Notpetya что это
Перейти к содержимому

Notpetya что это

  • автор:

NotPetya

«NotPetya» — это вредоносное программное обеспечение, впервые обнаруженное в 2017 году и нанёсшее крупный ущерб компаниям по всему миру.

NotPetya маскировался под программу-вымогатель «Petya», который зашифровывал данные зараженных систем и требовал выкуп в биткоинах. Однако NotPetya не давал возможности восстановить данные даже после оплаты выкупа, а просто уничтожал их.

NotPetya распространялся с помощью бухгалтерского программного обеспечения и использовал различные уязвимости Windows для заражения других систем.

Некоторые источники связывают NotPetya с российскими хакерами, которые хотели нанести урон украинским организациям.

Ваш провайдер знает о вас больше, чем ваша девушка? Присоединяйтесь и узнайте, как это остановить!
11 сентября, 2023

Международный Уголовный Суд приравняет кибератаки к военным преступлениям

«Кибервойна — не условностью. Она по-настоящему влияет на жизни людей».
3 мая, 2023

NotPetya навёл шороху: многолетние судебные разбирательства между Merck и Ace American наконец подошли к концу

Страховая компания не сумела найти лазейку, ей придётся выплатить 1,4 миллиарда долларов компенсации.

22 ноября, 2022

Генерал Ходжес: кибератаки на немецкие порты серьезно помешают усилиям НАТО по отправке военного подкрепления

Ходжес заявил, что кибербезопасность так же важна, как противоракетная оборона.
2 ноября, 2022

Zurich против Mondelez: финал спустя 5 лет

Страховщик и мультинациональная кондитерская компания пришли к мировому соглашению по иску на $100 млн. за ущерб, причиненный NotPetya.

19 июня, 2021

В СНБО ввели санкции против разработчиков вируса NotPetya

Эти лица уже внесены в санкционные списки США и уже являются фигурантами уголовных дел в США.
10 ноября, 2020

Киберинциденты с хищением данных за последние 5 лет обошлись компаниям в $10 млрд

Некоторые атаки обходятся жертвам почти в 100 раз больше их годового дохода, в то время как другие — всего в 0,1%.

19 октября, 2020

США обвинили шестерых офицеров ГРУ в хакерских атаках

Офицерам вменяют проведение кибератак в США, Франции, Украине и Южной Корее.
30 июля, 2020

Евросоюз ввел санкции против РФ и Китая за кибератаки

Ограничения введены и против Главного центра специальных технологий Генштаба.
22 июля, 2020

Евросоюз согласовал санкции за кибератаки против России и Китая

По информации корреспондента «Радио Свобода» Рикарда Йозвяка, рестрикции включают заморозку активов ГРУ, а также разведок Китая и Северной Кореи.

10 декабря, 2019

Maersk оказалась не единственной компанией, понесшей значительные убытки от атак NotPetya

По крайней мере, двум компаниям был нанесен еще больший ущерб, чем судоходному гиганту Maersk.
19 марта, 2019

ЕС утвердил протокол экстренного реагирования на кибератаки, подобные WannaCry и NotPetya

Протокол распространяется исключительно на киберинциденты и не будет применяться в случае природных катастроф.

11 декабря, 2018

Страховщик отказался выплачивать компенсацию, посчитав атаку NotPetya воинственным актом

Чтобы не платить страховку, Zurich American Insurance Company намерена доказать, что NotPetya – разработанное в РФ кибероружие.

3 сентября, 2018

Распространителя NotPetya освободили с испытательным сроком

Злоумышленнику необходимо будет периодически являться в уполномоченный орган для регистрации.
27 июня, 2018

Украинская киберполиция: «Русские хакеры» готовят масштабный удар по Украине

Готовящаяся атака по своим масштабам будет сопоставима с атакой NotPetya.
16 февраля, 2018

Австралия вслед за Великобританией и США обвинила РФ в атаках NotPetya

Австралийское правительство заключило, что ответственность за инцидент несут злоумышленники, поддерживаемые правительством РФ.

15 февраля, 2018

Великобритания обвинила РФ в организации эпидемии NotPetya

В организации атак с использованием вымогательского ПО обвиняются российские военные ведомства.
3 ноября, 2017

Одновременно с атаками BadRabbit Украина столкнулась с мощной фишинговой кампанией

Стали известны новые подробности октябрьских кибератак на Украину.
26 октября, 2017

За атаками Bad Rabbit и NotPetya стоит одна и та же хакерская группировка

Код Bad Rabbit был скомпилирован из исходников NotPetya, сообщили исследователи.
25 октября, 2017

Все, что известно о шифровальщике Bad Rabbit на сегодняшний день

Несмотря на наличие некоторого сходства, с технологической точки зрения Bad Rabbit сильно отличается от NotPetya.

12 сентября, 2017

Спрос на страхование от кибератак вырос на фоне кампаний WannaCry и NotPetya

Толчком к росту спроса на услуги страхования послужили атаки на российские банки в декабре минувшего года.

1 сентября, 2017

Сервис TNT до сих пор страдает от последствий атаки NotPetya

Служба курьерской доставки TNT все еще несет финансовые и репутационные потери от атаки NotPetya.
16 августа, 2017

Maersk потеряла $300 млн из-за шифровальщика NotPetya

Moller-Maersk выпустила финансовый отчет за 2 квартал, в котором отразила убытки от заражения вредоносным ПО.

11 августа, 2017

Украинская киберполиция выявила распространителя NotPetya

Мужчина опубликовал видео с описанием процесса запуска NotPetya и разместил ссылку на вредоносную программу.

9 августа, 2017

Российские энергетики предупредили о возможности новой атаки шифровальщиков

В ФСК ЕЭС не уточнили, почему компания предупредила об атаке именно сейчас и что послужило тому причиной.

Нерассказанная история вируса NOTPETYA – самой разрушительной кибератаки в истории

В ОДИН ИЗ прекрасных солнечных дней в Коппенгагене самый крупный в мире морской транспортный конгломерат начал сходить с ума.

Главный офис компании A.P. Møller-Maersk находится у открытой, вымощенной камнями набережной в гавани Копенгагена. Флагшток, на котором установлен флаг Дании, находится у северо-восточного угла здания, а шесть этажей с синими окнами выглядывают на причал, где датская королевская семья швартует свою яхту. На цокольном этаже сотрудники могут посетить корпоративный сувенирный магазин, где в наличии имеются сумки и галстуки Maersk. Тут также можно найти редкую модель Lego — гигантское контейнерное судно, такое же большое, как Эмпайр-стейт-билдинг на боку и способное перевозить груз, весом как этой здание.

Здесь также находится центр технической помощи — один стол рядом с кассиром, за котором работают IT-специалисты по устранению неполадок. Днем 27 июня 2017 г. озадаченные сотрудники начали по два-три человека собираться возле стола, почти каждый из них держал ноутбук. На экранах устройств были надписи, сделанные черными и красными буквами. Одни надписи гласили «восстановление системы файлов на диске С:» и настоятельно предупреждали не выключать компьютер. На других экранах было написано «Упс, ваши важные файлы засекречены» и требование заплатить за расшифровку сумму, эквивалентную 300$ в биткоинах. Через дорогу IT-администратор по имени Хенрик Дженсен работал в другой части Maersk — изысканно украшенном белокаменном здании, ранее служившим королевским архивом морских карт и схем. (Хенрик Дженсен это не настоящее имя. Как и почти каждый сотрудник, клиент или партнёр Maersk, у которых я брал интервью, Дженсен боялся последствий публичного заявления об этой истории). Дженсен был занят подготовкой обновления программного обеспечения для порядка 80 000 сотрудников компании, когда его компьютер внезапно перезапустился.

