Virenangriff auf Rosneft-Server. Rosneft kündigte einen mächtigen Hackerangriff auf seine Server an. Verbreitung in der Welt

„Bashneft-Dobycha“ und das Management von „Bashneft“) seien mit einem Verschlüsselungsvirus infiziert, teilten zwei Quellen aus der Nähe von Bashneft gegenüber Vedomosti mit. Die Ransomware warnte die Benutzer, dass alle ihre Dateien infiziert seien und dass Versuche, sie selbst wiederherzustellen, nutzlos seien. Die Ransomware bietet an, 300 US-Dollar in Bitcoin-Kryptowährung zu überweisen, um den Zugriff freizugeben.

Rosneft kündigte auf seinem Twitter-Account einen mächtigen Hackerangriff auf die Server des Unternehmens an. Der Vertreter von Rosneft hat gegenüber Wedomosti nicht geklärt, ob diese Nachricht den Angriff auf Bashneft betrifft. Das Unternehmen kündigte später an, dass "die Verbreiter falscher Paniknachrichten als Komplizen der Organisatoren des Hackerangriffs betrachtet und ihnen gegenüber zur Rechenschaft gezogen werden".

Einer der Bashneft-Mitarbeiter erzählte Vedomosti unter der Bedingung der Anonymität von dem Angriff: "Der Virus hat zuerst den Zugang zum Portal, zum internen Messenger Skype for Business, zu MS Exchange gesperrt, sie haben keine Bedeutung beigemessen, sie dachten es war" nur ein Netzwerkfehler, dann startete der Computer mit einem Fehler neu ... Die Festplatte ist "gestorben", der nächste Neustart zeigte bereits einen roten Bildschirm." Ihm zufolge wurde allen Mitarbeitern befohlen, ihre Computer auszuschalten.

⁠⁠⁠Der Hackerangriff könnte schwerwiegende Folgen haben, da das Unternehmen jedoch auf ein Backup-System zur Steuerung der Produktionsprozesse umgestellt habe, sei weder die Förderung noch die Aufbereitung des Öls gestoppt worden, sagte ein Vertreter von Rosneft.

Foto mit freundlicher Genehmigung von Bashneft-Mitarbeitern

Neben Bashneft seien auch andere große Unternehmen angegriffen worden, sagt Alexander Litreev, Autor des Telegrammkanals Cybersecurity. Ihm zufolge erzählten ihm Mitarbeiter von Mondelēz International, Oschadbank, Mars, Novaya Pochta, Nivea, TESA und anderen von ähnlichen Problemen.

Jetzt spreche es nicht von dem bekannten WannaCry-Virus, sondern von einem in seinem Verhalten ähnlichen Schadprogramm, sagte Litreev. Ihm zufolge handelt es sich bei dem Virus um eine Modifikation des bekannten Petya.A-Virus, es infiziert die Festplatte und verbreitet sich über Links in Briefen. Sobald eine Person auf einen Link klickt, verbreitet sich die Infektion über das firmeninterne Netzwerk, erklärt er.

Nach Angaben des forensischen Labors der Group-IB sind mehr als 80 russische und ukrainische Unternehmen Opfer des Petya.A-Virus-Angriffs geworden. Um die Verbreitung des Virus zu stoppen, sei es notwendig, die TCP-Ports 1024-1035, 135 und 445 zu schließen, betonte Group-IB. Auch Laborleiterin Valery Baulin betonte im Gespräch mit RNS, der Angriff habe nichts mit WannaCry zu tun.

„Zu den Opfern des Cyberangriffs gehörten Netzwerke von Bashneft, Rosneft, den ukrainischen Unternehmen Zaporozhyeoblenergo, Dneproenergo und dem Dnjepr Electric Power System, die auch durch einen Virusangriff von Mondelēz International, Oschadbank, Mars, Novaya Pochta, Nivea, TESA und anderen blockiert wurden . Auch die Kiewer U-Bahn war einem Hackerangriff ausgesetzt“, sagt Group-IB. Das Virus drang auch in die Computer der ukrainischen Regierung, der Betreiber des Landes (Kyivstar, LifeCell, Ukrtelecom) und der Privatbank ein. "Flughafen" Borispol "wurde vermutlich auch einem Hackerangriff ausgesetzt", - fügen Sie im Labor hinzu.

