Главная > Интернет > Что с компьютерами роснефть. «Роснефть» сообщила о мощной хакерской атаке на свои серверы

Что с компьютерами роснефть. «Роснефть» сообщила о мощной хакерской атаке на свои серверы

Вирус-шифровальщик атаковал компьютеры десятков компаний в России и на Украине, парализовав работу в том числе государственных структур, и начал распространяться по всему миру

В РФ жертвами вируса Petya - клона вымогателя WannaCry, поразившего компьютеры по всему миру в мае, - стали "Башнефть" и "Роснефть".

В "Башнефти" вирусом заражены все компьютеры, сообщил источник в компании "Ведомостям" . Вирус шифрует файлы и требует выкупа в размере 300 долларов на биткоин-кошелек.

"Вирус вначале отключил доступ к порталу, к внутреннему мессенджеру Skype for business, к MS Exchange, думали, просто сетевой сбой, далее компьютер перезагрузился с ошибкой. "Умер" жесткий диск, следующая перезагрузка уже показала красный экран", - рассказал источник.

Практически одновременно о "мощной хакерской атаке" на свои серверы заявила "Роснефть". IT-системы и управление добычей переведены на резервные мощности, компания работает в штатном режиме, а "распространители лживых и панических сообщений будут нести ответственность вместе с организаторами хакерской атаки", заявил ТАСС пресс-секретарь компании Михаил Леонтьев.

Сайты «Роснефти» и «Башнефти» не работают.

Атака была зафиксирована около 14.00 мск, среди ее жертв на данный момент 80 компаний. Помимо нефтяников пострадали представительства Mars, Nivea и Mondelez International (производитель шоколада Alpen Gold), сообщила Group-IB, которая занимается предотвращением и расследованием киберпреступлений.

Также об атаке на свои ресурсы сообщили металлургическая компания Evraz и банк "Хоум Кредит", который был вынужден приостановить работу всех своих отделений. По данным РБК , не менее 10 российских банков обратились во вторник к специалистам по кибербезопасности в связи с атакой.

На Украине вирус атаковал компьютеры правительства, магазины "Ашан", Приватбанк, операторов связи "Киевстар", LifeCell и "Укртелеком".

Под ударом оказались Аэропорт "Борисполь", Киевский метрополитен, "Запорожьеоблэнерго", "Днепроэнерго" и "Днепровская электроэнергетическая система".

Чернобыльская АЭС перешла на радиационный мониторинг промышленной площадки в ручном режиме из-за кибератаки и временного отключения системы Windows, сообщили "Интерфаксу" в пресс-службе Государственного агентства по управлению зоной отчуждения.

Вирус-шифровальщик затронул большое количество стран по всему миру, сообщил руководитель международного исследовательского подразделения «Лаборатории Касперского» Костин Райю в своем аккаунте в Twitter.

По его словам, в новой версии вируса, которая появилась 18 июня этого года, есть поддельная цифровая подпись Microsoft.

В 18.05 мск об атаке на свои серверы объявила датская судоходная компания A.P. Moller-Maersk. Помимо России и Украины, пострадали пользователи в Великобритании, Индии и Испании, сообщило Reuters со ссылкой на Агентство информационных технологий правительства Швейцарии.

Гендиректор ГК InfoWatch Наталья Касперская пояснила ТАСС, что сам вирус-шифровальщик появился более года назад. Он распространяется, в основном, через фишинговые сообщения и является модифицированной версией известной ранее вредоносной программы. "Он объединился с некоторым другим вымогателем-вирусом Misha, который имел права администратора. Это был улучшенная версия, резервный шифровальщик", - рассказала Касперская.

По ее словам, быстро побороть майскую атаку шифровальщика WannaCry удалось из-за имевшейся в вирусе уязвимости. "Если вирус такой уязвимости не содержит, то бороться с ним сложно", - добавила она.

Масштабная кибератака с использованием вируса-вымогателя WannaCry, поразившего более 200 тысяч компьютеров в 150 странах, произошла 12 мая 2017 года.

WannaCry шифрует файлы пользователя и для их расшифровки требует оплату в биткоинах, эквивалентную 300 долларам.

В России атаке, в частности, подверглись компьютерные системы министерства внутренних дел, министерства здравоохранения, Следственного комитета, компании РЖД, банков и операторов мобильной связи.

По данным в британском Центре кибербезопасности (NCSC), возглавляющем международное расследование атаки 12 мая, за ней стояли северокорейские хакеры из связанной с правительством группировки Lazarus.