Он тихо выругался. Дженсен предположил, что перезагрузка была вызвана центральным IT-отделом Maersk — нелюбимой структурой, расположенной в Англии и контролировавшей большую часть копрорации, во владении которой находились восемь бизнес блоков от портов и логистики до бурения нефтяных скважин, в 574 офисах в 130 странах по всему миру.

Дженсен поднял голову, чтобы спросить чей компьютер был также резко выключен. Как только он вытянул голову, мужчина увидел, как компьютеры в комнате стали резко отключаться.

«Я увидел как экраны один за другим становились черными. Чёрный, чёрный, чёрный. Чёрный, чёрный, чёрный, чёрный, чёрный». Дженсен и его коллеги вскоре выяснили, что компьютеры были бесповоротно заблокированы. Перезагрузка лишь возвращала их в то же состояние.

Становился очевиден масштаб кризиса на уровне штаб-квартиры. В течение получаса сотрудники Maersk бегали по этаж, крича своим коллегам, чтобы те отключали компьютеры от питания или сети Maersk до того, как их заразит вредоносное ПО. В тот момент их осенило, что каждая минута могла стоить десятки или сотни поврежденных ПК. Технические работники вбегали в конференц-залы и выключали компьютеры посреди встреч. Вскоре, пытаясь предупредить остальные части здания, сотрудники натолкнулись на турникеты, заблокированные все еще неизвестной вредоносной программой.

Отключение всей глобальной сети Maersk заняло у IT-работников компании более двух панических часов. Под конец этого процесса каждому сотруднику было приказано выключить свой компьютер и оставить его на столе. При аварийном отключении сети цифровые телефоны, стоящие в каждой кабинке, также были бесполезными.

Около 3-х часов дня Исполнительный директор Maersk вошел в комнату, где Дженсен и десяток его коллег с тревогой ожидали новостей, и велел им идти домой. Сеть Maersk была настолько повреждена, что даже IT-персонал был бессилен. Несколько руководителей более старой школы попросили свои команды остаться в офисе. Но многие сотрудники, не способные работать без компьютеров, серверов, маршрутизаторов и настольных телефонов, просто ушли домой.

Дженсен вышел из здания навстречу теплому воздуху позднего июньского вечера. Как и подавляющее большинство сотрудников Maersk, он не имел никакого понятия, когда он вернется на работу. Нанявший его на работу морской гигант, несущий ответственность за 76 портов по всей планете и почти 800 морских суден, включая контейнерные судна, перевозящие десятки миллионов тонн груза, и представляющий собой почти 1/5 всей судоходных мощностей мира, тонул.

НА ОКРАИНЕ модного квартала Подол в столице Украины Киеве кофейни и парки внезапно переходят в мрачный индустриальный ландшафт. Под мостом автострады, напротив усыпанных мусором железнодорожных путей, за бетонными воротами стоит четырехэтажный штаб Linkos Group, небольшого семейного украинского IT-бизнеса.

На третьем этаже этого здания находится серверная комната, где куча компьютеров, размерами с коробку пиццы, подключены клубком проводов и помечены рукописными пронумерованными ярлыками. В обычный день эти сервера запускают рутинные обновления: исправление багов, обновление системы безопасности, новые функции для бухгалтерского ПО под названием M.E.Doc, которое в той или иной степени является украинским аналогом TurboTax или Quicken. Это ПО использует почти каждый, кто платит налоги или занимается бизнесом в стране.

Но в тот момент в 2017 г. эти сервера стали точкой отсчета для самой разрушительной кибератаки с момента изобретения интернета — атаки, которая, по меньшей мере, началась, как нападение одной нации на другую.

Последние четыре с половиной года Украина оказалась в ловушке тяжелой, необъявленной войны с Россией, которая унесла жизни более 10 000 украинцев, и вынудила миллионы покинуть свои дома. Во время конфликта Украина также стала испытательным полигоном для российских кибератак. В 2015 г. и 2016 г., когда связанные с Кремлем хакеры, известные как Fancy Bear, были заняты проникновением на сервера Демократической партии США, другая группа агентов, Sandworm, взламывала десятки украинских правительственных организаций и компаний. Они проникли в сети своих жертв, начиная от средств массовой информации и заканчивая железнодорожными фирмами, используя «логические бомбы», которые уничтожили терабайты данных. Атаки приняли жёсткий сезонный темп. Зимой того и другого года саботажники завершили свои разрушительные «шалости», вызвав повсеместное отключение электричества, — первое подтвержденное прекращение электроснабжения из-за хакеров.

Однако эти атаки не были грандиозным финалом группировки Sandworm. Весной 2017 г., втайне от кого-либо из Linkos Group, российские военные хакеры взломали сервера обновления компании, что предоставило им скрытые бэкдоры в тысячи компьютеров, на которых был установлен M.E.Doc, расположенных по всей стране и миру. Затем, в июне 2017 г. злоумышленники использовали эти бэкдоры для распространения части вредоносного ПО, известного как NotPetya, — их самого вредоносного кибероружия на сегодняшний день.

Код, который запустили хакеры, был заточен под автоматическое, мгновенное и повсеместное распространение. «На тот момент это был самый быстроразвивающийся вредоностный код, который мы когда-либо видели», — говорит Крейг Уильямс (Craig Williams), директор по связям с общественностью подразделения Cisco Talos, одной из первых компаний по защите, которые воспроизводят и анализируют NotPetya. «В то мгновение, когда вы замечаете его, этот код уже уничтожил ваш дата-центр».

NotPetya был использован с помощью двух хакерских эксплойтов, работающих вместе. Одним из ним была программа проникновения, известная как EternalBlue, созданная Агентством национальной безопасности США и ставшая известная ранее в 2017 г. из-за катастрофической утечки секретных файлов ведомства. EternalBlue использует уязвимость в определенном протоколе Windows, позволяя хакерам запускать свой собственный код на любом необновленном компьютере.

Архитекторы NotPetya объединили эту цифровую отмычку с более старым изобретением известным как Mimikatz, созданным в качестве доказательства концепции французским исследователем безопасности Бенджамином Делпи в 2011 г. Изначально Делпи выпустил Mimikatz в целях демонстрации того, что Windows сохраняет пароли пользователей в памяти компьютера. Как только хакеры получали первоначальный доступ к компьютеру, Mimikatz доставал эти пароли из особо защитного участка (ОЗУ) и использовал их для взлома других компьютеров, которые доступны благодаря одинаковым учетным записям. В сетях с многпользовательскими компьютерами это даже может позволить осуществить автоматическую атаку с перескакиванием от одного компьютера к другому.

Перед запуском NotPetya Microsoft выпустил обновление для своей уязвимости с EternalBlue. Тем не менее совместно EternalBlue и Mimikatz создали смертельную комбинацию. «Ты заражаешь компьютеры с необновленными системами, затем крадёшь пароли с этих компьютеров, чтобы заразить компьютеры с обновлённой системой», — говорит Делпи.

NotPetya получил свое имя из-за сходства с вирусом-вымогателем Petya, мошенническим кодом, который появился в начале 2016 г. и вымогал деньги у своих жертв в качестве оплаты ключа для разблокировки их файлов. Но сообщения NotPetya о выкупе были только уловкой: единственной целью вредоносной программы было разрушение системы. Она необратимо зашифровывала основную загрузочную запись компьютера. Это скрытая часть устройства, где записано, как найти свою собственную операционную систему. Любой выкуп, которые пытались заплатить жертвы, был бесполезным. Не существовало никакого ключа для переупорядочивания зашифрованной информации компьютера.

