Знакомьтесь – Petya

Во вторник, 27 июня, «Роснефть» сообщила, что серверы компании находятся под мощной хакерской атакой. Сама компания подозревает, что это может быть связано с судебным иском в отношении АФК «Системы».

«На серверы компании осуществлена мощная хакерская атака. Мы надеемся, что это никак не связано с текущими судебными процедурами», — говорится в сообщении компании.

Позже СМИ сообщили, что нападению подверглись и компьютеры «Башнефти». По мнению пресс-секретаря «Роснефти» Михаила Леонтьева, целью атаки вируса на серверы башкирской НК могли стать данные, важные для судебных процессов, в которых участвует компания. «Если смотреть на рациональные мотивы, которые могли быть у хакеров, то таким рациональным мотивом было бы «убить» компьютеры «Башнефти», в которых содержится большое количество информации о деятельности «Башнефти» в период владения ею предыдущими собственниками», — считает Леонтьев.

Вирус, поразивший системы безопасности нефтяных компаний, «зовут» Petya. По словам экспертов из криминалистической лаборатории Group-IB, вирус блокирует компьютеры и требует выкуп в размере $300 в биткоинах. Масштабное атаке подверглись не только российские, но и украинское энергетические компании, в том числе «Укрэнерго», банки, в частности Ощадбанк, а также несколько СМИ, украинские сотовые операторы, крупная сеть заправок, киевский аэропорт Бористоль и киевское метро.

В лаборатории ESET вирус обозначили как Win32/Diskcoder.C Trojan и определили, что его распространение началось с Украины, затем продолжилось в Италии, Израиле, Сербии, Румынии, США, Литве, Венгрии, а также Польше, Аргентине, Чехии, Германии и России.

В сообщении Group-IB говорится, что вирус распространяется в локальной сети так же, как известный вирус WannaCry. Специалисты компании установили, что недавно вирус Petya использовала группа Cobalt с целью скрыть следы целевой атаки на финансовые учреждения.

Как пояснил «Нефтянке» руководитель отдела реагирования на угрозы информационной безопасности Positive Technologies Эльмар Набигаев, особенностью вируса Petya является то, что злоумышленникам удалось совместить разные хакерские методы развития атаки внутри сети. «Это использование хакерской утилиты для получения паролей и использование легитимных утилит системного администрирования. В комбинации с уязвимостью EternalBlue, которую использовал нашумевший вирус WannaCry, достигается молниеносная скорость распространения данного вируса. После проникновения на компьютер выполняется шифрование файлов и самого диска, что приводит к полной неработоспособности компьютера», — объясняет Набигаев.

Так и произошло. Один из сотрудников компании «Башнефть» рассказал изданию «Ведомости» об атаке: «Вирус вначале отключил доступ к порталу, к внутреннему мессенджеру Skype for business, к MS Exchange. Значения не придали, думали, простой сбой. Далее компьютер перезагрузился с ошибкой. «Умер» жесткий диск, следующая перезагрузка уже показала красный экран». По его словам, все сотрудники получили распоряжение выключить компьютеры.

В «Лаборатории Касперского» сообщили, что нынешний вирус-шифровальщик не принадлежит к ранее известным семействам вредоносного ПО, отметив, что информацию о схеме работы вредоносного кода смогут сообщить после расследования.

Говоря о причинах возникновения атаки, эксперты отмечают, что проблема в основном состоит в небрежном отношении к информационной системе безопасности. «Ежегодно в корпоративных информационных системах (КИС) различных компаний обнаруживается множество опасных уязвимостей, которые позволяют внешнему нарушителю получать доступ к критически важным бизнес-системам в локальной вычислительной сети, а внутренним злоумышленникам – развивать атаку до получения полного контроля над всей КИС» — отмечает эксперт компании Positive Technologies Евгений Гнедин.

Для того, чтобы обезопасить информационную систему безопасности компании, эксперты Positive Technologies рекомендуют комплексно выполнять ряд мер защиты. «Мы рекомендуем компаниям разработать систему регулярных тренингов сотрудников. Такие тренинги, основанные на демонстрации практических примеров потенциально возможных атак на инфраструктуру компании помогут повысить осведомлённость персонала в вопросах информационной безопасности», — говорит Набигаев.

Кроме того, согласно советам специалистов Positive Technologies, на все компьютеры компании необходимо установить антивирусное ПО с функцией самозащиты, предусматривающей вод специального пароля для отключения или изменения настроек. Также необходимо обеспечить регулярное обновление ПО и ОС на всех узлах корпоративной инфраструктуры, а также эффективный процесс управления уязвимостями и обновлениями.

«Постоянный контроль над системой безопасности и проведение тестирований на проникновение позволит своевременно выявлять существующие недостатки защиты и уязвимости систем. Регулярный мониторинг периметра корпоративной сети позволит контролировать доступные из сети Интернет интерфейсы сетевых служб и вовремя вносить корректировки в конфигурацию межсетевых экранов», — говорит Набигаев.

Что касается нынешнего вируса Petya, эксперт советует осуществлять мониторинг внутренней сетевой инфраструктуры. «Мы предлагаем оперативно настроить необходимые правила в уже имеющихся системах IDS/IPS и использовать индикаторы выявления атаки Petya в настройках прочих средств защиты», — заключает Набигаев.

Кристина Кузнецова