим за ней».
Представитель Агентства национальной безопасности упомянул вопросы об атаке в Департамент внутренней безопасности. «Департамент внутренней безопасности контролирует сообщения о кибератаках, затрагивающих многие глобальные субъекты, и координирует с нашими международными и отечественными кибер-партнерами», - сказал в заявлении пресс-секретарь Скотта Макконнелла.
Компьютерные специалисты сказали, что выкуп был очень похож на вирус, который появился в прошлом году под названием Петя. Петя означает «Маленький Петр», по-русски, заставляя некоторых размышлять о названии, названном симфонией Сергея Прокофьева 1936 года «Петр и волк», о мальчике, который захватывает волка.
Доклады о том, что компьютерный вирус был вариантом «Петя», предполагают, что злоумышленникам будет трудно проследить. По словам защитной фирмы Avast Threat Labs, Петя был продан на так называемой темной паутине, где его создатели предоставили выкупку как «выкупку как услугу» - игру на терминологию Силиконовой долины для доставки программного обеспечения через Интернет.
Это означает, что кто-то может запустить выкуп за клик одним нажатием кнопки, зашифровать чьи-то системы и потребовать выкуп, чтобы разблокировать его. Если жертва платит, то авторы «Рети», которые называют себя Janus Cybercrime Solutions, получают оплату.
Этот метод распространения означает, что увязывать людей, ответственных за нападение вторника, может быть сложно.
Снимок экрана о том, что, по-видимому, было во время вторжения в систему во всем мире. Правительство Украины разместило расстрел на официальной странице Facebook.
Атака - это «улучшенная и более смертельная версия WannaCry», - сказал Маттиу Суйче, исследователь безопасности, который помог скрыть распространение WansCry ransomware, когда он создал переключатель убийства, который остановил атаки.
Всего за последние семь дней г-н Суйче отметил, что WannaCry попытался ударить еще 80 000 организаций, но ему не удалось выполнить код атаки из-за переключателя kill. У Петя нет выключателя.
Петя также шифрует и блокирует все жесткие диски, в то время как ранние атаки с вымогательством блокируют только отдельные файлы, сказал Крис Хинкли, исследователь в охранной фирме Armor.
Хакеры, стоящие за Пети, потребовали 200 долларов кибер-валюты Биткойн, чтобы разблокировать машины жертв. Во вторник днем онлайн-записи показали, что 30 жертв заплатили выкуп, хотя было неясно, вернули ли они их файлы. Другим жертвам может быть не повезло, после того как Posteo, немецкий поставщик услуг электронной почты, отключил учетную запись электронной почты хакеров.
В Украине люди появились в почтовых отделениях, А.Т.М. и в аэропортах, чтобы найти пустые экраны компьютеров или знаки закрытия. На центральном почтовом отделении в Киеве несколько недоуменных клиентов размахивали, держа посылки и письма, глядя на знак, который сказал: «Закрыто по техническим причинам».
По словам исследователей Cisco Talos, подразделения безопасности компьютерной сети, хакеры скомпрометировали украинское программное обеспечение бухгалтерского учета, которое должно использоваться в различных отраслях промышленности страны, в том числе в государственных учреждениях и банках. Это позволило им развязать свою выкупку, когда обновление программного обеспечения, которое также используется в других странах, было обновлено.
Распродажа распространилась на пять дней по всей Украине и по всему миру, прежде чем активировать вечер вторника.
«Если бы я должен был догадаться, я бы подумал, что это было сделано, чтобы отправить политическое послание», - сказал Крейг Уильямс, старший технический исследователь в Talos.
Один житель Киева Татьяна Васильева была вынуждена брать деньги у родственника после того, как не смогла снять деньги на четырех банкоматах. В один А.Т. В Киеве, принадлежащем украинскому филиалу австрийского банка Райффайзен, на экране появилось сообщение, что машина не функционирует.
Министерство инфраструктуры Украины, почтовая служба, национальная железнодорожная компания и одна из крупнейших в стране компаний связи «Укртелеком», были затронуты, сказал министр инфраструктуры страны Владимир Омелян в сообщении Facebook.
Чиновники системы метро в Киеве заявили, что платежные карты не могут быть приняты. По данным информационного агентства «Интерфакс-Украина», национальной электросетевой компании «Киевэнерго» пришлось отключить все свои компьютеры, но ситуация была под контролем. Metro Group, немецкая компания, которая управляет оптовыми продовольственными магазинами, заявила, что ее деятельность в Украине была затронута.
На Чернобыльском заводе компьютеры, пострадавшие от нападения, собрали данные об уровнях радиации и не подключались к промышленным системам на площадке, где, хотя все реакторы были выведены из эксплуатации, остаются огромные объемы радиоактивных отходов. По словам операторов, радиационный мониторинг проводился вручную.
Исследователи кибербезопасности поставили под сомнение, является ли сбор выкупа реальной целью атаки.
Комментариев нет