В тысячах милях к югу генеральный директор ISSP Роман Сологуб проводил свой отпуск в День Конституции на южном побережье Турции и готовился отправиться на пляж со своей семьей. Его телефон также стал разрываться от звонков клиентов ISSP, которые либо наблюдали, как NotPetya проникал в их сети, либо читали новости об атаке и лихорадочно искали совета.

Сологуб вернулся в свой отель, где он провел остаток дня, принимая более 50 звонков от клиентов, друг за другом сообщавших о заражении своих сетей. Центр операций по обеспечению безопасности ISSP, который наблюдал за сетями клиентов в реальном времени, предупредил Сологуба о том, что NotPetya проникал в системы жертв с ужасающей быстротой: у него заняло 45 секунд, чтобы взломать сеть крупного украинского банка.

Отделение одного из главных украинских транзитных узлов, где ISSP установили свое оборудование в качестве демонстрации, было полностью заражено за 16 секунд. «Укрэнерго», энергетическая компания, которой ISSP помогла восстановить сеть после кибератаки в 2016 года, также была поражена вновь. «Помнишь, мы собирались установить новый контроль безопасности?», — напоминает Сологуб расстроенному IT-директору компании «Укрэнерго», разговаривая с ним по телефону. «Что ж, слишком поздно».

К полудню учредитель ISSP, предприниматель Олег Деревянко, также отменил свой отпуск. Деревянко ехал на север провести праздники с семьей в своем деревенском доме, когда начались звонки по поводу NotPetya. Вскоре он съехал с шоссе и стал работать в придорожном ресторане. К началу второй половины дня он предупреждал каждого руководителя, который звонил ему, отключать свои сети без колебаний, даже если это означало прекращение работы всей их компании. Во многих случаях они итак уже ждали слишком долго. «К тому моменту, когда ты дозваниваешься до них, инфраструктура уже потеряна», — говорит Деревянко.

В национальном масштабе, NotPetya пожирал украинские компьютеры живьем. Он затронул по крайне мере четыре больницы только в Киеве, шесть энергетических компаний, два аэропорта, более 22 украинских банков, банкоматы и карточные платежные системы в розничной торговле и в сфере транспорта, а также практически все федеральные агентства. «Правительство было мертво», — подводит итоги украинский министр инфраструктуры Владимир Омелян. По данным ISSP, по меньшей мере 300 компаний пострадали, и один высокопоставленный украинский правительственный чиновник подсчитал, что 10 процентов всех компьютеров в стране были стёрты. Атака вырубила даже компьютеры, которыми пользовались ученые в районе Чернобыльской зоны, в 60 милях к северу от Киева. «Это была массовая бомбардировка всех наших систем», — говорит Омелян.

Когда Деревянко вышел из ресторана ранним вечером, он остановился заправить свою машину и обнаружил, что карточная платежная система заправки была также поражена NotPetya. Не имея наличных денег в карманах, он смотрел на свой датчик топлива, гадая, хватит ли ему, чтобы добраться до деревни. По всей стране украинцы задавали себе аналогичные вопросы: достаточно ли у них денег на продукты и бензин, чтобы продержаться во время атаки, выплатят ли им зарплаты и пенсии, смогут ли они получить лекарства по рецептам. Той ночью, когда мир все еще обсуждал, был ли NotPetya преступным вирусом-вымогателем или государственным оружием кибервойны, сотрудники ISSP уже начали называть это явлением нового типа: «массовое скоординированное кибервторжение».

На фоне этой эпидемии, одно единственное заражение стало особенно судьбоносным для компании Maersk: в офисе в Одессе, портовом городе на Черноморском побережье Украины, финансовый директор Украинского подразделения попросил IT-администратора установить бухгалтерскую программу M.E.Doc на один компьютер. Это обеспечило NotPetya тот плацдарм, в котором он нуждался.

ПОГРУЗОЧНЫЙ ТЕРМИНАЛ в городе Элизабет, штат Нью-Джерси — один из 76 терминалов, которые составляют подразделения портовых операций компании Maersk, известные как APM терминалы, — простирается в бухту Ньюарк на рукотворный полуостров, занимающий целую квадратную милю. Десятки тысяч штабелированных модульных транспортных контейнеров покрывают обширную асфальтированную территорию, а голубые краны высотой 200 футов нависают над заливом. С верхних этажей небоскребов нижнего Манхэттена, расположенных в пяти милях отсюда, они выглядят как брахиозавры, собравшиеся на водопой во времена Юрского периода.

В хороший день около 3000 грузовиков прибывают на терминал, каждый из которых назначен на сбор или погрузку десятка тысяч фунтов всего, чего угодно, начиная с памперсов и авокадо, и заканчивая тракторными запчастями. Они начинают это процесс как пассажиры в аэропорту: проходя регистрацию в воротах терминала, где сканеры автоматически считывают штрих-коды их контейнеров, а охранник Maersk разговаривает с водителями грузовиков через акустическую систему. Водитель получает распечатанный пропуск, в котором сообщается, где следует парковаться так, чтобы массивный самоходный кран мог забрать контейнер с шасси грузовика на площадку с грузами, где он будет погружен на контейнерное судно и поплывет через океан, а потом пройдет этот процесс в обратном порядке.

Утром 27 июня Пабло Фернандез ожидал, что десятки грузовых автомобилей отправятся из терминала Элизабет в порт на Ближнем Востоке. Фернандес является так называемым экспедитором — посредником, кому владельцы груза платят для того, чтобы быть уверенными в том, что их имущество в сохранности прибудет в пункт назначения. (Фернандес это не его настоящее имя).

Около 9 часов утра, телефон Фернандеса стал разрываться из-за звонков от злых владельцев грузов. Все они только что слышали от водителей грузовиков, что их машины застряли за пределами терминала Элизабет компании Maersk. «Люди прыгали вверх и вниз», — говорит Фернандес. «Они не могли ни ввезти свои контейнеры, ни вывезти их за ворота».

Эти ворота, критически важные для функционирования всего терминала Maersk в Нью-Джерси были отключены. Охранники молчали.

Вскоре сотни тяжелых грузовиков стояли в очереди, которая растянулась на мили за пределами терминала. Один сотрудник ближайшего терминала другой компании в том же порту Нью-Джерси смотрел, как грузовики строятся в ряд, бампер за бампером, дальше, чем он мог видеть. Он также наблюдал, как ворота на протяжении пятнадцати минут опускались вниз получасом ранее. Однако через несколько секунд, все еще не получив комментариев от Maersk, власти порта предупредили, что терминал Элизабет будет закрыт до конца дня. «В этот момент мы стали понимать», — вспоминает сотрудник соседнего терминала. — «Это была атака». Полиция начала приближаться к водителям грузовиков, говоря им, чтобы те разворачивали свои массивные машины и уезжали.

Перед Фернандесом и обезумевшими клиентами Maersk встал ряд довольно печальных вариантов: они могли попытаться погрузить свои ценные грузы на другие корабли по завышенным из-за срочности тарифам, что равноценно простою. Или, в случае если их груз является частью производственной цепочки, например, компонентов для завода, то остановка работы Maersk может означать громадные суммы за доставку по воздуху или риск остановки производственных процессов, когда один день простоя стоит сотни тысяч долларов. Многие из контейнеров, известные как рефрижераторы, были электрифицированы и в них хранились скоропортящиеся товары, требующие охлаждения. Их нужно было где-то подключить к питанию. В противном случае их содержимое начнет гнить.

Фернандесу пришлось срочно найти склад в Нью-Джерси, где он мог хранить груз своих клиентов, пока Maersk не прокомментирует ситуацию. По его словам, в течение первого дня он получил только одно официальное электронное письмо от Maersk, которое выглядело как «тарабарщина» и пришло с непонятного аккаунта Gmail. В нем не было никакой внятной информации о нарастающем кризисе. Официальный сайт компаний, Maerskline.com не работал, и никто в компании не поднимал телефон. Некоторые из контейнеров, которые он отправил кораблями Maersk в тот день, останутся потерянными на грузовых площадках и портах по всему миру в течение следующих трех месяцев. «Маерск напоминал черную дыру, — со вздохом вспоминает Фернандес. «Полнейший трындец».

И это на самом деле был трындец из трындецов. Такая же ситуация была в 17 из 26 терминалов Maersk, от Лос-Анджелеса до Альхесираса, Испания, от Роттердама в Нидерландах до Мумбаи. Ворота были закрыты. Краны были заморожены. По всему миру десятки тысяч грузовиков разворачивались обратно и уезжали от остановившихся терминалов.

Не возможно было сделать новый заказ, что существенно сокращало прибыль Maersk. Компьютеры на кораблях компании не были заражены вирусом. Но программное обеспечение терминалов, предназначенное для получения с этих кораблей файлов электронного обмена данными, где операторам терминалов сообщалось о точном содержании громадных грузовых отсеков, было полностью уничтожено. Это оставило порты компании без инструкций для выполнения работ по погрузке и выгрузке возвышающихся груд контейнеров.

В течение ближайших дней одна из самых сложных и взаимосвязанных распределительных систем в мире, лежащая в основе работы глобальной экономики, будет по-прежнему нарушена. «Было очевидно, что проблема имела такие масштабы, каких до сих пор не видели мировые транспортные сети», — вспоминает один из клиентов Maersk. « В истории информационных технологий в сфере судоходства никто еще не сталкивался с подобным колоссальным кризисом».

НЕСКОЛЬКО ДНЕЙ СПУСТЯ, когда в офисе Maersk экран его компьютера внезапно потемнел, Хенрик Дженсен был дома в своей квартире в Копенгагене и наслаждался бранчем из яиц, тостов и мармелада. С тех пор, как он вышел с работы во вторник, он не слышал ни слова от своего начальника. Затем его телефон зазвонил.

Когда он ответил, он обнаружил, что это был конференц-звонок с тремя другими сотрудниками Maersk. Они сказали, что ему нужно быть в офисе компаний в Майденхед, Великобритания. Это город к востоку от Лондона, где располагались IT-подразделения конгломерата Maersk Group Infrastructure Services. Ему сказали собирать вещи и приезжать туда. Немедленно.

Через два часа Дженсен был в самолете, летящем в Лондон, а затем в машине, ехавшей к восьмиэтажному стеклянному кирпичному зданию в центре Мейденхеде. Когда он прибыл, он увидел, что четвертый и пятый этажи здания были превращены в центр чрезвычайных операций 24/7. Единственной целью было восстановление глобальной сети Maersk после ее краха из-за NotPetya.

Некоторые служащие компании, как узнал Дженсен, были в этом центре со вторника, после первого удара вируса. Некоторые спали в офисе, под своими столами или в углу конференц-зала. Другие ежеминутно прибывали с чемоданами в руках, казалось бы, с каждого уголка планеты. Maersk забронировала практически каждую комнату в гостиницах на расстоянии 10 миль, каждый мини-отель, все свободные комнаты на вторых этажах паба. Сотрудники питались закусками, которые кто-то привез на офисную кухню из ближайшего супермаркета Sainsbury’s.

Центром восстановления в Мауденхеде руководила консалтинговая компания Deloitte. Чтобы устранить проблему вируса NotPetya, Maersk по существу предоставил британской фирме свободу действии. В любой момент времени в офисе в Майденхеде находилось до 200 сотрудников Deloitte, а также до 400 сотрудников Maersk. Все компьютерное оборудование, используемое Maersk с момента вспышки NotPetya, было конфисковано из-за опасений, что оно может заразить новые системы. Публиковались предупреждения, в которых любому, кто использовал пораженные компьютеры, угрожали дисциплинарным взысканием. Вместо этого во всех доступных магазинах электроники в Мейденхеде сотрудники закупили огромное количество новых ноутбуков и точек доступа Wi-Fi с предоплатой. Дженсену, как и сотням других сотрудников Maersk до этого, дали один из таких ноутбуков и сказали работать. «Это было похоже на “Найди себе угол, начни работать и сделай все, что только можно”», — говорит он.

В начале операции IT-специалисты, восстанавливающие сеть Maersk, пришли к ужасающему открытию. Они обнаружили резервные копии почти всех индивидуальных серверов Maersk, сделанные за три-семь дней до атаки NotPetya. Но никто не мог найти резервную копию для одного ключевого уровня сети компании: его контроллеров домена, серверов, которые функционируют как подробная карта сети Maersk и устанавливают основные правила, определяющие, какие пользователи имеют доступ к каким системам.

150 контроллеров домена Maersk были запрограммированы для синхронизации своих данных друг с другом, так что теоретически любой из них мог бы функционировать как резервная копия для всех остальных. Однако эта стратегия децентрализованного резервного копирования не учитывала один сценарий: каждый контроллер домена одновременно полностью был стёрт. «Если мы не можем починить наши контроллеры домена», — вспоминает один IT-специалист компании, — «то мы вообще ничего не может исправить».

После неистового поиска по всему миру администраторы, наконец, нашли один единственный выживший контроллер домена в удаленном офисе — в Гане.

После неистового поиска по всему миру администраторы, наконец, нашли один единственный выживший контроллер домена в удаленном офисе — в Гане. В какой-то момент, до атаки NotPetya, отключение электропитания перевело ганский компьютер в автономный режим, и он остался отключенным от сети. Таким образом, в нем содержалась единственная известная копия данных контроллера домена компании, оставленная нетронутой вредоносным ПО — все это благодаря отключению питания. «Когда мы его нашли, офис взорвался от радости», — говорит администратор Maersk.

Однако, когда взволнованные инженеры в Мейденхеде установили связь с офисом Ганы, они обнаружили, что его пропускная способность была настолько низкой, что потребовалось бы несколько дней на передачу в Великобританию резервной копии контроллера, весом сотни гигабайт. Следующей идеей было посадить любого сотрудника ганского подразделения на первый самолет в Лондон. Однако ни у кого из восточноафриканских служащих не было визы в Великобританию.

Так, операция в Майденхеде был похожа на эстафету: один сотрудник из офиса в Гане вылетел в Нигерию, чтобы встретиться с другим сотрудником Maersk в аэропорту и отдать ему драгоценный жесткий диск. Затем этот сотрудник садился в самолет, летящий в Хитроу шесть с половиной часов, везя ключ к восстановлению сети Maersk.

После завершения этой спасательной операции офис в Майденхеде смог снова начать оказывать основные услуги Maersk в онлайн-режиме. После пары дней, порты Maersk вновь могли читать файлы инвентаризации судов, а операторы проверять содержимое массивных, 18 000-контейнерных судов, прибывающих в их гавани. Но только спустя несколько дней после перебоя Maersk начнет принимать заказы на новые доставки через Maerskline.com. А восстановление работы терминалов по всему миру займет больше недели.

Тем временем сотрудники Maersk работали со всеми инструментами, которые все еще были доступны для них. Они прикрепляли бумажные документы к транспортным контейнерам в портах APM и принимали заказы через личные учетные записи Gmail, WhatsApp и таблицы Excel. «Я могу сказать вам, что это довольно странно заказывать 500 грузовых контейнеров через WhatsApp. Однако именно это мы делали», — говорит один из клиентов Maersk.