Der Ransomware-Virus griff die Computer von Dutzenden von Unternehmen in Russland und der Ukraine an, lähmte die Arbeit von Regierungsbehörden und breitete sich auf der ganzen Welt aus.

In der Russischen Föderation wurden Bashneft und Rosneft Opfer des Petya-Virus - eines Klons der WannaCry-Ransomware, die im Mai auf Computern auf der ganzen Welt heimgesucht wurde.

Alle Computer in Bashneft seien mit dem Virus infiziert, teilte eine Quelle der Firma Wedomosti mit. Der Virus verschlüsselt Dateien und verlangt ein Lösegeld von 300 US-Dollar für eine Bitcoin-Wallet.

"Der Virus hat zuerst den Zugang zum Portal, zum internen Messenger Skype for Business, zu MS Exchange deaktiviert, sie dachten es sei nur ein Netzwerkfehler, dann startete der Computer mit einem Fehler neu. Die Festplatte war tot, der nächste Neustart zeigte bereits ein" roten Bildschirm", sagte die Quelle.

Fast zeitgleich kündigte Rosneft einen "mächtigen Hackerangriff" auf seine Server an. IT-Systeme und Produktionsmanagement seien in Reservekapazitäten überführt worden, das Unternehmen funktioniere normal und "die Vertreiber von Falsch- und Paniknachrichten werden zusammen mit den Organisatoren des Hackerangriffs zur Verantwortung gezogen", sagte der Pressesprecher des Unternehmens, Michail Leontjew, gegenüber TASS.

Die Websites von Rosneft und Bashneft funktionieren nicht.

Der Angriff wurde gegen 14.00 Uhr Moskauer Zeit aufgezeichnet, unter seinen Opfern befinden sich derzeit 80 Unternehmen. Betroffen waren neben Ölarbeitern auch Büros von Mars, Nivea und Mondelez International (Schokoladenhersteller Alpen Gold), so Group-IB, die sich mit der Prävention und Aufklärung von Cyberkriminalität beschäftigt.

Auch das Metallurgieunternehmen Evraz und die Home Credit Bank berichteten über den Angriff auf ihre Ressourcen.

In der Ukraine griff das Virus Regierungscomputer, Auchan-Geschäfte, Privatbank, Kyivstar, LifeCell und die Telekommunikationsbetreiber Ukrtelecom an.

Der Flughafen Boryspil, die Metro Kiew, Zaporozhyeoblenergo, Dneproenergo und das Dneprovskaya Electric Power System wurden angegriffen.

Das Kernkraftwerk Tschernobyl habe aufgrund eines Cyberangriffs und einer vorübergehenden Abschaltung des Windows-Systems auf manuelle Strahlenüberwachung des Industriegeländes umgestellt, teilte der Pressedienst der Staatlichen Agentur für das Management der Sperrzone Interfax mit.

Der Ransomware-Virus habe eine Vielzahl von Ländern auf der ganzen Welt befallen, sagte der Leiter der internationalen Forschungsabteilung von Kaspersky Lab, Costin Raiu, auf seinem Twitter-Account.

Um 18.05 Uhr Moskauer Zeit kündigte die dänische Reederei A.P. einen Angriff auf ihre Server an. Möller-Maersk. Betroffen seien neben Russland und der Ukraine auch Nutzer in Großbritannien, Indien und Spanien, berichtete Reuters unter Berufung auf die IT-Agentur des Bundes.

Ihm zufolge enthält die neue Version des Virus, die am 18. Juni dieses Jahres erschien, eine gefälschte digitale Signatur von Microsoft.

Um 18.05 Uhr Moskauer Zeit kündigte die dänische Reederei A.P. einen Angriff auf ihre Server an. Möller-Maersk. Natalya Kasperskaya, CEO der InfoWatch Group, erklärte gegenüber TASS, dass der Verschlüsselungsvirus selbst vor mehr als einem Jahr aufgetaucht sei. Es verbreitet sich hauptsächlich über Phishing-Nachrichten und ist eine modifizierte Version eines bisher bekannten Schadprogramms. „Es hat sich mit einem anderen Misha-Ransomware-Virus zusammengetan, der Administratorrechte hatte. Es war eine verbesserte Version, eine Backup-Ransomware“, sagte sie.

