Рубрикатор |
Все новости | Новости отрасли |
Petya набирает обороты
28 июня 2017 |
Атаки вируса-вымогателя Petya, поразившего вчера компании в России и на Украине, были замечены в Индии, Китае и Австралии.
Как сообщает "КоммерсантЪ", в Индии из-за кибератаки была затруднена работа грузового терминала порта имени Джавахарлала Неру в Мумбае, управляемого компанией A.P. Moller-Maersk - из-за неполадок в системе автоматической идентификации грузов сотрудникам терминала пришлось задействовать ручные системы управления. О следах вируса сообщили и представители китайских компаний. По данным главного инженера по кибербезопасности китайской компании Qihoo 360 Technology Co Чжэнь Вэньбина, вирус начинает распространяться и по Китаю, однако пока рано говорить о массовой атаке.В Австралии из-за кибератаки было приостановлено производство на кондитерской фабрике Cadbury, находящейся под управлением американской компании Mondelez. По данным секретаря Австралийского профсоюза рабочих Джона Шорта, производство на фабрике в тасманийском городе Хобарт было приостановлено в 21:30 по местному времени из-за массового отключения компьютеров, пораженных вирусом.
Напомним, что вчера от действий вируса пострадали украинские и российские компании. В их числе специалисты называют компании Новая Почта, Запорожьеоблэнерго, Днепроэнерго, Ощадбанк, медиахолдинг ТРК "Люкс", Mondelēz International, TESA, Nivea, Mars, операторы LifeCell, УкрТелеКом, Киевстар и многие другие организации. В Киеве оказались заражены в том числе некоторые банкоматы и кассовые терминалы в магазинах. Именно на Украине зафиксированы первые атаки.
В России о хакерской атаке сообщили Evraz и "Роснефть", причем атака на серверы последней была столь ощутима, что компания обратилась в правоохранительные органы. Также об обнаружении хакерских атак, направленных на системы российских кредитных организаций, сообщил Банк России. В результате этих атак зафиксированы единичные случаи заражения объектов информационной инфраструктуры.
Who is Petya?
По данным системы телеметрии ESET, большинство срабатываний антивирусных продуктов ESET NOD32 пришлось на Украину, Италию и Израиль.
Шифратор распространяется при помощи SMB-эксплойта EternalBlue, который ранее стал причиной массового характера эпидемии WannaCry. Дальнейшее распространение внутри локальной сети осуществляется через PsExec. Это сочетание обуславливает стремительное распространение вредоносной программы. Метод заражения Petya до сих пор до конца не ясен, но он точно может заражать устройства, используя тот же протокол, что и WannaCry — он распространяется по всей корпоративной сети.
В «Лаборатории Касперского» также предполагают, что данное вредоносное ПО использовало несколько векторов атаки. Установлено, что для распространения в корпоративных сетях применялся модифицированный эксплоит EternalBlue и эксплоит EternalRomance.
В отличие от других типов вымогательского ПО, уточняют в Check Point, Petya не шифрует каждый отдельный файл на зараженной машине, а блокирует весь жесткий диск.
Что делать?
«Атака демонстрирует два основных тренда, - отмечает глава представительства компании Check Point Software Technologies в России и СНГ. - Во-первых, насколько быстро новые варианты вредоносного ПО могут создаваться и распространяться на глобальном уровне. Во-вторых, компании по большей части до сих пор не имеют средств превентивной защиты для предотвращения таких угроз. Организации должны сосредоточиться на проактивной борьбе с угрозами. На примере таких атак видно, что простое обнаружение угроз не поможет, потому что будет слишком поздно. Продвинутая защита от угроз необходима, так как она позволяет блокировать любой подозрительный контент и трафик до его попадания в сеть».
На данный момент для защиты от шифровальщика все эксперты настоятельно рекомендуют организациям немедленно установить последние патчи Microsoft и отключить протокол обмена файлами SMBv1 в системах Windows.
Кроме того, пользователям следует убедиться, что все узлы сети защищены комплексным антивирусным ПО, которое обновлено до последней версии и поддерживает современные технологии обнаружения. При подозрении на заражение нужно отключить инфицированные рабочие станции от корпоративной сети и обраться в службу технической поддержки своего антивирусного вендора. Если заражение все же произошло, специалисты не рекомендуют платить выкуп злоумышленникам. Почтовый адрес злоумышленников был заблокирован, поэтому ключ для расшифровки не будет получен даже если оплата будет произведена.
По необходимости следует проверить рабочие станции на предмет защищенности от эксплойт-атак с EternalBlue.
По материалам открытых источников
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.