Примерно через две недели после атаки сеть Maersk наконец смогла вновь выдать персональные компьютеры большинству сотрудников. В штаб-квартире в Копенгагене кафетерий в подвале здания был превращен в центр переустановки. Компьютеры были выстроены по 20 штук на обеденных столах, а сотрудники центра поддержки ходили по рядам, вставли USB-накопители, которых у них были десятки, и щелкали на подсказки в течение нескольких часов.

Спустя несколько дней после своего возвращения из Мейденхеда, Хенрик Дженсен нашел свой ноутбук в куче сотен других компьютеров, расположенных в алфавитном порядке. Его жесткий диск был отформатирован, а чистый Windows установлен. Все, что он и каждый другой сотрудник Maersk хранили на своих компьютерах, от заметок и контактов до семейных фотографий, исчезло.

ПЯТЬ МЕСЯЦЕВ СПУСТЯ, после того, как Maersk оправился от атаки NotPetya, председатель Maersk Джим Хагеман Снэйб, выступая на сцене Всемирного экономического форума в Давосе (Швейцария) высоко оценил «героические усилия», предпринятые IT-специалистами компании во время спасательной операции. Он рассказал, что с 27 июня, когда его впервые разбудил телефонный звонок в 4 часа ночи в Калифорнии, перед запланированным выступлением на конференции в Стэнфорде, компании потребовалось всего 10 дней для перестройки всей сети из 4000 серверов и 45 000 компьютеров. (Полное восстановление заняло гораздо больше времени: некоторые сотрудники компании в Майденхеде продолжали работать день и ночь в течение почти двух месяцев для переустановки настроек программного обеспечения Maersk.) «Мы преодолели проблему благодаря человеческой стойкости», — сказал Снэйб, обращаясь к толпе.

С тех пор, продолжал Снэйб, Maersk работал не только над улучшением своей кибербезопасности, но и над тем, чтобы сделать ее «конкурентным преимуществом». Действительно, после вируса NotPetya IT-специалисты говорят, что практически каждая функция безопасности, о которой они просили, была почти сразу же одобрена. Процесс многофакторной аутентификация был внедрен на уровне всей компании, вместе с давно назревшим обновлением до версии Windows 10.

Однако, Снэйб мало говорил о положении безопасности компании до появления вируса NotPetya. Сотрудники службы безопасности Maersk называют странным то, что некоторые серверы корпорации, вплоть до начала атаки, все еще работали на Windows 2000 — старой операционной системе, которую Microsoft больше не поддерживала. В 2016 г. одна группа IT-директоров настаивала на превентивной реорганизации безопасности всей глобальной сети Maersk. Они обратили внимание на менее совершенное системное обновление Maersk, устаревшие операционные системы и, прежде всего, недостаточную сегментацию сети. Они предупреждали, что эта уязвимость, в частности, позволяла вредоносным программам, имеющим доступ к одной части сети, распространиться далеко за пределы ее первоначального внедрения, как сделает это NotPetya годом позднее.

Обновлению системы безопасности был дан зеленый свет, и оно было включено в бюджет. Но успех обновления не был так называемым ключевым показателем эффективности для самых старших IT-супервайзеров, поэтому его внедрение не способствовало получению ими бонусов. Они так и не выполнили переустановку безопасности.

Некоторые фирмы заплатили больше за затягивание с обновлением системы безопасности. В своей речи в Давосе, Снэйб утверждал, что компания понесла лишь 20-процентное сокращение общего объема перевозок, во время заражения вирусом NotPetya, благодаря быстрым усилиям и ручным обходным решениям. Но помимо потерянной выгоды и простоев, а также затрат на восстановление всей сети, Maersk также возместил ущерб многим из своих клиентов за счет перенаправления или хранения их выгруженного груза. Один из клиентов Maersk сказал, что получил семизначный чек от компании на покрытие расходов на отправку своего груза чартерным рейсом в последнюю минуту. «Они выплатили мне целый миллион после двухминутного обсуждения проблемы», — говорит он.

Вдобавок к панике и сбоям, которые вызвал вирус, NotPetya, предположительно, уничтожил доказательства шпионажа или даже подтверждения будущего саботажа.

В целом, в своей речи в Давосе Снейб сообщил, что NotPetya стоил Maersk от 250 до 300 млн. долл. США. Большинство сотрудников, с которыми разговаривал WIRED, подозревают, что компания занизила данные.

Несмотря на это, данные цифры — это только небольшая часть величины ущерба. Логистические компании, чьи доходы зависят от принадлежащих Maersk терминалов, не получили такое же хорошее отношение во время простоя, как, например, клиенты Maersk. Джеффри Бадер, президент группы компаний перевозок, “Association of Bi-State Motor Carriers”, базирующейся в порте Ньюарка, подсчитал, что даже без возмещения ущерба компаниям перевозок и водителям, стоимость составит десятки млн. долларов США. «Это был кошмар», — говорит Бадер. «Мы потеряли кучу денег, мы в ярости».

Гораздо сложнее измерить более общую стоимость нарушения Maersk в глобальной цепочки поставок в целом. Она зависит от своевременной доставки продуктов и производственных компонентов. И, конечно же, Maersk — это всего лишь одна жертва. Merck, чье производство лекарств было временно прервано NotPetya, сообщил акционерам, что компания потеряла 870 млн. долларов США из-за вредоносного ПО. FedEx, чья европейская дочерняя компания TNT Express была поражена в результате атаки, а на восстановление некоторых данных потребовалось месяцы, потеряла 400 млн. долларов США. Французский строительный гигант Сен-Гобейн потерял примерно столько же. Reckitt Benckiser, британский производитель презервативов Durex, потерял 129 миллионов долларов, а Mondelēz, владелец шоколадного производителя Cadbury, понес ущерб в размере 188 млн. долларов США. Неизвестное количество жертв, которые не имеют публичных акционеров, предпочло оставить свои потери втайне.

Только тогда, когда вы начинаете умножать историю Maersk — воображая этот паралич, последовательные кризисы, такое же изнурительное восстановление — представляя десятки жертв NotPetya и бесчисленное множество отраслей, вам действительно станет понятен истинный масштаб российской кибервойны.

«Это был очень важный звоночек», — сказал Снабе в своей речи в Давосе. Затем он добавил со скандинавской сдержанностью: «Можно сказать, очень дорогой звоночек».

ЧЕРЕЗ НЕДЕЛЮ ПОСЛЕ вспышки NotPetya, украинская полиция, одетая во всю камуфляжную экипировку и вооруженная штурмовыми винтовками, вышла из фургонов и направилась в скромную штаб-квартиру Linkos Group, поднимаясь по лестнице, как в свое время SEAL Team Six вторгались в жилье бен Ладена.

По словам основателя компании Олеси Линник, они направили винтовки на растерянных сотрудников и выстроили их в ряд в коридоре. На втором этаже, рядом с ее кабинетом, вооруженные полицейские даже разбили металлической дубинкой дверь в одну из комнат, хотя Линник предложила ключ для того, чтобы открыть ее. «Это была абсурдная ситуация», — говорит Линник после грубого раздраженного вздоха.

Вооруженный полицейский отряд в конце концов нашел то, что искал: стойка серверов, которая сыграла роль пациента ноль в чуме под названием NotPetya. Они конфисковали зараженные устройства и положили их в полиэтиленовые пакеты.