Laut Kaspersky war es möglich, die Ransomware-Attacke WannaCry im Mai aufgrund einer Sicherheitslücke im Virus schnell abzuwehren. „Wenn ein Virus keine solche Schwachstelle enthält, ist es schwierig, sie zu bekämpfen“, fügte sie hinzu.

Am 12. Mai 2017 fand ein groß angelegter Cyberangriff mit dem Ransomware-Virus WannaCry statt, der mehr als 200.000 Computer in 150 Ländern infizierte.

WannaCry verschlüsselt die Dateien des Benutzers und erfordert eine Zahlung in Bitcoins, die 300 US-Dollar entspricht, um sie zu entschlüsseln.

Der Pressedienst des Konzerns Group-IB, der Cyberkriminalität untersucht, teilte RBC mit, dass der Hackerangriff auf eine Reihe von Unternehmen, der den Petya-Ransomware-Virus verwendet, dem Angriff, der Mitte Mai mit der Malware WannaCry stattfand, „sehr ähnlich“ sei. Petya blockiert Computer und verlangt im Gegenzug 300 Dollar in Bitcoins.

„Der Angriff fand gegen 14:00 Uhr statt. Den Fotos nach zu urteilen, ist dies ein Petya Cryptolocker. Die Verbreitungsmethode im lokalen Netzwerk ähnelt dem WannaCry-Virus“, geht aus der Mitteilung des Pressedienstes der Group-IB hervor.

Zur gleichen Zeit sagte ein Mitarbeiter einer der Tochtergesellschaften von Rosneft, die an Offshore-Projekten beteiligt ist, dass Computer nicht ausgeschaltet wurden, Bildschirme mit rotem Text erschienen, aber nicht alle Mitarbeiter. Trotzdem brach das Unternehmen zusammen, die Arbeit wurde eingestellt. Die Gesprächspartner stellen auch fest, dass im Bashneft-Büro in Ufa der Strom komplett abgeschaltet wurde.

Um 15:40 Uhr Moskauer Zeit sind die offiziellen Websites von Rosneft und Bashneft nicht zugänglich. Das Ausbleiben einer Antwort kann an den Ressourcen zur Überprüfung des Serverstatus bestätigt werden. Auch die Website der größten Tochtergesellschaft von Rosneft, Yuganskneftegaz, funktioniert nicht.

Das Unternehmen schrieb später auf Twitter, der Hackerangriff könne "ernste Konsequenzen" haben. Trotzdem seien Produktionsprozesse, Produktion, Ölaufbereitung durch die Umstellung auf ein Backup-Steuerungssystem nicht eingestellt worden, erklärte das Unternehmen.

Gegenwärtig hat das Schiedsgericht von Baschkirien eine Sitzung abgeschlossen, in der die Forderung von Rosneft und seinem kontrollierten Bashneft gegen AFK Sistema und Sistema-Invest auf Rückforderung von 170,6 Milliarden Rubel geprüft wurde, die nach Angaben der Ölgesellschaft „ Bashneft durch die Reorganisation im Jahr 2014 Verluste erlitten.

Der Vertreter von AFK Sistema forderte das Gericht auf, die nächste Sitzung um einen Monat zu verschieben, damit die Parteien alle Petitionen kennen lernen könnten. Der Richter berief das nächste Treffen in zwei Wochen ein - am 12. Juli, und stellte fest, dass AFC viele Vertreter hat und sie innerhalb dieses Zeitraums fertig werden.

Rosneft beschwerte sich über einen mächtigen Hackerangriff auf seine Server. Dies gab das Unternehmen in seiner Twitter... „Auf den Servern des Unternehmens wurde ein mächtiger Hackerangriff durchgeführt. Wir hoffen, dass dies nichts mit den aktuellen gerichtlichen Verfahren zu tun hat“, heißt es in der Mitteilung.

„Aufgrund des Cyberangriffs wandte sich das Unternehmen an die Strafverfolgungsbehörden“ – es sagt in der Nachricht. Das Unternehmen betonte, der Hackerangriff könne jedoch schwerwiegende Folgen haben, „da das Unternehmen jedoch auf ein Backup-System zur Steuerung der Produktionsprozesse umgestellt hat, wurde weder die Produktion noch die Ölaufbereitung gestoppt“. Der Gesprächspartner der Zeitung Vedomosti, in der Nähe einer der Unternehmensstrukturen, weist darauf hin, dass alle Computer in der Bashneft-Raffinerie, Bashneft-Dobycha und der Geschäftsführung von Bashneft "auf einmal neu gestartet wurden, wonach sie die deinstallierte Software heruntergeladen und den Viren-Splash-Screen angezeigt haben". . WannaCry".

Auf dem Bildschirm wurden Benutzer aufgefordert, 300 Dollar in Bitcoins an die angegebene Adresse zu überweisen, woraufhin die Benutzer angeblich per E-Mail einen Schlüssel zum Entsperren ihrer Computer erhalten hätten. Der Virus hat, der Beschreibung nach zu urteilen, alle Daten auf den Computern der Benutzer verschlüsselt.

Cyberkriminalität und Betrugsprävention und Untersuchung Group-IB hat einen Virus identifiziert, der die Ölgesellschaft befallen hat, sagte das Unternehmen gegenüber Forbes. Die Rede ist vom Petya-Ransomware-Virus, der nicht nur Rosneft angegriffen hat. Group-IB-Spezialisten. fanden heraus, dass etwa 80 Unternehmen in Russland und der Ukraine angegriffen wurden: die Netze von Bashneft, Rosneft, den ukrainischen Unternehmen Zaporozhyeoblenergo, Dneproenergo und dem Dnjepr Electric Power System, Mondelēz International, Oschadbank, Mars, Novaya Pochta, Nivea, TESA und anderen. Auch die Kiewer Metro war einem Hackerangriff ausgesetzt. Regierungscomputer der Ukraine, Auchan-Geschäfte, ukrainische Betreiber (Kyivstar, LifeCell, UkrTeleKom), PrivatBank wurden angegriffen. Vermutlich war auch der Flughafen Boryspil einem Hackerangriff ausgesetzt.

Der Virus verbreitet sich entweder als Willkür oder über Mailinglisten – Firmenmitarbeiter öffneten bösartige Anhänge in E-Mails. Dadurch sei der Computer des Opfers gesperrt und die MFT (NTFS-Dateitabelle) sicher verschlüsselt worden, erklärt ein Vertreter von Group-IB. Gleichzeitig wird der Name des Ransomware-Programms nicht auf dem Sperrbildschirm angezeigt, was die Reaktion auf eine Situation erschwert. Es ist auch erwähnenswert, dass Petya einen starken Verschlüsselungsalgorithmus verwendet und es keine Möglichkeit gibt, ein Entschlüsselungstool zu erstellen. Die Ransomware fordert 300 Dollar in Bitcoins. Die Opfer haben bereits begonnen, Geld auf die Brieftasche der Cyberkriminellen zu überweisen.

Group-IB hat herausgefunden, dass eine kürzlich modifizierte Version von PetrWrap, PetrWrap, von der Cobalt-Gruppe verwendet wurde, um Spuren gezielter Angriffe auf Finanzinstitute zu verbergen. Die kriminelle Gruppe Cobalt ist dafür bekannt, erfolgreich Banken auf der ganzen Welt anzugreifen – Russland, Großbritannien, Niederlande, Spanien, Rumänien, Weißrussland, Polen, Estland, Bulgarien, Georgien, Moldawien, Kirgisistan, Armenien, Taiwan und Malaysia. Diese Struktur ist auf kontaktlose (logische) Angriffe auf Geldautomaten spezialisiert. Zusätzlich zu Geldautomatenverwaltungssystemen versuchen Cyberkriminelle, Zugang zu Interbank Transfer (SWIFT)-Systemen, Zahlungsgateways und Kartenverarbeitung zu erhalten.

Das Hauptziel des Petya-Virus-Angriffs, der kürzlich Tausende von Computern auf der ganzen Welt infizierte, waren Computersysteme und. Zu diesem Schluss kamen mehrere ausländische Medien.

Den Veröffentlichungen zufolge zielte der Hackerangriff darauf ab, wichtige Beweise zu vernichten, die für den aktuellen Rechtsstreit zwischen Rosneft und Bashneft, das sich im Besitz des russischen Oligarchen befindet, entscheidend sind.

„Petya ist kein Ransomware-Virus, sondern ein Programm, das Daten auf infizierten Computern zerstört. Es scheint, dass er nicht Petya, sondern Petrovich heißen sollte - nach dem Patronym des Chefs von AFK Sistema, Vladimir Petrovich Yevtushenkov “, schreibt Bostonmail.

Die Veröffentlichung stellt fest, dass das maßgebliche amerikanische Fortune-Magazin einige Stunden nach dem Angriff unter Berufung auf die Schlussfolgerungen von Computeranalysten sagte, die Quelle des Cyberangriffs habe sich in der Ukraine befunden. Gestartet wurde der Angriff gegen das ukrainische Unternehmen Intellect-Service, das die Buchhaltungssoftware MeDoc entwickelt. Zu den Kunden von Intellect-Service gehört einer der größten Mobilfunkanbieter in der Ukraine - Vodafone. Bis Herbst 2015 hieß das Unternehmen, das seine Dienste nun unter dem Namen Vodafone anbietet, MTS Ukraine. Eigentümer von 100 Prozent der Unternehmensanteile ist die russische MTS-Gruppe, die das zentrale Asset von Sistema darstellt.

Der Cyberangriff mit Petya wurde zu dem Zeitpunkt gestartet, als das Schiedsgericht von Baschkortostan die Anhörungen im Fall Rosneft gegen Sistema begann. Laut Veröffentlichung kann diese Kombination von Umständen nicht als Zufall bezeichnet werden.

Auch deshalb stehe der Geschäftsmann unter Schock, glaubt die Zeitung. "Zweifellos war er bereit, alles zu tun, um seinen Ruf und sein Vermögen zu retten", sagte Bostonmail. Kurz vor dem Cyberangriff ging beim Baschkortostan-Schiedsgericht eine Petition ein, in der es hieß, Rosneft werde die Klage gegen Sistema fallen lassen, weil die Unternehmen eine gütliche Einigung erzielt hätten. Das Dokument wurde von zwei Vizepräsidenten von Rosneft unterzeichnet. Später wurde festgestellt, dass es sich um eine Fälschung handelte, aber es ist noch unklar, wer sie vor Gericht geschickt hat.

Ein Sprecher von Rosneft erklärte kurz nach dem Virusangriff, das Ziel der Cyberkriminalität sei es gewesen, Bashnefts Computer zu „töten“. Die Computer, fügte er hinzu, enthielten eine große Menge an Informationen über die Aktivitäten von Bashneft während der Zeit, als es im Besitz anderer Eigentümer war.

Der Kollateralschaden, den die Ukraine und andere Länder erlitten, war kein Zufall: Er war notwendig, um den wahren Zweck des Angriffs zu vertuschen, schreibt der EU-Repoter. Durch den Angriff in der Ukraine stellten die Kriminellen damit sicher, dass es unwahrscheinlich ist, dass die ukrainischen Dienste ihre Erkenntnisse mit ihren russischen Kollegen teilen, wenn die ukrainischen Dienste etwas herausfinden könnten, da die Ukraine den russischen Behörden nicht vertraut. „Ich glaube, der Angriff zielte speziell auf Rosneft. „Es gibt keine andere Erklärung“, sagte ein russischer Journalist der Veröffentlichung.

Zur Untermauerung seiner Theorie, dass Yevtushenkov der Sponsor des Angriffs war, führt er an, dass Sistema der größte Telekommunikationskonzern Russlands sei und die besten IT-Experten des Landes beschäftige. Sie wissen, wie man mit Viren und Hacker-Angriffen umgeht – und sie daher zu organisieren. Wer sonst im postsowjetischen Raum kann einen so mächtigen Hackerangriff organisieren?

Ende Juni verbreitete sich der Petya-Virus auf Computersystemen in der Ukraine, Russland, Italien, Israel, Serbien, den USA und anderen Ländern. Die Angreifer blockierten die Computer der Opfer und forderten ein Lösegeld für Informationen über sie in Höhe von 300 Dollar in Bitcoins. Später fanden Experten heraus, dass die Hacker den Zugriff auf die verschlüsselten Daten nicht wiederherstellen, sondern zerstören wollten.