Rosneft sunucularına virüs saldırısı. Rosneft, sunucularına güçlü bir hacker saldırısı bildirdi. Dünyadaki dağıtım

”, “Bashneft-dobycha” ve “Bashneft”) yönetimine bir şifreleme virüsü bulaştı, Bashneft'e yakın iki kaynak Vedomosti'ye söyledi. Fidye yazılımı, kullanıcıları tüm dosyalarına virüs bulaştığı ve kendi kendini kurtarma girişimlerinin faydasız olduğu konusunda uyardı. Kriptograf, erişimin kilidini açma karşılığında 300 dolarlık bitcoin kripto para birimini transfer etmeyi teklif ediyor.

Rosneft, Twitter hesabında şirketin sunucularına güçlü bir hacker saldırısı yapıldığını duyurdu. Rosneft temsilcisi, Vedomosti'ye bu mesajın Bashneft'e yapılan saldırıya atıfta bulunup bulunmadığını belirtmedi. Şirket daha sonra "yanlış panik mesajları yayanların hacker saldırısını organize edenlerin suç ortağı olarak kabul edileceğini ve onlardan hesap sorulacağını" söyledi.

Bashneft çalışanlarından biri, isminin açıklanmaması koşuluyla Vedomosti'ye saldırı hakkında şunları söyledi: “Virüs ilk önce portala, dahili Skype for business messenger'a, MS Exchange'e erişimi engelledi, hiçbir önem vermediler, düşündüler bu yalnızca bir ağ hatasıydı, ardından bilgisayar bir hatayla yeniden başlatıldı. Sabit sürücü "öldü", bir sonraki yeniden başlatma zaten kırmızı bir ekran gösterdi. Ona göre, tüm çalışanlara bilgisayarlarını kapatmaları emredildi.

Ancak bir Rosneft temsilcisi, şirketin bir yedekleme proses kontrol sistemine geçmesi ve ne üretimin ne de petrol arıtımının durdurulmaması nedeniyle bir hacker saldırısının ciddi sonuçlara yol açabileceğini söyledi.

Bashneft çalışanlarının izniyle

Cybersecurity telgraf kanalının yazarı Alexander Litreev, Bashneft'e ek olarak diğer büyük şirketlerin de saldırıya uğradığını söylüyor. Ona göre, Mondelēz International, Oschadbank, Mars, New Post, Nivea, TESA ve diğerleri tarafından kendisine benzer sorunlar bildirildi.

Şimdi iyi bilinen WannaCry virüsünden bahsetmiyoruz, ancak davranışına benzer kötü niyetli bir programdan bahsediyoruz, dedi Litreev. Ona göre virüs, iyi bilinen Petya.A virüsünün bir modifikasyonu, sabit diske bulaşıyor ve e-postalardaki bağlantılar aracılığıyla yayılıyor. Birisi bir bağlantıya tıkladığı anda, enfeksiyon işletmenin iç ağı üzerinden yayılıyor, diye açıklıyor.

Group-IB adli laboratuvarına göre 80'den fazla Rus ve Ukraynalı şirket Petya.A virüs saldırısının kurbanı oldu. Group-IB, virüsün yayılmasını durdurmak için 1024-1035, 135 ve 445 numaralı TCP portlarının kapatılması gerektiğini vurguladı. Laboratuvar başkanı Valery Baulin de RNS ile yaptığı bir konuşmada saldırının WannaCry ile hiçbir ilgisi olmadığını vurguladı.

“Siber saldırının kurbanları arasında Bashneft, Rosneft, Ukraynalı şirketler Zaporozhyeoblenergo, Dneproenergo ve Dnipro Electric Power System, Mondelēz International, Oschadbank, Mars, Novaya Pochta, Nivea, TESA ve diğerleri de virüs saldırısı tarafından engellendi. . Group-IB, Kiev metrosunun da bir hacker saldırısına maruz kaldığını belirtti. Virüs ayrıca Ukrayna hükümetinin, ülkenin operatörlerinin (Kyivstar, LifeCell, Ukrtelecom) ve Privatbank'ın bilgisayarlarına da girdi. Laboratuvar, "Borispol Havalimanı'nın da saldırıya uğradığına inanılıyor" dedi.