Даже сейчас, спустя больше года после катастрофического распространения атаки, эксперты по кибербезопасности все еще спорят о тайнах NotPetya. Какие были настоящие намерения хакеров? Киевский персонал фирмы по безопасности ISSP, в том числе Олег Деревянко и Алексей Ясинский, считают, что атака предназначалась не только для уничтожения, но и для зачистки. В конце концов, хакеры, которые запустили вирус изначально, имели месяцы беспрепятственного доступа к сетям своих жертв. Вдобавок к панике и сбоям, которые вызвал вирус, NotPetya, предположительно, уничтожил доказательства шпионажа или даже подтверждения будущего саботажа. Как раз в мае Министерство юстиции США и службы безопасности Украины объявили, что они сорвали российскую операцию, в ходе которой полмиллиона интернет-роутеров, в основном в Украине, были заражены новой формой разрушительного вредоносного ПО.

В то время как многие в сообществе безопасности по-прежнему рассматривают международные жертвы NotPetya в качестве побочного эфекта, Крейг Уильямс из компании Cisco утверждает, что Россия прекрасно знала, какой ущерб нанесет вирус в международном пространстве. Эти последствия, утверждает он, должны были явно наказать любого, кто осмелится сохранить офис в границах вражеского для России государства. «Любой, кто думает, что это случайность, принимает желаемое за действительное», — говорит Уильямс. «Это был вирус, который имел политический подтекст: если вы занимаетесь бизнесом в Украине, вас ждут неприятности».

Тем не менее, почти все, кто изучал NotPetya, согласны в одном: это может повториться и даже в более широких масштабах. Глобальные корпорации слишком взаимосвязаны, информационная безопасность слишком сложная, слишком широкое поле для нападения, чтобы защититься от хакеров, подготовленных государством для новой атаки, которая всколыхнет весь мир. В то же время Россия вряд ли была наказана санкциями правительства США за NotPetya, которые были введены спустя восемь месяцев после атаки вируса, и которые наказывали Россию за все, начиная от дезинформации во время выборов 2016 г. до хакерских зондов в энергосетях США. «Отсутствие надлежащего ответа было практически приглашением для расширения своих действий», — говорит Томас Рид, профессор политологии в Школе исследований международных отношений Джона Хопкинса.

Но самым полезным уроком NotPetya может быть странный, многомерный ландшафт поля битвы для кибервойны. Это запутанная географии кибервойны: то, что по-прежнему бросает вызов человеческой интуиции. Фантомы, возникшие в серверной комнате M.E.Doc в сером районе Киева, распространили хаос на позолоченные конференц-залы столичных федеральных агентств, на порты по всему земному шару, на величественную штаб-квартиру Maersk в Копенгагенской гавани и на всю мировую экономику. «Каким образом уязвимость этого украинского бухгалтерского программного обеспечения влияет на поставки в США вакцины национальной безопасности и мировые поставки в целом?», — задается вопросом Джошуа Корман, сотрудник кибербезопасности Atlantic Council, как будто все еще размышляя над формой вируса, которая сделает понятной причинно-следственную связь. «Свойства киберпростраснства полностью отличаются от любой другой военной области». В этой физическом смысле NotPetya напоминает нам о том, что расстояние не является защитой. Каждый варвар находится у каждых ворот. И сеть этих взаимосвязей в данном пространстве, которая объединяла и двигала вверх этот мир последние двадцать пять лет, может в течение нескольких часов в один летний день просто привести его к краху.

Автор: Энди Гринберг (@a_greenberg) — старший писатель WIRED. Эта история взята из его книги Sandworm, выходящей в Doubleday. Эта статья из сентябрьского выпуска.

Перевод подготовлен волонтёр(к)ами некоммерческой правозащитной организации Human Constanta.

Перевод статьи “THE UNTOLD STORY OF NOTPETYA, THE MOST DEVASTATING CYBERATTACK IN HISTORY” публикуется на условиях fair use исключительно в просветительских целях. Все права принадлежат Wired. По вопросам перепечатки материала обращайтесь напрямую к правообладателю.

Нерассказанная история NotPetya — самой разрушительной кибератаки в истории

Издание Wired опубликовало фрагмент из книги Энди Гринберга «Sandworm», посвященный истории вируса NotPetya. В июне 2017 года он атаковал украинские компьютеры через уязвимость в программе M.E.Doc и разошелся по миру. Особое внимание Гринберг обратил на последствия, затронувшие транспортного гиганта A.P. Møller-Maersk — датскую транспортную компанию, отвечающую за пятую часть морских грузовых перевозок. Редакция AIN.UA приводит ключевые выдержи из материала.

Откуда все началось

Из серверной в киевском офисе компании Linkos Group. Инициаторы «самой разрушительной атаки со времен создания интернета» — российские военные хакеры из группировки Sandworm. Прежде они атаковали украинские госструктуры и компании, а также провоцировали отключение электричества в зимний период.

В июне 2017 года Sandworm взломали сервера Linkos, отвечающие за рассылку обновлений программного комплекса M.E.Doc. Украинские предприятия пользовались им для электронного документооборота. Хакеры задействовали их, чтобы «выпустить свое самое разрушительное творение».

Почему NotPetya оказался так эффективен

Вирус, на тот момент, был одним из самых быстрых. Глава центра реагирования Cisco Крейг Уильямс указывает: «В ту секунду, когда вы видите его, ваш дата-центр уже пропал».

В основе NotPetya лежат два мощных эксплоита.

Первый — EternalBlue. Это слитая в 2017 году разработка Агентства национальной безопасности США. Эксплоит позволяет воспользоваться уязвимостью в одном из протоколов Windows и запускать посторонний код на непропатченных устройствах.

Второй — Mimikatz, концептуальный инструмент, созданный французом Бенджамином Дельфи в 2011 году. Он позволяет извлечь аутентификационные данные залогинившегося в системе, а также использовать их для взлома других доступных устройств. Инструмент особенно опасен в корпоративных сетях, поскольку способен атаковать сотни машин, передвигаясь от одной к другой.

До атаки NotPetya, Microsoft уже выпустила патч против уязвимости EternalBlue. Но вместе с Mimikatz потенциал вируса оказался буквально неограничен. Комбинация эксплоитов позволяла атаковать непропатченные компьютеры и задействовать их пароли для захвата обновленных до последней версии устройств.

В чем особенность NotPetya

В отличие от Petya, который требовал от жертв заплатить за разблокировку данных, цель NotPetya была исключительно в нанесении вреда. Malware-софт необратимо шифровал загрузочный сектор компьютера, позволяющий устройству «найти» операционную систему. Любые выплаты ни к чему не приводили, а восстановить содержимое было невозможно.

Выпуск NotPetya был проявлением кибервойны почти во всех смыслах — причем таким, которое, вероятно, превзошло разрушительный потенциал, заложенный создателями. В течение нескольких часов после первого появления, червь распространился по неисчислимому количеству украинских компьютеров по всему миру, от отеля в Пенсильвании до шоколадной фабрики в Тасмании.

Он обездвижил международные компании, включая Maersk, фармацевтического гиганта Merck, европейское отделение FedEx, французскую строительную фирму Saint-Gobain, пищевую компанию Mondelēz и фабрики Reckitt Benckiser. В каждом из случаев убытки исчислялись миллионами. NotPetya даже вернулся в Россию, ударив по госкомпании «Роснефть».

Во сколько оцениваются убытки

Общая сумма, озвученная Белым Домом — $10 млрд. Для сравнения, WannaCry «стоил» от $4 млрд до $8 млрд. В число главных пострадавших от NotPetya входят:

  • Merc (США) — $870 млн;
  • TNT Express (европейское подразделение FedEX) — $400 000 млн;
  • Saint-Gobain (Франция) — $384 млн;
  • Maersk (Дания) — $300 млн;
  • Mondelēz (США) — $188 млн;
  • Reckitt Benckiser (Британия) — $129 млн.

