Ataque de vírus em servidores Rosneft. A Rosneft relatou um poderoso ataque de hackers em seus servidores. Distribuição no mundo

", "Bashneft-Dobycha" e a administração da "Bashneft") estão infectados com um vírus de criptografia, disseram duas fontes próximas à Bashneft ao Vedomosti. O ransomware alertou os usuários de que todos os seus arquivos estavam infectados e as tentativas de recuperá-los por conta própria foram inúteis. O ransomware oferece a transferência de US$ 300 em criptomoeda Bitcoin em troca de desbloqueio de acesso.

Em sua conta no Twitter, a Rosneft relatou um poderoso ataque de hackers aos servidores da empresa. O representante da Rosneft não esclareceu à Vedomosti se esta mensagem diz respeito ao ataque à Bashneft. A empresa anunciou posteriormente que “os disseminadores de falsas mensagens de pânico serão considerados cúmplices dos organizadores do ataque hacker e serão responsabilizados juntamente com eles”.

Um dos funcionários da Bashneft, sob condição de anonimato, contou ao Vedomosti sobre o ataque: “O vírus inicialmente desativou o acesso ao portal, ao mensageiro interno Skype for business, ao MS Exchange, não deram importância, pensaram que era apenas uma falha de rede e o computador foi reinicializado com um erro. O disco rígido morreu, a próxima reinicialização mostrou uma tela vermelha.” Segundo ele, todos os funcionários foram obrigados a desligar os computadores.

⁠⁠⁠Um ataque de hacker poderia ter levado a consequências graves, no entanto, devido ao fato de a empresa ter mudado para um sistema de controle de processo de produção de backup, nem a produção nem a preparação de petróleo foram interrompidas, disse um representante da Rosneft.

Foto fornecida pelos funcionários da Bashneft

Além da Bashneft, outras grandes empresas também foram atacadas, afirma Alexander Litreyev, autor do canal de telegramas Cybersecurity. Segundo ele, problemas semelhantes foram relatados a ele por pessoas que trabalham na Mondelēz International, Oschadbank, Mars, Nova Poshta, Nivea, TESA e outras.

Agora não estamos falando sobre o conhecido vírus WannaCry, mas sobre um programa malicioso de comportamento semelhante, disse Litreyev. Segundo ele, o vírus é uma modificação do conhecido vírus Petya.A, que infecta o disco rígido e se espalha por meio de links em cartas; Assim que uma pessoa clica no link, a infecção se espalha pela rede interna da empresa, explica.

De acordo com o laboratório forense do Grupo-IB, mais de 80 empresas russas e ucranianas foram vítimas do ataque do vírus Petya.A. Para impedir a propagação do vírus, é necessário fechar as portas TCP 1024-1035, 135 e 445, enfatizou o Grupo-IB. O chefe do laboratório, Valery Baulin, em conversa com a RNS, também enfatizou que o ataque não tem nada a ver com o WannaCry.

“Entre as vítimas do ataque cibernético estavam as redes da Bashneft, Rosneft, das empresas ucranianas Zaporozhyeoblenergo, Dneproenergo e Dnieper Electric Power System, Mondelēz International, Oschadbank, Mars, Novaya Poshta, Nivea, TESA e outras também foram bloqueadas pelo ataque do vírus; . O metrô de Kiev também foi alvo de um ataque de hackers”, destaca o Grupo-IB. O vírus também penetrou nos computadores do governo ucraniano, nas operadoras do país (Kyivstar, LifeCell, Ukrtelecom) e no Privatbank. “O aeroporto Boryspil também teria sido alvo de um ataque de hackers”, acrescenta o laboratório.

O vírus ransomware atacou os computadores de dezenas de empresas na Rússia e na Ucrânia, paralisando o trabalho de agências governamentais, entre outras, e começou a se espalhar pelo mundo

Na Federação Russa, Bashneft e Rosneft foram vítimas do vírus Petya, um clone do ransomware WannaCry que infectou computadores em todo o mundo em maio.

Todos os computadores da Bashneft estão infectados com o vírus, disse uma fonte da empresa ao Vedomosti. O vírus criptografa arquivos e exige um resgate de US$ 300 para uma carteira Bitcoin.

“O vírus inicialmente desativou o acesso ao portal, ao mensageiro interno Skype for business, ao MS Exchange, pensaram que era apenas uma falha de rede, depois o computador reiniciou com erro. tela vermelha”, disse a fonte.

Quase simultaneamente, a Rosneft anunciou um “poderoso ataque de hackers” aos seus servidores. Os sistemas de TI e o gerenciamento da produção foram transferidos para capacidade de reserva, a empresa está operando normalmente e “os distribuidores de mensagens falsas e de pânico serão responsabilizados junto com os organizadores do ataque hacker”, disse o secretário de imprensa da empresa, Mikhail Leontyev, à TASS.

Os sites da Rosneft e Bashneft não funcionam.

O ataque foi registrado por volta das 14h, horário de Moscou, e atualmente há 80 empresas entre as vítimas. Além dos petroleiros, representantes da Mars, Nivea e Mondelez International (fabricante do chocolate Alpen Gold) foram afetados, informou o Group-IB, que previne e investiga crimes cibernéticos.

A metalúrgica Evraz e o Home Credit Bank também relataram um ataque aos seus recursos.

Na Ucrânia, o vírus atacou computadores do governo, lojas Auchan, Privatbank, operadoras de telecomunicações Kyivstar, LifeCell e Ukrtelecom.

O Aeroporto Boryspil, o Metro de Kiev, Zaporozhyeoblenergo, Dneproenergo e o Sistema Eléctrico de Dnieper estavam sob ataque.

A usina nuclear de Chernobyl mudou para o monitoramento manual da radiação do local industrial devido a um ataque cibernético e ao desligamento temporário do sistema Windows, disse à Interfax o serviço de imprensa da Agência Estatal de Gerenciamento de Zonas de Exclusão.

O vírus ransomware afetou um grande número de países ao redor do mundo, disse Costin Raiu, chefe da unidade de pesquisa internacional da Kaspersky Lab, em sua conta no Twitter.

Às 18h05, horário de Moscou, a empresa de navegação dinamarquesa A.P. anunciou um ataque aos seus servidores. Moller-Maersk. Além da Rússia e da Ucrânia, os utilizadores do Reino Unido, Índia e Espanha foram afetados, informou a Reuters, citando a Agência de Tecnologia da Informação do governo suíço.

Segundo ele, a nova versão do vírus, que surgiu no dia 18 de junho deste ano, contém uma assinatura digital falsa da Microsoft.

Às 18h05, horário de Moscou, a empresa de navegação dinamarquesa A.P. relatou um ataque aos seus servidores. Moller-Maersk. A Diretora Geral do Grupo InfoWatch, Natalya Kasperskaya, explicou à TASS que o próprio vírus de criptografia apareceu há mais de um ano. É distribuído principalmente através de mensagens de phishing e é uma versão modificada de um malware anteriormente conhecido. “Ele se fundiu com algum outro vírus ransomware Misha, que tinha direitos de administrador. Era uma versão melhorada, um criptografador de backup”, disse ela.

Segundo Kasperskaya, foi possível superar rapidamente o ataque do ransomware WannaCry em maio devido a uma vulnerabilidade do vírus. “Se o vírus não contiver tal vulnerabilidade, será difícil combatê-lo”, acrescentou.

Um ataque cibernético em grande escala utilizando o vírus ransomware WannaCry, que afetou mais de 200 mil computadores em 150 países, ocorreu em 12 de maio de 2017.

O WannaCry criptografa os arquivos do usuário e exige pagamento em Bitcoin equivalente a US$ 300 para descriptografá-los.

A assessoria de imprensa do Grupo-IB, que investiga crimes cibernéticos, disse à RBC que o ataque de hackers a várias empresas que usaram o vírus de criptografia Petya foi “muito semelhante” ao ataque ocorrido em meados de maio usando o malware WannaCry. Petya bloqueia computadores e exige US$ 300 em bitcoins em troca.

“O ataque ocorreu por volta das 14h. A julgar pelas fotos, este é o criptolocker Petya. O método de distribuição na rede local é semelhante ao do vírus WannaCry”, segue a mensagem da assessoria de imprensa do Grupo-IB.

Ao mesmo tempo, um funcionário de uma das subsidiárias da Rosneft, que atua em projetos offshore, afirma que os computadores não desligaram, apareceram telas com texto em vermelho, mas não para todos os funcionários. No entanto, a empresa está falindo e as obras pararam. Os interlocutores observam ainda que toda a eletricidade foi totalmente desligada no escritório da Bashneft em Ufa.

Às 15h40, horário de Moscou, os sites oficiais da Rosneft e Bashneft não estão disponíveis. O fato de não haver resposta pode ser confirmado nos recursos de verificação de status do servidor. O site da maior subsidiária da Rosneft, Yuganskneftegaz, também não funciona.

Mais tarde, a empresa tuitou que o hack poderia ter levado a “sérias consequências”. Apesar disso, os processos de produção, produção e preparação de óleo não foram interrompidos devido à transição para um sistema de controle de backup, explicou a empresa.

Atualmente, o Tribunal de Arbitragem de Bashkortostan concluiu uma reunião na qual considerou a reclamação da Rosneft e de sua controlada Bashneft contra AFK Sistema e Sistema-Invest pela recuperação de 170,6 bilhões de rublos, que, segundo a petrolífera, “ Bashneft sofreu perdas como resultado da reorganização em 2014.

Um representante da AFK Sistema pediu ao tribunal que adiasse a próxima audiência por um mês para que as partes tivessem tempo de se familiarizarem com todas as petições. O juiz marcou a próxima reunião em duas semanas - no dia 12 de julho, lembrando que a AFC tem muitos representantes e eles vão dar conta nesse prazo.

A empresa Rosneft reclamou de um poderoso ataque de hackers aos seus servidores. A empresa anunciou isso em seu Twitter. “Um poderoso ataque hacker foi realizado nos servidores da empresa. Esperamos que isso não tenha nada a ver com os processos judiciais em curso”, afirma a mensagem.

“A empresa contatou as agências de aplicação da lei sobre o ataque cibernético,” - diz na mensagem. A empresa enfatizou que um ataque de hacker poderia levar a consequências graves, no entanto, “graças ao fato de a empresa ter mudado para um sistema de controle de processo de produção de backup, nem a produção nem a preparação de petróleo foram interrompidas”. Um interlocutor do jornal Vedomosti, próximo a uma das estruturas da empresa, indica que todos os computadores da refinaria Bashneft, Bashneft-Dobyche e da gestão da Bashneft “reiniciaram de uma só vez, após o que baixaram o software desinstalado e exibiram uma tela inicial do vírus WannaCry. "

Na tela, os usuários eram solicitados a transferir US$ 300 em bitcoins para um endereço específico, após o qual os usuários supostamente receberiam uma chave para desbloquear seus computadores por e-mail. O vírus, a julgar pela descrição, criptografou todos os dados nos computadores dos usuários.

O Grupo-IB, que previne e investiga crimes cibernéticos e fraudes, identificou um vírus que afetou uma empresa petrolífera, disse a empresa à Forbes. Estamos falando do vírus de criptografia Petya, que atacou não apenas a Rosneft. Especialistas do Grupo-IB. descobriu que cerca de 80 empresas na Rússia e na Ucrânia foram atacadas: as redes da Bashneft, Rosneft, as empresas ucranianas Zaporozhyeoblenergo, Dneproenergo e o Dnieper Electric Power System, Mondelēz International, Oschadbank, Mars, Nova Poshta, Nivea, TESA e outras. O metrô de Kiev também foi alvo de um ataque de hackers. Computadores governamentais da Ucrânia, lojas Auchan, operadoras ucranianas (Kyivstar, LifeCell, UkrTeleCom) e PrivatBank foram atacados. O Aeroporto Boryspil também foi supostamente alvo de um ataque de hacker.

O vírus se espalha como querer chorar ou por meio de correspondências - funcionários da empresa abriram anexos maliciosos em e-mails. Como resultado, o computador da vítima foi bloqueado e a MFT (tabela de arquivos NTFS) foi criptografada com segurança, explica um representante do Grupo-IB. Ao mesmo tempo, o nome do programa ransomware não é indicado na tela de bloqueio, o que complica o processo de resposta à situação. Também é importante notar que Petya usa um algoritmo de criptografia forte e não tem a capacidade de criar uma ferramenta de descriptografia. O ransomware exige US$ 300 em bitcoins. As vítimas já começaram a transferir dinheiro para a carteira dos invasores.

Os especialistas do Grupo-IB estabeleceram que uma versão recentemente modificada do criptografador Petya, “PetrWrap”, foi usada pelo grupo Cobalt para ocultar vestígios de um ataque direcionado a instituições financeiras. O grupo criminoso Cobalt é conhecido por atacar com sucesso bancos em todo o mundo – Rússia, Grã-Bretanha, Holanda, Espanha, Roménia, Bielorrússia, Polónia, Estónia, Bulgária, Geórgia, Moldávia, Quirguizistão, Arménia, Taiwan e Malásia. Esta estrutura é especializada em ataques sem contato (lógicos) a caixas eletrônicos. Além dos sistemas de controle de caixas eletrônicos, os cibercriminosos estão tentando obter acesso a sistemas de transferências interbancárias (SWIFT), gateways de pagamento e processamento de cartões.

O principal alvo do ataque do vírus Petya, que recentemente infectou milhares de computadores em todo o mundo, foram os sistemas de computador e. Vários meios de comunicação estrangeiros chegaram a esta conclusão.

Segundo as publicações, o ataque hacker teve como objetivo destruir provas importantes que são críticas para o atual julgamento da Rosneft e da Bashneft, que pertence a um oligarca russo.

“Petya não é um vírus ransomware, mas um programa que destrói dados em computadores infectados. Parece que ele não deveria ser chamado de Petya, mas de Petrovich - em homenagem ao patronímico do chefe do Sistema AFK, Vladimir Petrovich Yevtushenkov”, escreve o Bostonmail.

A publicação observa que poucas horas após o ataque, a conceituada revista americana Fortune, citando as conclusões de analistas de informática, informou que a origem do ataque cibernético estava localizada na Ucrânia. O ataque foi lançado contra a empresa ucraniana Intellect-Service, que desenvolve software de contabilidade MeDoc. Entre os clientes do serviço Intellect está uma das maiores operadoras móveis da Ucrânia - a Vodafone. Até ao outono de 2015, a empresa que agora oferece os seus serviços sob o nome Vodafone chamava-se MTS Ucrânia. O proprietário de 100 por cento das ações da empresa é o grupo russo MTS, que é o ativo central do Sistema.

O ataque cibernético usando Petya foi lançado no momento em que o Tribunal de Arbitragem de Bashkortostan iniciou as audiências no caso da Rosneft contra o Sistema. Segundo a publicação, esta combinação de circunstâncias não pode ser chamada de mera coincidência.

Em parte, esse foi o motivo pelo qual o empresário está em estado de choque, acredita a publicação. “Não há dúvida de que ele estava disposto a ir até o fim para salvar sua reputação e fortuna”, segundo o Bostonmail. Pouco antes do ataque cibernético, o Tribunal de Arbitragem de Bashkortostan recebeu uma petição afirmando que a Rosneft estava abandonando a sua reclamação contra o Sistema porque as empresas tinham chegado a um acordo. O documento foi assinado por dois vice-presidentes da Rosneft. Posteriormente, foi determinado que era falso, mas ainda não está claro quem o enviou ao tribunal.

Um porta-voz da Rosneft disse logo após o ataque do vírus que o objetivo do crime cibernético era “matar” os computadores da Bashneft. Os computadores, acrescentou, continham uma grande quantidade de informações sobre as operações da Bashneft durante o período em que pertencia a outros proprietários.

Os danos colaterais que a Ucrânia e outros países sofreram não foram acidentais: foram necessários para encobrir o verdadeiro alvo do ataque, escreve o EU Repoter. Ao lançar o ataque especificamente na Ucrânia, os criminosos garantiram que, mesmo que os serviços ucranianos conseguissem descobrir algo, era improvável que partilhassem as suas descobertas com os seus colegas russos, uma vez que a Ucrânia não confia nas autoridades russas. “Acho que o ataque foi direcionado especificamente à Rosneft. “Não há outras explicações”, disse um jornalista russo à publicação.

Em apoio à sua teoria de que Yevtushenkov foi o patrocinador do ataque, ele defende o facto de o Sistema ser a maior holding de telecomunicações da Rússia, empregando os melhores profissionais de TI do país. Eles sabem como lidar com vírus e ataques de hackers – e, portanto, como organizá-los. Quem mais no espaço pós-soviético pode realizar um ataque hacker tão poderoso?

No final de Junho, o vírus Petya infectou sistemas informáticos na Ucrânia, Rússia, Itália, Israel, Sérvia, EUA e outros países. Os invasores bloquearam os computadores das vítimas e exigiram um resgate de US$ 300 em bitcoins por suas informações. Mais tarde, os especialistas descobriram que os hackers não planejavam restaurar o acesso aos dados criptografados, mas pretendiam destruí-los.