В пресс-службе компании Group-IB, которая занимается расследованием киберпреступлений, РБК сообщили, что хакерская атака на ряд компаний при помощи вируса-шифровальщика Petya «очень схожа» с атакой, которая произошла в середине мая при помощи вредоносной программы WannaCry. Petya блокирует компьютеры и требует взамен $300 в биткоинах.

«Атака произошла около 14.00. Судя по фотографиям, это криптолокер Petya. Способ распространения в локальной сети аналогичен вирусу WannaCry», — следует из сообщения пресс-службы Group-IB.

В это же время сотрудник одной из «дочек» «Роснефти», которая занимается шельфовыми проектами, говорит, что компьютеры не выключались, экраны с красным текстом появились, но не у всех сотрудников. Тем не менее в компании коллапс, работа остановлена. Собеседники также отмечают, что в офисе «Башнефти» в Уфе полностью выключили все электричество.

На момент 15:40 мск официальные сайты «Роснефти» и «Башнефти» недоступны. Факт отсутствия ответа можно подтвердить на ресурсах проверки статуса сервера. Сайт крупнейшей «дочки» «Роснефти» «Юганскнефтегаза» тоже не работает .

Позже компания написала в своем Twitter, что хакерская атака могла привести к «серьезным последствиям». Несмотря на это, производственные процессы, добыча, подготовка нефти не были остановлены благодаря переходу на резервную систему управления, пояснили в компании.

В настоящее время Арбитражный суд Башкирии завершил заседание, на котором рассматривал иск «Роснефти» и подконтрольной ей «Башнефти» к АФК «Система» и «Системе-Инвест» о взыскании 170,6 млрд руб., которые, как утверждает нефтяная компания, «Башнефть» понесла в виде убытков в результате реорганизации в 2014 году.

Представитель АФК «Система» попросил суд отложить следующее заседание на месяц, чтобы стороны успели ознакомиться со всеми ходатайствами. Судья назначила следующее заседание через две недели — на 12 июля, отметив, что у АФК много представителей и они справятся за этот срок.

Сайты «Роснефти» и «Башнефти» не работают.

Также об атаке на свои ресурсы сообщили металлургическая компания Evraz и банк "Хоум Кредит", который был вынужден приостановить работу всех своих отделений. По данным РБК, не менее 10 российских банков обратились во вторник к специалистам по кибербезопасности в связи с атакой.

WannaCry шифрует файлы пользователя и для их расшифровки требует оплату в биткоинах, эквивалентную 300 долларам.

По материалам СМИ

27 июня мир пострадал от очередной хакерской атаки: вирус с издевательски-легкомысленным именем Petya заблокировал компьютеры во множестве стран, потребовав за возврат доступа к базам данных компаний по 300 долларов. Собрав около 8 тысяч, «Петя» угомонился, оставив, впрочем, массу вопросов.

Самый животрепещущий, конечно - кто, откуда? По версии журнала Fortune - издания весьма авторитетного - «Петя» пришел к нам с Украины. К этой же точке зрения склоняется германская киберполиция, и, что характерно, украинская тоже. «Петя» вышел в большой мир из недр украинской фирмы «Интеллект-Сервис» - разработчика на заказ самого разнообразного программного обеспечения.

В частности, крупнейшим заказчиком компании является украинский оператор сотовой связи Vodafone, более известный как «МТС Украина» - так он и назывался до 2015 года. А вообще же МТС является ключевым активом корпорации АФК «Система», владеет которой небезызвестный Владимир Евтушенков. Уж не приложил ли бизнесмен руку к разработке и запуску «Пети»?

По мнению «Версии» , это более чем вероятно. «Петя» отправился на свою «большую дорогу» как раз накануне заседания Арбитражного суда Башкирии, где рассматривались претензии «Роснефти» к АФК» Система» - бывшему владельцу «Башнефти», перешедшей в распоряжение крупнейшей национальной нефтяной компании. По мнению «Роснефти», своим управлением Евтушенков и его топ-менеджмент нанесли «Башнефти» убытков на 170 миллиардов рублей, возмещения которых и требует по суду.

Суд, кстати, склонен поверить новому владельцу, потому что уже наложил арест на 185 миллиардов рублей, принадлежащих старому, в т.ч., кстати, и на 31,76% акций МТС. В результате состояние Евтушенкова «исхудало» почти вполовину, а нервы самого бизнесмена стали сдавать все чаще. Чего только стоит фальшивое мировое соглашение, неизвестно откуда поступившее в суд - истец его, как выяснилось, в глаза не видел, не то, что подписывать.