Что происходило в день атаки в Украине

Wired описывает работу компании Information Systems Security Partners (далее — ISSP), предоставляющей услуги киберзащиты. Во время атаки, которая состоялась накануне Дня Конституции, ее глава Алексей Ясинский получил звонок от директора, сообщающего про атаку на «Ощадбанк».

По прибытию в офис банка, он обнаружил местный IT-департамент в растерянности. 90% компьютеров были заражены. Следом Ясинский начал получать звонки со всей Украины — всего их было около 50.

NotPetya распространялся по компаниям очень быстро — чтобы расправиться с внутренней сетью некого украинского банка, ему потребовалось 45 секунд. Крупный украинский транспортный хаб, куда оборудование ISSP установили в качестве демонстрации, «лег» за 16 секунд.

Основатель ISSP Олег Деревянко в тот день находился на отдыхе в Турции, но прервал поездку к семье и до вечера проработал в ресторане на обочине, принимая звонки и раздавая поручения. Деревянко советовал менеджерам как можно быстрее отключать сети, даже если это означало остановку деятельности всей компании. Зачастую, было уже поздно.

Краткий список украинских жертв NotPetya:

  • 6 госпиталей в Киеве;
  • 6 энергетических компаний;
  • 2 аэропорта;
  • 22 украинских банка;
  • банкоматы;
  • терминалы;
  • более 300 компаний;
  • 10% всех компьютеров в стране.

Под удар попало почти каждое министерство. Министр инфраструктуры Владимир Омелян в комментарии Wired сказал: «Правительство было неработоспособно».

Как пострадал Maersk

Датская транспортная компания, на счету которой 76 портов по всему миру и более 800 грузовых кораблей, стала одной из крупнейших жертв NotPetya.

Точкой входа для вируса стал один из 574 офисов гиганта. Он находится в Одессе. Там финансовый директор попросил установить на его компьютер M.E.Doc — и открыл для NotPetya доступ к корпоративной сети.

Вскоре после начала атаки, сотрудников центрального офиса в Копенгагене попросили уйти с работы. IT-департамент два часа отключал сеть Maersk, но большинство компьютеров уже показывали текст «repairing file system on C:» и требование выплатить около $300 в биткоин-эквиваленте.

17 из 76 грузовых терминалов Maersk по всему миру тоже остановились. Ворота не пропускали автомобили, краны замерли, а грузовики скапливались в километровые очереди у въездов.

Как восстанавливали сеть

Спустя несколько дней профильных сотрудников Maersk со всего мира начали собирать в английском городке Майденхед, недалеко от Лондона. Там находится IT-департамент конгломерата.

Местный офис работал в режиме 24/7 — сотрудники ночевали прямо на этажах. Они также скупили все ноутбуки и роутеры в округе. Всего в здании находилось до 600 человек — помимо 400 коллег из Maersk, к работе присоединились 200 специалистов из Deloitte.

По ходу восстановления корпоративной сети, сотрудники смогли найти бэкапы почти всех отдельных серверов, сделанные за 3-7 дней до атаки NotPetya. Но проблема была в другом — у них не было копий главных контроллеров. Эти сервера служат детальной картой сети Maersk и устанавливают правила доступа для пользователей. Без них отдельные кусочки данных были бесполезны.

У Maersk было около 150 контроллеров и они работали взаимно — каждый являлся бэкапом всех остальных. Но эта стратегия, похожая на устройство блокчейна, не помогла в ситуации, когда стерли все контроллеры.

Спасение пришло из Ганы. Там, из-за отключения электричества, сохранился единственный экземпляр контроллера, не пораженный вирусом. Но после подключения оказалось, что скорость передачи слишком медленная — на отправку данных уйдут дни.

Компания хотела просто отправить одного из сотрудников на самолете в Лондон. Но ганские работники Maersk не имели британских виз. Пришлось работать через посредника: сотрудник из Ганы вылетел в Нигерию, передал жесткий диск местному человеку из Maersk, а тот уже сел на самолет до Хитроу.

После завершения этой операции, процесс восстановления ускорился. Сначала в работу вернулись порты, потом заказы через Maerskline.com. Но чтобы компания вновь заработала в относительно нормальном темпе, ушло более недели. За это время сотрудники работали, как могли. Они приклеивали бумажки к контейнерам, принимали заказы через личные аккаунты в Gmail, WhatsApp и записывали их в Excel-таблицы.

Итоги для Maersk

Через две недели сотрудникам вернули рабочие ноутбуки — правда, с полностью отформатированными жесткими дисками.

Всего компания восстановила сеть из 4000 серверов и 45 000 компьютеров. По словам руководства, объемы поставок во время атаки упали всего на 20%, а потери оценивают в $250-300 млн. Сотрудники, с которыми общался Гринберг, называют эту сумму заниженной.

После атаки в Maersk почти без уговоров одобрили почти все улучшения, связанные с безопасностью. Компания перешла на Windows 10 на компьютерах. Сервера, некоторые из которых до NotPetya работали на Windows 2000, тоже обновили.

Что происходило в Украине после атаки

Спустя неделю после дебюта NotPetya, украинский спецназ ворвался в офис Linkos Group, направив оружие на сотрудников и выстроив их в коридоре. Оперативники даже выбили дверь на одном из этажей, несмотря на предложения основателя фирмы Олеси Линнык дать им ключи. Затем они нашли сервера, упаковали их в пластиковые кейсы и конфисковали.

Чем была атака NotPetya

В отрывке фигурируют несколько мнений.

В ISSP уверены, что атака была создана как способ замести за собой следы, поскольку хакеры в течение месяцев имели доступ к зараженным компьютерам. Помимо спровоцированной паники и хаоса, NotPetya мог уничтожить данные о слежке.

Крейг Уильямс из Cisco уверен, что это был политический месседж из России. Там якобы прекрасно знали о международных последствиях и указывали: «Если вы ведете бизнес в Украине, ждите беды».

В одном сходятся все — атака вроде NotPetya может повториться в гораздо больших масштабах. При этом, адекватного наказания за подрывную деятельность Россия не понесла. Санкции за вирус наложили спустя 8 месяцев и затерялись среди других обвинений.

NotPetya напоминает нам, что расстояние — больше не защита. Варвары уже у каждых ворот. Сети, окутавшие и объединившие мир в течение последних 25 лет, могут обрушиться за несколько часов в прекрасный летний день.

Напомним, ранее на AIN.UA выходил материал о 6 самых громких хакерских атаках 2017 года.

Эпидемия вируса-шантажиста Petya: что необходимо знать

Следом за массивными атаками WannaCry в прошлом месяце в настоящее время развивается крупный инцидент с программой-шантажистом, получившей название NotPetya. Утром исследователи предполагали, что эта программа является вариантом вируса-шантажиста Petya, но Kaspersky Labs и другие компании сообщили, что несмотря на их схожесть, на самом деле это #NotPetya. Независимо от его имени, вот что следует знать.

Эта вредоносная программа не просто шифрует данные для требования выкупа, но и захватывает компьютеры и полностью закрывает доступ к ним путем шифрования основной загрузочной записи.

Petya использует другую быстро распространяющуюся атаку, которая аналогично WannaCry эксплуатирует уязвимость ENTERNALBLUE по классификации АНБ. В отличие от WannaCry, вирус Petya также может распространятся через инструментарий управления Windows (WMI) и PsExec (подробнее об этом ниже). Несколько пугающих фактов об этой новой вредоносной программе:

  • у нее нет удаленного аварийного выключателя, как в WannaCry;
  • она гораздо сложнее и обладает разнообразными автоматическими способами распространения;
  • она делает компьютеры полностью непригодными для использования.

О заражениях сообщалось по всему миру: атаке подверглись системы метро, национальные коммунальные службы, банки и международные корпорации: размах до сих пор не известен, но продолжают поступать сообщения о зараженных компьютерах и заблокированных ИТ-системах в различных отраслях по всему миру.

Как распространяется вирус Petya?

Сначала считали, что вирус Petya должен использовать зацепку в корпоративных сетях, полученную через сообщения электронной почты с зараженным вложением в виде документа Word, в котором используется уязвимость CVE-2017-0199. (Если вы установили исправления для Microsoft Office, то должны быть защищены от этого направления атаки.)

Хотя фишинг часто используется для атак, в этом случае одним из основных источников стала MeDoc, фирма финансового программного обеспечения, располагающаяся на Украине. Функция обновления программного обеспечения MeDoc была взломана, и злоумышленники использовали ее для распространения программы-шантажиста Petya (источник). Это объясняет, почему Украина пострадала больше всех.

После заражения одного компьютера вирус Petya распространялся по одноранговой сети на другие компьютеры и серверы под управлением Windows с незакрытой уязвимостью MS17-010 (это уязвимость SMB, которую всем рекомендовали устранить во время атаки WannaCry). Он также может распространяться через механизм PsExec в ресурсы admin$ даже на компьютерах с установленными исправлениями. Мы недавно написали подробное руководство о PsExec и об отключении PowerShell. Здесь это будет полезным.

Позитивным моментом, по крайней мере при таком положении дел, является то, что заражение по одноранговой сети, похоже, не выходит за пределы локальной сети. Вирус Petya может достаточно эффективно перемещаться по всей локальной сети, вряд ли может переходить в другие сети. Как утверждает @MalwareTechBlog, любящий пиццу пользователь Интернета, который прославился тем, что обнаружил аварийный выключатель WannaCry:

Текущая атака Petya отличается в том плане, что в ней инструменты эксплуатации уязвимости используются только для распространения в локальной сети, а не в Интернете (то есть, очень мала вероятность заразится, если ваш компьютер не находится в одной сети с зараженным компьютером). Исходя из того, что размер сетей ограничен, и их можно достаточно быстро проверить, распространение вредоносного программного обеспечения прекратится после проверки локальной сети. Поэтому тут нет опасности, как в случае вируса WannaCry, который все еще продолжает распространяться (хотя я уже предотвратил его активацию с помощью «аварийного выключателя»).

Порядок обнаружения PsExec с помощью DatAlert

Если у вас DatAlert версии 6.3.150 или более поздней версии, вы можете обнаружить файл PsExec.exe на файловых серверах Windows следующим образом:

1. Выберите Tools –> DatAlert –> DatAlert

2. Выполните поиск строки system admin

3. Для каждого из выбранных правил (разверните группы для просмотра), нажмите Edit Rule и установите флажок Enabled

В случае обнаружения PsExec программа DatAlert создаст предупреждения средств системного администратора в категории оповещений Reconnaissance, например System administration tool created or modified (Средство системного администратора создано или изменено) или An operation on a tool commonly used by system administrators failed (Сбой операции в средстве, которое обычно используется системными администраторами).

Это должно помочь обнаружить, использует ли вирус Petya механизм PsExec для распространения на файловые серверы. Продолжайте читать эту статью, потому что это еще не все действия, которые помогут предотвратить первоначальное заражение и остановить распространение вируса Petya по вашим конечным точкам.

Что вирус Petya делает?

После появления на компьютере вирус NotPetya выжидает полтора часа перед началом атаки, вероятнее всего, это время выделяется для заражения других машин и затруднения обнаружения точки входа.

По окончании времени ожидания происходит следующее.

1. Он шифрует основную таблицу файлов на локальных носителях NTFS.
2. Копирует себя в основную загрузочную запись зараженной рабочей станции или сервера.
3. Принудительно выполняет перезагрузку компьютера, чтобы заблокировать пользователей.
4. Отображает экран блокировки с требованием выкупа при загрузке (показан ниже).
Все компьютеры в офисе не работают. Глобальная атака #Ransomware. Я слышал, что несколько других компаний также подверглись атаке. Делайте резервные копии и берегите себя. pic.twitter.com/YNctmvdW2I

— Мигир (Mihir, @mihirmodi) 27 июня 2017 г.

Посредством шифрования основной таблицы файлов компьютер отключается от сети, пока не будет выплачена требуемая сумма. Потенциально это может навредить организации намного сильнее, чем шифрование некоторых файлов на сервере. В большинстве случаев сотрудникам ИТ-отдела приходится индивидуально работать с каждым компьютером; стандартная реакция на программы-шантажисты «Мы просто восстановим эти файлы из резервной копии» оказалась неэффективной.

Если процессы удаленной загрузки или создания образов отсутствуют, и восстановить зараженные компьютеры нельзя, то для исправления ситуации может понадобиться восстанавливать рабочие станции вручную. Хотя в большинстве случаев это возможно, компаниям с множеством удаленных установок сделать это будет очень трудно и займет много времени. Для транспортных компаний, у которых в каждый момент времени 600 и более грузовых судов находятся в рейсе, это практически невозможно.

Как заметила компания Microsoft: «Только в случае наличия максимальных прав (например, когда включен параметр SeDebugPrivilege) вирус пытается перезаписать код основной загрузочной записи» — если зараженный пользователь не обладает правами администратора на компьютере, вирус попробует зашифровать пользовательские данные со следующими разрешениями.

Он не добавляет уникальное расширение к зашифрованным файлам (например, .locky) — он шифрует содержимое и сохраняет исходное имя файла и расширение.

Что делать?

Предотвращение заражения вирусом Petya очень похоже на действия, которые могли быть предприняты ранее в отношении атаки WannaCry:

  • отключение SMBv1 во время установки исправлений;
  • блокировка порта TCP 445 от внешних подключений (или подключений между сегментами, если возможно);
  • установка исправлений!

Локальный аварийный выключатель

Существует также некоторое подобие локального аварийного выключателя. Если на данном компьютере существует файл %WINDIR%\perfc (без расширения), программа-шантажист не будет выполнена. Можно проявить изобретательность в вариантах развертывания этого файла на всех рабочих станциях в вашей среде.

Кроме того, можно посмотреть, какие антивирусные продукты для конечных точек могут обнаружить вирус Petya, в результатах проверки VirusTotal.

Образец вируса Petya, полученный исследователями, был скомпилирован 18 июня.

Следует ли платить?

В сообщении программы-шантажиста была указана учетная запись Posteo (поставщика услуг электронной почты). Отдел жалоб и безопасности Posteo разместил следующее обновление.

Они сделали следующее.

1. Заблокировали эту учетную запись.
2. Подтвердили, что с учетной записи не отправлялись ключи для расшифровки.
3. Обратились в органы власти с предложением помощи всеми доступными средствами.

Все это приводит нас к выводу, что не следует платить требуемую сумму, поскольку вы не получите необходимые ключи расшифровки.

История продолжает развиваться, и мы будем обновлять эту заметку по мере появления новой информации.

  • varonis
  • вирус петя
  • антивирусная защита
  • хакерские атаки
  • Блог компании Varonis Systems
  • Антивирусная защита
  • IT-инфраструктура
  • Серверное администрирование
  • Восстановление данных
Похожие публикации:
  1. Как настроить github на windows
  2. Как подключиться к виртуальной машине по ssh
  3. Сколько байт занимает string в c
  4. Что стало с алиэкспресс

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *