Attaque de virus sur les serveurs Rosneft. Rosneft a annoncé une puissante attaque de pirate informatique sur ses serveurs. Répartition dans le monde

"," Bashneft-Dobycha "et la direction de" Bashneft ") sont infectés par un virus de cryptage, ont déclaré à Vedomosti deux sources proches de Bashneft. Le ransomware a averti les utilisateurs que tous leurs fichiers étaient infectés et que les tentatives de restauration par eux-mêmes étaient inutiles. Le ransomware propose de transférer 300 $ en crypto-monnaie bitcoin en échange du déblocage de l'accès.

Sur son compte Twitter, Rosneft a annoncé une puissante attaque de pirate informatique sur les serveurs de l'entreprise. Le représentant de Rosneft n'a pas précisé à Vedomosti si ce message concernait l'attaque de Bashneft. La société a par la suite annoncé que "les diffuseurs de faux messages de panique seront considérés comme des complices des organisateurs de l'attaque de pirate informatique et seront tenus responsables devant eux".

L'un des employés de Bashneft, sous couvert d'anonymat, a raconté l'attaque à Vedomosti : « Le virus a d'abord désactivé l'accès au portail, à la messagerie interne Skype for business, à MS Exchange, ils n'y attachaient aucune importance, ils pensaient que c'était juste une panne de réseau, puis l'ordinateur a redémarré avec une erreur ... Le disque dur "est mort", le prochain redémarrage affichait déjà un écran rouge." Selon lui, tous les employés ont reçu l'ordre d'éteindre leurs ordinateurs.

"Cependant, l'attaque de pirate informatique aurait pu entraîner de graves conséquences, du fait que l'entreprise est passée à un système de sauvegarde pour gérer les processus de production, ni la production ni la préparation du pétrole n'ont été arrêtées, a déclaré un représentant de Rosneft.

Photo gracieuseté des employés de Bashneft

En plus de Bashneft, d'autres grandes entreprises ont également été attaquées, explique Alexander Litreev, auteur de la chaîne de télégramme Cybersecurity. Selon lui, des personnes travaillant à Mondelēz International, Oschadbank, Mars, Novaya Pochta, Nivea, TESA et d'autres lui ont fait part de problèmes similaires.

Maintenant, nous ne parlons pas du virus WannaCry bien connu, mais d'un programme malveillant similaire dans son comportement, a déclaré Litreev. Selon lui, le virus est une modification du célèbre virus Petya.A, il infecte le disque dur et se propage à l'aide de liens en lettres. Dès qu'une personne clique sur un lien, l'infection se propage à travers le réseau interne de l'entreprise, explique-t-il.

Selon le laboratoire médico-légal du Groupe-IB, plus de 80 entreprises russes et ukrainiennes ont été victimes de l'attaque du virus Petya.A. Pour arrêter la propagation du virus, il est nécessaire de fermer les ports TCP 1024-1035, 135 et 445, a souligné Group-IB. Le chef du laboratoire, Valery Baulin, dans une conversation avec RNS, a également souligné que l'attaque n'avait rien à voir avec WannaCry.

« Parmi les victimes de la cyberattaque figuraient les réseaux de Bashneft, Rosneft, des sociétés ukrainiennes Zaporozhyeoblenergo, Dneproenergo et du Dnieper Electric Power System, qui ont également été bloqués par une attaque de virus par Mondelēz International, Oschadbank, Mars, Novaya Pochta, Nivea, TESA et autres. Le métro de Kiev a également fait l'objet d'une attaque de pirates informatiques », explique Group-IB. Le virus a également pénétré les ordinateurs du gouvernement ukrainien, des opérateurs du pays (Kyivstar, LifeCell, Ukrtelecom) et Privatbank. "L'aéroport de Borispol, vraisemblablement, a également fait l'objet d'une attaque de pirates informatiques", ajoute le laboratoire.

Le virus ransomware a attaqué les ordinateurs de dizaines d'entreprises en Russie et en Ukraine, paralysant le travail des agences gouvernementales, et a commencé à se propager dans le monde entier.

En Fédération de Russie, Bashneft et Rosneft ont été victimes du virus Petya, un clone du ransomware WannaCry qui a frappé les ordinateurs du monde entier en mai.

Tous les ordinateurs de Bashneft sont infectés par le virus, a déclaré une source de la société Vedomosti. Le virus crypte les fichiers et demande une rançon de 300 $ pour un portefeuille bitcoin.

"Le virus a d'abord désactivé l'accès au portail, à la messagerie interne Skype pour les entreprises, à MS Exchange, ils pensaient qu'il s'agissait simplement d'une panne de réseau, puis l'ordinateur a redémarré avec une erreur. Le disque dur est mort, le prochain redémarrage a déjà montré un écran rouge", a déclaré la source.

Presque simultanément, Rosneft a annoncé une « puissante attaque de pirates informatiques » sur ses serveurs. Les systèmes informatiques et la gestion de la production ont été transférés vers des capacités de réserve, la société fonctionne normalement et "les distributeurs de messages faux et de panique seront tenus pour responsables avec les organisateurs de l'attaque de pirates", a déclaré à TASS l'attaché de presse de la société, Mikhail Leontyev.

Les sites Web de Rosneft et Bashneft ne fonctionnent pas.

L'attaque a été enregistrée vers 14h00, heure de Moscou, parmi ses victimes, il y a actuellement 80 entreprises. Outre les travailleurs du pétrole, des représentants de Mars, Nivea et Mondelez International (fabricant de chocolat Alpen Gold) ont été touchés, a déclaré Group-IB, qui est engagé dans la prévention et les enquêtes sur les cybercrimes.

La société métallurgique Evraz et la banque Home Credit ont également signalé l'attaque contre leurs ressources.

En Ukraine, le virus a attaqué les ordinateurs du gouvernement, les magasins Auchan, Privatbank, Kyivstar, LifeCell et les opérateurs de télécommunications Ukrtelecom.

L'aéroport de Boryspil, le métro de Kiev, Zaporozhyeoblenergo, Dneproenergo et le système d'alimentation électrique de Dneprovskaya ont été attaqués.

La centrale nucléaire de Tchernobyl est passée à la surveillance manuelle des rayonnements du site industriel en raison d'une cyberattaque et d'un arrêt temporaire du système Windows, a déclaré à Interfax le service de presse de l'Agence d'État pour la gestion de la zone d'exclusion.

Le virus ransomware a touché un grand nombre de pays à travers le monde, a déclaré le chef de la division de recherche internationale de Kaspersky Lab Costin Raiu sur son compte Twitter.

A 18h05, heure de Moscou, la compagnie maritime danoise A.P. a annoncé une attaque contre ses serveurs. Moller-Maersk. En plus de la Russie et de l'Ukraine, des utilisateurs au Royaume-Uni, en Inde et en Espagne ont été touchés, a rapporté Reuters, citant l'Agence des technologies de l'information du gouvernement suisse.

Selon lui, la nouvelle version du virus, apparue le 18 juin dernier, contient une fausse signature numérique de Microsoft.

A 18h05, heure de Moscou, la compagnie maritime danoise A.P. a signalé une attaque sur ses serveurs. Moller-Maersk. Natalya Kasperskaya, PDG d'InfoWatch Group, a expliqué à TASS que le virus de cryptage lui-même est apparu il y a plus d'un an. Il se propage principalement par le biais de messages de phishing et est une version modifiée d'un programme malveillant connu auparavant. "Il s'est associé à un autre virus ransomware Misha qui avait des droits d'administrateur. C'était une version améliorée, un ransomware de sauvegarde", a-t-elle déclaré.

Selon Kaspersky, il a été possible de vaincre rapidement l'attaque du ransomware WannaCry en mai en raison d'une vulnérabilité du virus. "Si un virus ne contient pas une telle vulnérabilité, alors il est difficile de le combattre", a-t-elle ajouté.

Une cyberattaque à grande échelle utilisant le virus ransomware WannaCry qui a infecté plus de 200 000 ordinateurs dans 150 pays a eu lieu le 12 mai 2017.

WannaCry crypte les fichiers de l'utilisateur et exige un paiement en bitcoins, équivalent à 300 $, pour les décrypter.

Le service de presse de la société Group-IB, qui enquête sur les cybercrimes, a déclaré à RBC que l'attaque de pirates informatiques contre un certain nombre d'entreprises utilisant le virus ransomware Petya est "très similaire" à l'attaque qui a eu lieu à la mi-mai à l'aide du malware WannaCry. Petya bloque les ordinateurs et demande 300 $ en bitcoins en retour.

« L'attaque a eu lieu vers 14 heures. À en juger par les photos, il s'agit d'un cryptolocker Petya. La méthode de propagation dans le réseau local est similaire au virus WannaCry, "- découle du message du service de presse de Group-IB.

Dans le même temps, un employé de l'une des filiales de Rosneft, engagée dans des projets offshore, a déclaré que les ordinateurs n'étaient pas éteints, des écrans avec du texte rouge apparaissaient, mais pas tous les employés. Néanmoins, l'entreprise s'effondre, les travaux sont arrêtés. Les interlocuteurs notent également que toute l'électricité a été complètement coupée au bureau de Bashneft à Oufa.

A 15h40 heure de Moscou, les sites officiels de Rosneft et Bashneft sont inaccessibles. Le fait de l'absence de réponse peut être confirmé sur les ressources de vérification de l'état du serveur. Le site Web de la plus grande filiale de Rosneft, Yuganskneftegaz, ne fonctionne pas non plus.

La société a écrit plus tard sur Twitter que l'attaque de pirate informatique pourrait entraîner de "graves conséquences". Malgré cela, les processus de production, la production, le traitement de l'huile n'ont pas été arrêtés en raison de la transition vers un système de contrôle de sauvegarde, a expliqué la société.

À l'heure actuelle, la Cour d'arbitrage de Bachkirie a terminé une réunion, au cours de laquelle elle a examiné la réclamation de Rosneft et de son contrôle Bashneft contre AFK Sistema et Sistema-Invest pour le recouvrement de 170,6 milliards de roubles, qui, selon la compagnie pétrolière, " Bashneft subi des pertes à la suite de la réorganisation en 2014.

Le représentant d'AFK Sistema a demandé au tribunal de reporter d'un mois la prochaine réunion afin que les parties puissent prendre connaissance de toutes les requêtes. Le juge a nommé la prochaine réunion dans deux semaines - le 12 juillet, notant que l'AFC a de nombreux représentants et qu'ils feront face dans cette période.

Rosneft s'est plaint d'une puissante attaque de pirate informatique sur ses serveurs. La société l'a annoncé dans son Twitter... « Une puissante attaque de pirates informatiques a été menée sur les serveurs de l'entreprise. Nous espérons que cela n'a rien à voir avec les procédures judiciaires en cours », indique le message.

"Sur le fait de la cyberattaque, l'entreprise s'est tournée vers les forces de l'ordre", - ça dit dans le message. L'entreprise a souligné que l'attaque de pirate informatique pourrait toutefois entraîner de graves conséquences, "en raison du fait que l'entreprise est passée à un système de sauvegarde pour gérer les processus de production, ni la production ni la préparation du pétrole n'ont été arrêtées". L'interlocuteur du journal Vedomosti, proche d'une des structures de l'entreprise, souligne que tous les ordinateurs de la raffinerie de Bashneft, de Bashneft-Dobycha et de la direction de Bashneft " ont redémarré en même temps, après quoi ils ont téléchargé le logiciel désinstallé et affiché l'écran de démarrage du virus . WannaCry ".

À l'écran, les utilisateurs ont été invités à transférer 300 $ en bitcoins à l'adresse spécifiée, après quoi les utilisateurs auraient reçu une clé pour déverrouiller leurs ordinateurs par e-mail. Le virus, à en juger par la description, cryptait toutes les données sur les ordinateurs des utilisateurs.

Prévention et enquête sur la cybercriminalité et la fraude Group-IB a identifié un virus qui a frappé la compagnie pétrolière, a déclaré la société à Forbes. Nous parlons du virus ransomware Petya, qui a attaqué non seulement Rosneft. Spécialistes Groupe-IB. ont découvert qu'environ 80 entreprises en Russie et en Ukraine ont été attaquées : les réseaux de Bashneft, Rosneft, les entreprises ukrainiennes Zaporozhyeoblenergo, Dneproenergo et le Dniepr Electric Power System, Mondelēz International, Oschadbank, Mars, Novaya Pochta, Nivea, TESA et autres. Le métro de Kiev a également fait l'objet d'une attaque de pirates informatiques. Les ordinateurs du gouvernement ukrainien, les magasins Auchan, les opérateurs ukrainiens (Kyivstar, LifeCell, UkrTeleKom), PrivatBank ont ​​été attaqués. L'aéroport de Boryspil, vraisemblablement, a également fait l'objet d'une attaque de pirates informatiques.

Le virus se propage soit sous forme d'appel ou via des listes de diffusion - les employés de l'entreprise ont ouvert des pièces jointes malveillantes dans les e-mails. En conséquence, l'ordinateur de la victime était verrouillé et la MFT (table de fichiers NTFS) était cryptée de manière sécurisée, explique un représentant de Group-IB. Dans le même temps, le nom du programme ransomware n'est pas indiqué sur l'écran de verrouillage, ce qui complique le processus de réponse à une situation. Il convient également de noter que Petya utilise un algorithme de cryptage fort et qu'il n'y a aucun moyen de créer un outil de décryptage. Le ransomware demande 300 $ en bitcoins. Les victimes ont déjà commencé à transférer de l'argent dans le portefeuille des cybercriminels.

Group-IB a découvert qu'une version récemment modifiée du ransomware Petya, PetrWrap, était utilisée par le groupe Cobalt pour dissimuler des traces d'attaques ciblées contre des institutions financières. Le groupe criminel Cobalt est connu pour avoir attaqué avec succès des banques du monde entier - Russie, Grande-Bretagne, Pays-Bas, Espagne, Roumanie, Biélorussie, Pologne, Estonie, Bulgarie, Géorgie, Moldavie, Kirghizistan, Arménie, Taïwan et Malaisie. Cette structure est spécialisée dans les attaques sans contact (logiques) contre les guichets automatiques. En plus des systèmes de gestion des guichets automatiques, les cybercriminels tentent d'accéder aux systèmes de transfert interbancaire (SWIFT), aux passerelles de paiement et au traitement des cartes.

La cible principale de l'attaque du virus Petya, qui a récemment infecté des milliers d'ordinateurs dans le monde, était les systèmes informatiques et. Un certain nombre de médias étrangers sont arrivés à cette conclusion.

Selon les publications, l'attaque de pirate informatique visait à détruire des preuves importantes qui sont essentielles pour le litige actuel entre Rosneft et Bashneft, qui appartient à l'oligarque russe.

« Petya n'est pas un virus ransomware, mais un programme qui détruit les données sur les ordinateurs infectés. Il semble qu'il ne devrait pas s'appeler Petya, mais Petrovich - d'après le patronyme du chef de l'AFK Sistema Vladimir Petrovich Yevtushenkov », écrit Bostonmail.

La publication note que quelques heures après l'attaque, le magazine américain faisant autorité Fortune, citant les conclusions d'analystes informatiques, a déclaré que la source de la cyberattaque était située en Ukraine. L'attaque a été lancée contre la société ukrainienne Intellect-Service, qui développe le logiciel de comptabilité MeDoc. Parmi les clients d'Intellect-Service se trouve l'un des plus grands opérateurs mobiles d'Ukraine - Vodafone. Jusqu'à l'automne 2015, la société qui propose désormais ses services sous le nom de Vodafone s'appelait MTS Ukraine. Le propriétaire de 100% des actions de la société est le groupe russe MTS, qui est l'actif central de Sistema.

La cyberattaque utilisant Petya a été lancée au moment où la Cour d'arbitrage du Bachkortostan a commencé les audiences dans l'affaire Rosneft contre Sistema. Selon la publication, cette combinaison de circonstances ne peut pas être qualifiée de simple coïncidence.

C'est en partie la raison pour laquelle l'homme d'affaires est en état de choc, estime le journal. "Sans aucun doute, il était prêt à aller jusqu'au bout pour sauver sa réputation et sa fortune", - a déclaré dans Bostonmail. Peu de temps avant la cyberattaque, le tribunal d'arbitrage du Bachkortostan a reçu une requête indiquant que Rosneft abandonnerait la plainte contre Sistema parce que les sociétés étaient parvenues à un accord à l'amiable. Le document a été signé par deux vice-présidents de Rosneft. Il a été établi par la suite qu'il s'agissait d'un faux, mais on ne sait toujours pas qui l'a envoyé au tribunal.

Un porte-parole de Rosneft, peu de temps après l'attaque du virus, a déclaré que le but de la cybercriminalité était de "tuer" les ordinateurs de Bashneft. Les ordinateurs, a-t-il ajouté, contenaient une grande quantité d'informations sur les opérations de Bashneft pendant la période où il appartenait à d'autres propriétaires.

Les dommages collatéraux dont l'Ukraine et d'autres pays ont souffert n'étaient pas accidentels : ils étaient nécessaires pour couvrir le véritable objectif de l'attaque, écrit l'EU Repoter. En lançant l'attaque en Ukraine, les criminels ont ainsi assuré que si les services ukrainiens étaient en mesure de découvrir quelque chose, il est peu probable qu'ils partagent leurs découvertes avec leurs homologues russes, car l'Ukraine ne fait pas confiance aux autorités russes. «Je pense que l'attaque visait spécifiquement Rosneft. "Il n'y a pas d'autre explication", a déclaré un journaliste russe à la publication.

À l'appui de sa théorie selon laquelle Yevtushenkov était le commanditaire de l'attaque, il avance le fait que Sistema est la plus grande holding de télécommunications en Russie, employant les meilleurs professionnels de l'informatique du pays. Ils savent comment gérer les virus et les attaques de pirates - et donc comment les organiser. Qui d'autre dans l'espace post-soviétique peut organiser une attaque de pirate informatique aussi puissante ?

Fin juin, le virus Petya sur les systèmes informatiques en Ukraine, en Russie, en Italie, en Israël, en Serbie, aux États-Unis et dans d'autres pays. Les attaquants ont bloqué les ordinateurs des victimes et ont exigé une rançon pour les informations les concernant d'un montant de 300 $ en bitcoins. Plus tard, les experts ont découvert que les pirates n'avaient pas l'intention de restaurer l'accès aux données cryptées, mais avaient l'intention de les détruire.