Fidye yazılımı virüsü, Rusya ve Ukrayna'daki bilgisayarlara ve onlarca şirkete saldırdı, devlet yapılarının çalışmalarını felç etti ve dünyaya yayılmaya başladı.

Rusya'da Bashneft ve Rosneft, Mayıs ayında dünyanın dört bir yanındaki bilgisayarları vuran WannaCry fidye yazılımının bir klonu olan Petya virüsünün kurbanı oldular.

Şirketten bir kaynak Vedomosti'ye verdiği demeçte, Bashneft'teki tüm bilgisayarlara virüs bulaştı. Virüs dosyaları şifreler ve bitcoin cüzdanı başına 300 $ fidye talep eder.

"Virüs önce portala, dahili Skype for Business messenger'a, MS Exchange'e erişimi engelledi, bunun yalnızca bir ağ hatası olduğunu düşündüler, ardından bilgisayar bir hatayla yeniden başladı. Sabit sürücü öldü, sonraki yeniden başlatma zaten bir hata gösterdi. kırmızı ekran," dedi kaynak.

Neredeyse aynı anda, Rosneft sunucularına "güçlü bir hacker saldırısı" duyurdu. Şirket sözcüsü Mikhail Leontiev TASS'a verdiği demeçte, BT sistemleri ve üretim yönetimi bekleme kapasitelerine aktarıldı, şirket her zamanki gibi çalışıyor ve "yanlış ve panik mesajların yayıcıları, hacker saldırısının organizatörleriyle birlikte sorumlu tutulacak" dedi.

Rosneft ve Bashneft'in web siteleri çalışmıyor.

Saldırı Moskova saatiyle 14.00 civarında kaydedildi, kurbanları arasında şu anda 80 şirket var. Siber suçların önlenmesi ve soruşturulmasıyla uğraşan Group-IB, petrol şirketlerine ek olarak Mars, Nivea ve Mondelez International (Alpen Gold çikolata üreticisi) temsilciliklerinin de etkilendiğini söyledi.

Metalürji şirketi Evraz ve Home Credit bankası da kaynaklarına yönelik bir saldırı olduğunu bildirdi.

Ukrayna'da virüs hükümet bilgisayarlarına, Auchan mağazalarına, Privatbank, Kyivstar, LifeCell ve Ukrtelecom telekom operatörlerine saldırdı.

Boryspil Havalimanı, Kiev Metrosu, Zaporizhzhyaoblenergo, Dniproenergo ve Dnipro Elektrik Güç Sistemi saldırı altındaydı.

Devlet Dışlama Bölgesi Yönetimi Ajansı'nın basın servisinde Interfax'a, bir siber saldırı ve Windows sisteminin geçici olarak kapanması nedeniyle Çernobil nükleer santralinin endüstriyel sitenin manuel radyasyon izlemesine geçtiği söylendi.

Kaspersky Lab'ın uluslararası araştırma bölümü başkanı Costin Rayu, Twitter hesabından yaptığı açıklamada, fidye yazılımı virüsünün dünya çapında çok sayıda ülkeyi etkilediğini söyledi.

18.05 Moskova saatinde, Danimarkalı nakliye şirketi A.P. sunucularına bir saldırı olduğunu duyurdu. Moller Maersk. Reuters, İsviçre hükümetinin Bilgi Teknolojileri Ajansı'na atıfta bulunarak, Rusya ve Ukrayna'ya ek olarak İngiltere, Hindistan ve İspanya'daki kullanıcıların da etkilendiğini bildirdi.

Ona göre, bu yıl 18 Haziran'da ortaya çıkan virüsün yeni versiyonu, sahte bir Microsoft dijital imzasına sahip.

18.05 Moskova saatinde, Danimarkalı nakliye şirketi A.P. sunucularına bir saldırı bildirdi. Moller Maersk. InfoWatch CEO'su Natalia Kasperskaya, TASS'a şifreleme virüsünün kendisinin bir yıldan fazla bir süre önce ortaya çıktığını açıkladı. Esas olarak kimlik avı mesajları aracılığıyla dağıtılır ve önceden bilinen bir kötü amaçlı yazılımın değiştirilmiş bir sürümüdür. "Yönetici haklarına sahip başka bir Misha fidye yazılımı virüsüyle birlikte çalıştı. Geliştirilmiş bir sürümdü, bir yedek fidye yazılımıydı" dedi.

Kaspersky'ye göre, virüsteki güvenlik açığı nedeniyle WannaCry fidye yazılımının Mayıs saldırısının hızlı bir şekilde üstesinden gelmek mümkün oldu. "Bir virüs böyle bir güvenlik açığı içermiyorsa, onunla savaşmak zordur" diye ekledi.

12 Mayıs 2017'de 150 ülkede 200.000'den fazla bilgisayara bulaşan WannaCry fidye yazılımı virüsünü kullanan büyük ölçekli bir siber saldırı gerçekleşti.

WannaCry, kullanıcının dosyalarını şifreler ve şifrelerini çözmek için 300$'a eşdeğer bitcoin ödemesi gerektirir.

Siber suçları araştıran Group-IB şirketinin basın servisi, RBC'ye, Petya şifreleme virüsünü kullanan bir dizi şirkete yönelik bir hacker saldırısının, WannaCry kötü amaçlı yazılımı kullanılarak Mayıs ortasında meydana gelen saldırıya "çok benzer" olduğunu söyledi. Petya bilgisayarları bloke eder ve karşılığında 300 dolar bitcoin talep eder.

“Saldırı saat 14.00 sıralarında gerçekleşti. Fotoğraflara bakılırsa, bu bir Petya kripto kilitleyici. Group-IB basın servisi, yerel ağdaki dağıtım yöntemi WannaCry virüsüne benzer ”diyor.

Aynı zamanda, deniz projelerinde yer alan Rosneft'in "kızlarından" birinin çalışanı, bilgisayarların kapatılmadığını, kırmızı metinli ekranların göründüğünü, ancak tüm çalışanların olmadığını söylüyor. Buna rağmen şirket çöktü, iş durduruldu. Muhataplar, Ufa'daki Bashneft ofisinde tüm elektriğin tamamen kapatıldığını da belirtiyorlar.

Moskova saatiyle 15:40 itibariyle, Rosneft ve Bashneft'in resmi web siteleri kullanılamıyor. Bir yanıtın olmaması gerçeği, sunucunun durumunu kontrol etme kaynakları üzerinde doğrulanabilir. Rosneft'in en büyük yan kuruluşu Yuganskneftegaz'ın sitesi de çalışmıyor.

Şirket daha sonra Twitter hesabından hacker saldırısının "ciddi sonuçlara" yol açabileceğini yazdı. Şirket, buna rağmen yedek kontrol sistemine geçiş nedeniyle üretim süreçleri, üretim, yağ hazırlamanın durdurulmadığını açıkladı.

Şu anda, Başkurdistan Tahkim Mahkemesi, Rosneft ve Bashneft'in AFK Sistema ve Sistema-Invest aleyhine, petrol şirketine göre 170,6 milyar ruble kurtarma talebini değerlendirdiği bir toplantıyı tamamladı. 2014 yılında yeniden yapılanma sonucunda oluşan kayıplar.

AFK Sistema temsilcisi, tarafların tüm dilekçeleri tanımaları için mahkemeden bir sonraki toplantıyı bir ay ertelemesini istedi. Hakim bir sonraki toplantıyı iki hafta sonra atadı - 12 Temmuz'da, AFC'nin birçok temsilcisi olduğunu ve bu süre içinde başa çıkacaklarını belirtti.

Rosneft şirketi, sunucularına yapılan güçlü bir hacker saldırısından şikayet etti. Şirket bunu kendi sitesinde duyurdu. heyecan. “Şirketin sunucularına güçlü bir hacker saldırısı gerçekleştirildi. Bunun mevcut adli prosedürlerle ilgisi olmadığını umuyoruz ”dedi.

“Aslında siber saldırı, şirket kolluk kuvvetlerine başvurdu” diyor mesajda. Şirket, bir hacker saldırısının ciddi sonuçlara yol açabileceğini vurguladı, ancak "şirketin bir yedekleme proses kontrol sistemine geçmesi nedeniyle ne üretim ne de petrol hazırlığı durduruldu." Şirketin yapılarından birine yakın olan Vedomosti gazetesinin bir muhatabı, Bashneft rafinerisi, Bashneft-Dobycha ve Bashneft yönetimindeki tüm bilgisayarların "bir kerede yeniden başlatıldığını, ardından kaldırılan yazılımı indirdiklerini ve virüs açılış ekranını WannaCry görüntülediklerini belirtti.

Ekranda, kullanıcılardan belirtilen adrese 300 dolarlık bitcoin aktarmaları istendi, ardından kullanıcılara e-posta ile bilgisayarların kilidini açmak için bir anahtar gönderileceği söylendi. Açıklamaya göre virüs, kullanıcı bilgisayarlarındaki tüm verileri şifreledi.

Şirket, Forbes'a verdiği demeçte, siber suçları ve dolandırıcılığı önlemeye ve araştırmaya odaklanan Group-IB'nin bir petrol şirketine isabet eden bir virüs tespit ettiğini söyledi. Sadece Rosneft'e saldırmayan Petya şifreleme virüsünden bahsediyoruz. Grup-IB uzmanları. Rusya ve Ukrayna'da yaklaşık 80 şirketin saldırıya uğradığını öğrendi: Bashneft, Rosneft, Ukraynalı şirketler Zaporozhyeoblenergo, Dneproenergo ve Dinyeper Electric Power System, Mondelēz International, Oschadbank, Mars, New Post, Nivea, TESA ve diğerleri. Kiev metrosu da bir hacker saldırısına maruz kaldı. Ukrayna devlet bilgisayarları, Auchan mağazaları, Ukraynalı operatörler (Kyivstar, LifeCell, UkrTeleCom), PrivatBank saldırıya uğradı. Boryspil Havalimanı'nın da saldırıya uğradığına inanılıyor.

Virüs özenerek veya e-posta listesi yoluyla yayılıyor - şirket çalışanları e-postalarda kötü niyetli ekler açtı. Sonuç olarak, bir Group-IB temsilcisi, kurbanın bilgisayarının bloke edildiğini ve MFT'nin (NTFS dosya tablosu) güvenli bir şekilde şifrelendiğini açıklıyor. Aynı zamanda, şifreleyici programın adı kilit ekranında gösterilmez, bu da duruma yanıt verme sürecini zorlaştırır. Petya'nın güçlü bir şifreleme algoritması kullandığını ve şifre çözme aracı oluşturmanın bir yolu olmadığını da belirtmekte fayda var. Fidye yazılımı 300 dolarlık bitcoin talep ediyor. Kurbanlar, saldırganların cüzdanlarına para aktarmaya başladı bile.

Group-IB uzmanları, Petya fidye yazılımının yakın zamanda değiştirilmiş bir sürümünün, PetrWrap'in, Cobalt grubu tarafından finansal kurumlara yönelik hedefli bir saldırının izlerini gizlemek için kullanıldığını belirledi. Kobalt suç grubu, Rusya, Büyük Britanya, Hollanda, İspanya, Romanya, Beyaz Rusya, Polonya, Estonya, Bulgaristan, Gürcistan, Moldova, Kırgızistan, Ermenistan, Tayvan ve Malezya gibi dünyanın dört bir yanındaki bankalara başarıyla saldırdığı biliniyor. Bu yapı, ATM'lere temassız (mantıksal) saldırılar konusunda uzmanlaşmıştır. ATM yönetim sistemlerine ek olarak, siber suçlular bankalararası transfer sistemlerine (SWIFT), ödeme ağ geçitlerine ve kart işlemeye erişim sağlamaya çalışıyor.

Son dönemde dünya çapında binlerce bilgisayara bulaşan Petya virüs saldırısının ana hedefi bilgisayar sistemleri ve oldu. Bir dizi yabancı medya bu sonuca vardı.

Yayınlara göre, hacker saldırısı, bir Rus oligarkına ait olan Rosneft ve Bashneft'in şu anki davası için kritik önem taşıyan önemli kanıtları yok etmeyi amaçlıyordu.

“Petya bir fidye yazılımı virüsü değil, virüslü bilgisayarlardaki verileri yok eden bir programdır. Görünüşe göre Petya olarak adlandırılmamalı, Petrovich - AFK Sistema başkanı Vladimir Petrovich Yevtushenkov'un himayesinden sonra ”diyor Bostonmail.

Yayın, saldırıdan birkaç saat sonra, bilgisayar analistlerinin sonuçlarına atıfta bulunan yetkili American Fortune dergisinin, siber saldırının kaynağının Ukrayna'da bulunduğunu bildirdiğini belirtiyor. Saldırı, MeDoc muhasebe yazılımı geliştiren Ukraynalı Intellect-Service şirketi tarafından başlatıldı. Intellect-Service müşterileri arasında Ukrayna'daki en büyük mobil operatörlerden biri - Vodafone. 2015 sonbaharına kadar Vodafone adı altında hizmet veren şirketin adı MTS Ukraine idi. Şirketin hisselerinin yüzde 100'ünün sahibi, Sistema'nın merkezi varlığı olan Rus grubu MTS'dir.

Petya'yı kullanan siber saldırı, Rosneft'in Sistema aleyhindeki davasında Başkurdistan Tahkim Mahkemesi'nin duruşmalara başladığı anda başlatıldı. Yayına göre, böyle bir durum kombinasyonuna sadece tesadüf denemez.

Yayın, işadamının şok durumunda olmasının kısmen nedeninin bu olduğuna inanıyor. Bostonmail'e göre, "Şüphesiz itibarını ve servetini kurtarmak için sonuna kadar gitmeye hazırdı". Siber saldırıdan kısa bir süre önce Başkurdistan Tahkim Mahkemesi, Rosneft'in Sistema'ya açtığı davayı şirketlerin anlaşmaya varması nedeniyle düşürdüğünü belirten bir önerge aldı. Belge, Rosneft'in iki başkan yardımcısı tarafından imzalandı. Daha sonra sahte olduğu tespit edildi, ancak mahkemeye kimin gönderdiği hala belli değil.

Virüs saldırısından kısa bir süre sonra bir Rosneft sözcüsü, siber suçun amacının Bashneft'in bilgisayarlarını "öldürmek" olduğunu belirtti. Bilgisayarların, Bashneft'in diğer sahiplere ait olduğu dönemdeki faaliyetleri hakkında büyük miktarda bilgi içerdiğini de sözlerine ekledi.

EU Repoter, Ukrayna ve diğer ülkelerin uğradığı tali hasar tesadüfi değil: saldırının gerçek hedefini karşılamak için gerekliydi, diye yazıyor. Suçlular, saldırıyı özel olarak Ukrayna'da başlatarak, Ukrayna servisleri bir şey öğrenebilse bile, Ukrayna Rus makamlarına güvenmediğinden bulgularını Rus meslektaşlarıyla paylaşmalarının olası olmadığını garanti etti. "Saldırının özellikle Rosneft'i hedef aldığını düşünüyorum. Bir Rus gazeteci yayına "Başka bir açıklama yok" dedi.

Yevtushenkov'un saldırının sponsoru olduğu teorisini desteklemek için, Sistema'nın Rusya'nın en büyük telekomünikasyon holdingi olduğu ve ülkenin en iyi BT uzmanlarını istihdam ettiği gerçeğini öne sürüyor. Virüsleri ve hack'leri nasıl ele alacaklarını ve dolayısıyla onları nasıl organize edeceklerini biliyorlar. Sovyet sonrası alanda başka kim böylesine güçlü bir hacker saldırısı düzenleyebilir?

Haziran sonunda Petya virüs bilgisayar sistemleri Ukrayna, Rusya, İtalya, İsrail, Sırbistan, Amerika Birleşik Devletleri ve diğer ülkelerde. Saldırganlar kurbanların bilgisayarlarını bloke etti ve onlar hakkında 300 dolarlık bitcoin değerinde bilgi için fidye talep etti. Daha sonra uzmanlar, bilgisayar korsanlarının şifrelenmiş verilere erişimi yeniden sağlamayı planlamadıklarını, ancak onları yok etmeyi amaçladıklarını öğrendi.