Если с подметными письмами не вышло, то следующий логичный шаг - скрыть доказательства сомнительных деяний ответчика, инкриминируемых ему. А доказательства эти хранятся в компьютерах «Башнефти», перешедших вместе со всем остальным ее имуществом к «Роснефти». Так что не стоит смеяться над «Петей» - его создатели не «денег по-легкому срубить» хотели, а концы подчистить.

И, в общем-то, расчет был неплохой. И украинская компания была выбрана не случайно - где, как не на Украине, завязнут все официальные запросы, и сбор доказательств зайдет в тупик? И компьютерная система «Роснефти» пошатнулась под хакерской атакой, но, благодаря системе резервного копирования, все-таки выстояла, на что бывший владелец никак не мог рассчитывать - он, наверное, ожидал, что в системе киберзащиты его оппонента полно прорех, как это было в «Башнефти» времен АФК «Система».

Поэтому, наверное, и поспешили авторы атаки распустить слухи о том, что «Роснефти» пришлось приостановить производство. Нет, производство не встало, но эти слухи лишний раз свидетельствуют о том, что создатели «Пети» были весьма в этом заинтересованы. А на сегодняшний день дискредитация «Роснефти» является пунктом первым в повестке дня структур Владимира Евтушенкова.

Подробно

Крупным планом

В инициативе Росгвардии по ужесточению наказания за незаконную частную охранную деятельность самое интересное - не предлагаемые санкции, а четко определенный самой молодой российской спецслужбой объект приложения силы. Фактически, планируется объявить настоящую войну многоликой армии вахтеров и администраторов.

Так теперь появился новый вирус.

Что за вирус и стоит ли его бояться

Вот так он выглядит на зараженном компьютере

Вирус под названием mbr locker 256 (который на мониторе именует себя Petya) атаковал сервера российских и украинских компаний.

Он блокирует Файлы на компьютере и шифрует их. За разблокировку хакеры требуют $300 в биткоинах.

MBR – это главная загрузочная запись, код, необходимый для последующей загрузки ОС. Он расположен в первом секторе устройства.

После включения питания компьютера проходит процедура POST, тестирующая аппаратное обеспечение, а после неё BIOS загружает MBR в оперативную память по адресу 0x7C00 и передает ему управление.

Таким образом вирус попадает в компьютер и поражает систему. Модификаций зловреда существует много.

Работает он под управлением Windows, как и прежний зловред.

Кто уже пострадал

Украинские и российские компании. Вот часть из всего списка:

«Запорожьеоблэнерго»

«ДТЭК»

«Днепровская электроэнергетическая система»

«Харьковгаз»

«Киевэнерго»

«Киевводоканал»

«Антонов»

«Киевский метрополитен»

«Новая Почта»

«Ашан»

«Эпицентр»

«ПриватБанк»

«ОщадБанк»

«Национальный банк Украины»

Nivea

тройка мобильных операторов: «Киевстар», LifeCell и «УкрТелеКом»

аэропорт «Борисполь»

Роснефть

Многие компании оперативно отразили атаку, но не все это сделать смогли. Из-за него не работает часть серверов.

Банки не могут осуществить из-за «Пети» ряд денежных операций. Аэропорты откладывают или задерживают рейсы. Метрополитен Украины не принимал бесконтактные платежи до 15:00.

Что касается офисной техники, компьютеров, они не работают. При этом с энергосистемой, с энергообеспечением никаких проблем нет. Это коснулось только офисных компьютеров (работают на платформе Windows). Нам дали команду отключить компьютеры. - Укрэнерго

Операторы жалуются на то, что тоже пострадали. Но при этом стараются работать для абонентов в штатном режиме.

Как защититься от Petya.A

Для защиты от него нужно закрыть на компьютере TCP-порты 1024-1035, 135 и 445. Это сделать достаточно просто:

Шаг 1 . Открываем брэндмауэр.

Шаг 2 . В левой части экрана переходим в «Правила для входящих подключений».

Шаг 3 . Выбираем «Создать правило» -> «Для порта» -> «Протокол TCP» -> «Определенные локальные порты».

Шаг 4 . Пишем «1024-1035, 135, 445», выбираем все профили, щелкаем «Блокировать подключение» и везде «Далее».

Шаг 5 . Повторяем действия для исходящих подключений.

Ну и второе - обновить антивирус. Эксперты сообщают, что необходимые обновления уже появились в базах антивирусного ПО.

Компания «Роснефть» пожаловалась на мощную хакерскую атаку на свои сервера. Об этом компания сообщила в своем

Днем 27 июня "Роснефть" сообщила о хакерской атаке на свои сервера. Одновременно с этим появилась информация об аналогичной атаке на компьютеры "Башнефти", "Укрэнерго", "Киевэнерго" и ряд других компаний и предприятий.

Вирус блокирует компьютеры и вымогает у пользователей деньги, он похож на .

На серверы Компании осуществлена мощная хакерская атака. Мы надеемся, что это никак не связано с текущими судебными процедурами.
27 июня 2017 г.

По факту кибератаки Компания обратилась в правоохранительные органы.
— ПАО «НК «Роснефть» (@RosneftRu) 27 июня 2017 г.

Источник, близкий к одной из структур компании, отмечает, что все компьютеры в НПЗ "Башнефти", "Башнефть-добыче" и управлении "Башнефти" "единомоментно перезагрузились, после чего скачали неустановленное программное обеспечение и вывели на экран заставку вируса WannaCry". На экране пользователям было предложено перевести $300 в биткоинах по указанному адресу, после чего пользователям будет выслан ключ для разблокировки компьютеров на e-mail. Вирус, судя из описания, зашифровал все данные на пользовательских компьютерах.
"Ведомости"

"Национальный банк Украины предупредил банки и других участников финансового сектора о внешней хакерской атаке неизвестным вирусом на несколько украинских банков, а также на некоторые предприятия коммерческого и государственного секторов, что происходит сегодня.
В результате таких кибератак эти банки сложности с обслуживанием клиентов и осуществлением банковских операций".
Нацбанк Украины

Компьютерные системы столичной энергокомпании "Киевэнерго" подверглись хакерской атаке, сообщили агентству "Интерфакс-Украина" в компании.
"Мы подверглись хакерской атаке. Два часа назад вынуждены были выключить все компьютеры, ожидаем разрешения на включение от службы безопасности", – сказали в "Киевэнерго".
В свою очередь, в НЭК "Укрэнерго" агентству "Интерфакс-Украина" сообщили, что компания также столкнулась с проблемами в работе компьютерных систем, но они не являются критическими.
"Были некоторые проблемы с работой компьютеров. Но в целом все стабильно и контролировано. Выводы по инциденту можно будет сделать по итогам внутреннего расследования", – отметили в компании.
"Интерфакс-Украина"

Сети "Укрэнерго" и ДТЭК, крупнейших энергетических компаний Украины, оказались заражены новой формой вируса-шифровальщика, напоминающего WannaCry. Об этом TJ рассказал источник внутри одной из компаний, непосредственно столкнувшийся с атакой вируса.
По словам источника, днём 27 июня его компьютер на работе перезагрузился, после чего система якобы начала проверку жёсткого диска. После этого он увидел, что аналогичное происходит на всех компьютерах в офисе: "Я понял, что идёт атака, вырубил свой компьютер, а когда включил, была уже красная надпись про биткоин и деньги".

Компьютеры в сети компании логистических решений Damco также поражены. И в европейских, и в российских подразделениях. Охват заражения очень широкий. Известно, что в Тюмени, например, тоже всё похекано.
Но вернёмся к теме Украины: почти все компьютеры Запорожьеоблэнерго, Днепроэнерго и Днепровской электроэнергетической системы также заблокированы вирусной атакой.
Уточняем – это не WannaCry, но подобный по своему поведению зловред.
Роснефть Рязань НПЗ – отключили сеть. Тоже атака. Помимо Роснефти/Башнефти, атаки подверглись и другие крупные компании. Сообщается о проблемах в Mondelēz International, Ощадбанк, Mars, Новая Почта, Nivea, TESA и другие.
Вирус определен - это Petya.A. Petya.A жрёт жесткие диски. Он шифрует главную таблицу файлов (MFT) и вымогает деньги за расшифровку.
Киевский метрополитен также подвергся хакерской атаке. Атакованы правительственные компьютеры Украины, магазины Ашан, украинские операторы (Киевстар, LifeCell, УкрТелеКом), ПриватБанк. Поступают сообщения об аналогичной атаке на ХарьковГаз. По словам системного администратора, на машинах была установлена Windows 7 с последними обновлениями. Павел Валериевич Розенко, вице-премьер Украины, также подвергся атаке. Аэропорт Борисполь, предположительно, также подвергся хакерской атаке.
Телеграм-канал "Сайберсекьюрити и Ко.

27 июня, 16:27 От вируса Petya.A пострадали не менее 80 российских и украинских компаний, сообщил Валерий Баулин, представитель компании Group-IB, которая специализируется на раннем выявлении киберугроз.

"По нашим данным, в результате атаки с помощью вируса-шифровальщика Petya.A пострадали больше 80 компаний в России и на Украине", – сказал он. Баулин подчеркнул, что атака не связана с WannaCry.
Для прекращения распространения вируса нужно немедленно закрыть TCP-порты 1024–1035, 135 и 445, подчеркнули в Group-IB <...>
"Среди жертв кибератаки оказались сети "Башнефти", "Роснефти", украинских компаний "Запорожьеоблэнерго", "Днепроэнерго" и Днепровской электроэнергетической системы, также заблокированы вирусной атакой Mondelēz International, Ощадбанк, Mars, "Новая Почта", Nivea, TESA и другие. Киевский метрополитен также подвергся хакерской атаке. Атакованы правительственные компьютеры Украины, магазины Ашан, украинские операторы (Киевстар, LifeCell, УкрТелеКом), Приват Банк. Аэропорт "Борисполь", предположительно, также подвергся хакерской атаке", – указывает Group-IB.
Специалисты Group-IB также установили, что недавно шифровальщик Petya.А использовала группа Cobalt для сокрытия следов целевой атаки на финансовые учреждения.
RNS

Компания «Роснефть» пожаловалась на мощную хакерскую атаку на свои сервера. Об этом компания сообщила в своем Twitter . «На серверы компании осуществлена мощная хакерская атака. Мы надеемся, что это никак не связано с текущими судебными процедурами», - указывается в сообщении.

«По факту кибератаки компания обратилась в правоохранительные органы», - говорится в сообщении. В компании подчеркнули, что хакерская атака могла привести к серьезным последствиям, однако «благодаря тому, что компания перешла на резервную систему управления производственными процессами, ни добыча, ни подготовка нефти не остановлены». Собеседник газеты «Ведомости», близкий к одной из структур компании, указывает , что все компьютеры в НПЗ «Башнефти», «Башнефть-Добыче» и управлении «Башнефти» «единомоментно перезагрузились, после чего скачали неустановленное программное обеспечение и вывели на экран заставку вируса WannaCry».

На экране пользователям было предложено перевести $300 в биткоинах по указанному адресу, после чего пользователям якобы будет выслан ключ для разблокировки компьютеров на e-mail. Вирус, судя из описания, зашифровал все данные на пользовательских компьютерах.

Group-IB, занимающаяся предотвращением и расследованием киберпреступлений и мошенничеств, идентифицировала вирус, поразивший нефтяную компанию, сообщили Forbes в компании. Речь идет о вирусе-шифровальщике Petya, который атаковал не только «Роснефть». Специалисты Group-IB. выяснили, что атакованы около 80 компаний России и Украины: сети «Башнефти», «Роснефти», украинских компаний «Запорожьеоблэнерго», «Днепроэнерго» и Днепровской электроэнергетической системы, Mondelēz International, «Ощадбанк», Mars, «Новая Почта», Nivea, TESA и другие. Киевский метрополитен также подвергся хакерской атаке. Атакованы правительственные компьютеры Украины, магазины Ашан, украинские операторы (Киевстар, LifeCell, УкрТелеКом), ПриватБанк. Аэропорт «Борисполь», предположительно, также подвергся хакерской атаке.

Вирус распространяется или как wannacry, или через рассылку - сотрудники компаний открывали вредоносные вложения в письмах электронной почты. В результате компьютер жертвы блокировался и MFT (файловая таблица NTFS) надежно шифровалась, объясняет представитель Group-IB. При этом на экране блокировки не указано название программы-шифровальщика, что осложняет процесс реагирования на ситуацию. Также стоит отметить, что в Petya используется стойкий алгоритм шифрования и нет возможности создать инструмент расшифровки. Шифровальщик требует $300 в биткоинах. Потерпевшие начали уже переводить деньги на кошелек злоумышленников.

Специалисты Group-IB установили, что недавно модифицированную версию шифровальщика Petya - «PetrWrap» использовала группа Cobalt для сокрытия следов целевой атаки на финансовые учреждения. Преступная группа Cobalt известна тем, что успешно атаковала банки по всему миру - России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване и Малайзии. Эта структура специализируется на бесконтактных (логических) атаках на банкоматы. Кроме систем управления банкоматами, киберпреступники стараются получить доступ к системам межбанковских переводов (SWIFT), платежным шлюзам и карточному процессингу.

26.03.2021

Интернет

Самое интересное: