• 12 мая 2017, 19:43 Компьютерные системы МВД и «Мегафона» подверглись вирусной атаке

Внутреннюю компьютерную систему МВД Росии поразил вирус, передает «Варламов.ру» со ссылкой на несколько источников, знакомых с ситуацией.

Источник «Медиазоны» в МВД подтвердил факт заражения ведомственных компьютеров. По его данным, речь идет об управлениях в нескольких регионах.

Ранее информация о возможном заражении вирусом появилась на сайте «Пикабу » и форуме «Касперского ». По мнению некоторых пользователей, речь идет о вирусе WCry (также известном как WannaCry или WannaCryptor ) – он шифрует файлы пользователя, изменяет их расширение и требует купить специальный расшифровщик за биткоины; в противном случае файлы будут удалены.

По словам пользователей на форуме «Касперского», вирус впервые появился в феврале 2017 года, но «был обновлен и теперь выглядит иначе, чем предыдущие версии».

В пресс-службе «Касперского» не смогли оперативно прокомментировать инцидент, но пообещали выпустить заявление в ближайшее время.

Сотрудник компании Avast Якуб Кроустек сообщил в твиттере, что заражены по меньшей мере 36 тысяч компьютеров в России, на Украине и на Тайване.

На сайте Варламова отмечается, что также появилась информация о заражении компьютеров в государственных больницах в нескольких регионах Великобритании и атаке на испанскую телекоммуникационной компании Telefonica . В обоих случаях вирус также просит оплаты.

В компании отметили, что в марте в обновлении уже была представлена дополнительная защита от подобных вирусов.

«Пользователи нашего бесплатного антивируса и обновленной версии Windows защищены. Мы работаем с пользователями, чтобы предоставить дополнительную помощь», - добавили в компании.

Ранее «Лаборатория Касперского» «Медиазоне», что вирус WannaCrypt использует сетевую уязвимость Windows, закрытую специалистами Microsoft еще в марте.

МВД подтвердило хакерские атаки на свои компьютеры

Министерство внутренних дел подтвердило хакерские атаки на свои компьютеры, передает РИА «Новости».

По словам пресс-секретаря МВД Ирины Волк, департамент информационных технологий, связи и защиты информации министерства зафиксировал вирусную атаку на компьютеры МВД с операционной системой Windows.

«Благодаря своевременно принятым мерам было блокировано порядка тысячи зараженных компьютеров, что составляет менее 1%», - сказала Волк, добавив, что серверные ресурсы МВД не были заражены, поскольку работают на других операционных системах.

«В настоящий момент вирус локализован, проводятся технические работы по его уничтожению и обновлению средств антивирусной защиты», - рассказала пресс-секретарь министерства.

На биткоин-кошельки хакеров, распространивших вирус WannaCry, перевели более шести тысяч долларов

Хакерам, распространившим вирус-вымогатель WannaCry, перевели не менее 3,5 биткоина, пишет «Медуза». Согласно курсу 1740 долларов за один биткоин на 22:00 по московскому времени, эта сумма составляет 6090 долларов.

К такому выводу «Медуза» пришла на основании истории транзакций на биткоин-кошельки, на которые вирус требовал перечислить деньги. Адреса кошельков были опубликованы в отчете «Лаборатории Касперского».

На трех кошельках провели 20 транзакций за 12 мая. В основном, на них переводили по 0,16-0,17 биткоина, что равняется примерно 300 долларов. Такую сумму хакеры требовали заплатить во всплывавшем окне на зараженных компьютерах.

Avast насчитала 75 тысяч атак в 99 странах

IT-компания Avast сообщила, что вирусом WanaCrypt0r 2.0 заразили 75 тысяч компьютеров в 99 странах, сообщается на сайте организации.

В основном заражены компьютеры в России, на Украине и в Тайване.

13 часов назад в блоге специалиста в сфере компьютерной безопасности Брайана Кребса появилась запись о перечислении хакерам биткоинов на общую сумму в 26 тысяч долларов США.

Европол: вирусной атаке подверглись 200 тысяч компьютеров в 150 странах

Заражению вирусом WannaCry за три дня подверглись уже более 200 тысяч компьютеров в 150 государствах, сказал в интервью британскому телеканалу ITV директор европейской полицейской службы Европол Роб Уэйнрайт. Его слова цитирует Sky News .

«Распространение вируса по миру беспрецедентно. По последним оценкам, речь идет о 200 тысячах жертв по меньшей мере в 150 странах, и в числе этих жертв предприятия, в том числе крупные корпорации», - сказал Уэйнрайт.

Он предположил, что число зараженных компьютеров скорее всего существенно вырастет, когда в понедельник люди вернутся на работу к своим компьютерам. При этом Уэйнрайт отметил, что пока люди перевели «удивительно мало» денег распространителям вируса.

В Китае вирус атаковал компьютеры 29 тысяч учреждений

Вирус WannaCry атаковал компьютеры более 29 тысяч учреждений, счет пораженных компьютеров идет на сотни тысяч, приводит агентство «Синьхуа» данные центра оценки компьютерных угроз Qihoo 360 .

По данным исследователей, были атакованы компьютеры в более чем 4340 университетах и прочих образовательных учреждениях. Также заражения отмечались на компьютерах железнодорожных станций, почтовых организаций, больниц, торговых центров и государственных учреждений.

«Для нас никакого существенного ущерба не было, для наших учреждений - ни для банковских, ни для системы здравоохранения, ни для других», - сказал он.

«Что касается источника этих угроз, то, по-моему, руководство Microsoft прямо об этом заявило, сказали о том, что первичным источником этого вируса являются спецслужбы Соединенных Штатов, Россия здесь совершенно не при чем. Мне странно слышать в этих условиях что-то другое», - добавил президент.

Путин также призвал обсудить проблему кибербезопасности «на серьезном политическом уровне» с другими странами. Он подчеркнул, что необходимо «выработать систему защиты от подобных проявлений».

У вируса WannaCry появились клоны

У вируса WannaCry появились две модификации, пишут «Ведомости» со ссылкой на «Лабораторию Касперского». В компании считают, что оба клона создали не авторы оригинального вируса-вымогателя, а другие хакеры, которые пытаются воспользоваться ситуацией.

Первая модификация вируса стала распространяться утром 14 мая. «Лаборатория Касперского» обнаружила три зараженных компьютера в России и Бразилии. Второй же клон научился обходить кусок кода, с помощью которого остановили первую волну заражений, отметили в компании.

О клонах вируса также пишет Bloomberg . Основатель компании Comae Technologies , занимающейся кибербезопасностью, Мэтт Сюиш рассказал, что около 10 тысяч компьютеров были заражены второй модификацией вируса.

По оценке «Лаборатории Касперского», сегодня было заражено в шесть раз меньше компьютеров, чем в пятницу, 12 мая.

Вирус WannaCry могла создать северокорейская группа хакеров Lazarus

Вирус-вымогатель WannaCry могли создать хакеры из северокорейской группировки Lazarus, сообщается на специализированном сайте «Лаборатории Касперского».

Специалисты компании обратили внимание на твит аналитика Google Нила Мехта. Как заключили в «Лаборатории Касперского», сообщение указывает на сходство между двумя образцами - они имеют общий код. В твите представлен криптографической образец WannaCry от февраля 2017 года и образец группы Lazarus от февраля 2015 года.

«Детектив закручивается все сильней и теперь один и тот же код обнаружен в #WannaCry и в троянцах от Lazarus », -

МОСКВА, 19 мая - ПРАЙМ, Наталья Карнова. В пятницу абоненты сотового оператора "Мегафон" столкнулись с проблемами со связью в целом ряде регионов. Компания уточнила, что неполадки с голосовой связью наблюдаются в Москве и нескольких других городах, "снижение успешности дозвона" составляет 30%. При этом мобильный интернет работает в обычном режиме, звонки возможны через мессенджеры. Восстановительные работы оператор планирует завершить в ближайшие часы.

Вслед за "Мегафоном" о неполадках в своих сетях сообщили операторы "Билайн" и Yota. Позже в "Билайн" сообщили, что проблемы были только с одной станцией, и они уже устранены. Сети МТС и Tele2 на момент написания статьи работали в штатном режиме.

Домыслов пока больше, нежели информации о реальном развитии событий - пожалуй, наиболее четкая картина сейчас у тех, кто находится внутри компании, рассуждает гендиректор агентства Telecom Daily Денис Кусков. "Можно констатировать лишь, что проблемы не в аппаратном обеспечении базовых станций. Если какой-то канал выходит из строя, его можно заменить на резервное оборудование. Похоже, что речь идет о программном сбое - на это указывает то, что проблемы фиксируются в разных регионах", - отметил он в беседе с агентством "Прайм".

По словам эксперта, причины такого сбоя могут быть как внутренние, так и внешние - воздействие извне или вирусная атака. "Хакеры забирались даже в Пентагон, что уж говорить об операторской сети, которая наверняка защищена не настолько хорошо. От этого никто не застрахован, особенно в наше время, когда мир становится все беззащитнее перед компьютерными атаками", - отметил он.

СЛЕД WANNA CRY

В сообщении "Мегафона" говорится, что сбой в сети не связан с вирусной атакой WannaCry, авария произошла на одном из элементов сетевого оборудования. При этом масштабная кибератака с вредоносной программой по всему миру затронула сети "Мегафона" 15 мая. Тогда компания отчиталась, что завершила ликвидацию последствий вирусной атаки.

"Мы уже видели, что в течение суток в ряде регионах не работала система выдачи водительских прав. Никто не исключает, что ее мог поразить вирус. Подобные атаки обычно идут веером, и могут дать или не дать результат в зависимости от того, как была настроена волна вируса", - отмечает в этой связи Кусков.

Злоумышленники используют WannaCry для шифрования файлов с целью вымогательства денег за восстановление зашифрованных данных. Ранее директор Европола Роб Уэйнрайт заявил, что масштабная кибератака по всему миру с 12 мая затронула более 200 тысяч пользователей в 150 странах. Разработчики антивируса Avast сообщали о 57 тысячах хакерских атак с использованием вируса WanaCrypt0r 2.0. По данным компании, в первую очередь вирус распространяется в России, на Украине и Тайване. В "Лаборатории Касперского" сообщали о 45 тысячах попыток хакерских атак в 74 странах по всему миру в пятницу, наибольшее число попыток заражений наблюдалось в России.

В пятницу пресс-служба Банка России сообщила о выявлении единичных случаев компрометации ресурсов кредитных организаций при помощи вируса WannaCry, последствия которых удалось быстро устранить. Банк России еще в апреле разослал банкам информацию о методах выявления рассылаемого по почте вредоносного программного обеспечения типа "шифровальщик" и противодействия ему. В частности, банки получили рекомендации по установке пакетов обновлений безопасности для Windows, которые способны противостоять вирусу WannaCry.

БЕЗ ЗНАЧИМЫХ ПОСЛЕДСТВИЙ

Социальные и стратегические объекты не пострадали от проблем "Мегафона", хотя первоначально появилась информация о том, что сбой в работе телефонов и сети интернет затронул Федеральную антимонопольную службу. Позже стало известно, что сбой произошел из-за отключения электричества в здании ведомств и не связан с проблемами "Мегафона". Данные службы не пострадали.

Никак не отразились неполадки "Мегафона" и на системе управления и связи МЧС РФ. Ведомственная цифровая сеть связи и управления с интеграцией различных услуг работает устойчиво в штатном режиме, сообщили в ведомстве. По словам представителя МЧС, параллельно с основной системой в штатном режиме работают и резервные системы управления и связи. Таким образом, неполадки в сети "Мегафон" не повлияли на работоспособность и функционирование министерства. "Неудобства почувствовали только сотрудники МЧС, являющиеся абонентами сотовой сети "Мегафон", — заключили в МЧС.

Что касается возможных последствий для стратегических объектов, то пока можно с уверенностью предположить лишь то, что кто-то из сотрудников Минобороны остался без сотовой связи, согласен Кусков. Что касается самих секретных объектов, то там используются другие варианты связи и защиты данных, и вряд ли неполадки с сотовой связью будут критичными. Однако в перспективе никто не сможет дать 100- и даже 50-процентной гарантии, что очередная поломка ограничится лишь сотовой связью и не затронет социальные объекты вроде Пенсионного фонда, добавил он.

Исследователь информационной безопасности под ником w0rm объявил о том, что им была успешно проведена хакерская атака на российского оператора мобильной связи «Мегафон». Как утверждает хакер, им был получен доступ к файловой системе нескольких сайтов оператора. Помимо этого, в распоряжении взломщика оказались служебные данные сотрудников компании.

По словам хакера, у него была возможность заполучить доступ и к данным клиентов «Мегафона», но он не стал этого делать, руководствуясь этическими соображениями. Хакером в качестве доказательства представлено несколько скриншотов, которые показывают файловую структуру одного из взломанных сайтов и панель управления доменным именем megafon.mobi.

Взломщик утверждает, что он изменил пароль для входа в свой личный кабинет. В ходе смены пароля выяснилось, что пароль состоит лишь из 6 цифр, а сменить можно только на такой же шестизначный цифровой пароль. Таким образом, пароль, состоящий из 6 цифр, может быть достаточно легко подобран при отсутствии механизмов блокировки от брут-форса. Роль такого механизма на сайте «Мегафона» выполняет каптча.

Эта защита была преодолена с помощью устаревшего виджета «Яндекса», в котором не нужно вводить каптчу. Как сообщил взломщик, достаточно 20-30 минут для того, чтобы, подобрав пароль, получить доступ к произвольному личному кабинету по телефонному номеру абонента и изучить детализацию звонков, SMS, ФИО и данные о платежах.

Такой крупный успех побудил хакера провести аудит некоторых других доменов, которые принадлежат компании. В итоге он смог получить архив с резервной копией системы управления проектами Jira от начала 2015 года. Воспользовавшись учетными данными сотрудников «Мегафона», которые содержались в архиве, хакером был получен доступ к корпоративной почте и некоторым служебным ресурсам.

Представители «Мегафона» заявляют, что никаких фактов успешного проникновения в систему обнаружено не было. Сейчас компания осуществляет дополнительные проверки по фактам сообщений в социальных сетях.

В мае текущего года w0rm уже провел успешную атаку на развлекательный сайт «Спрашивай.ру». Тогда исследователем в общий доступ был размещен архив с паролями пользователей сервиса. До того он осуществил успешные атаки сайтов зарубежных средств массовой информации, таких как The Wall Street Journal и Vice.

UPD (15.05.2017): Компания «Мегафон» стала жертвой нового инцидента, связанного с информационной безопасностью. Российский сотовый оператор наряду с десятками компаний и организаций по всему миру стал жертвой активности шифровальщика Wannacry .

Подробности можно узнать в новом от SecureNews.

Помимо телекоммуникационных компаний, жертвами атак хакеров, по словам источников РБК, а также «Газеты.Ru» и «Медиазоны», стали силовые ведомства России — МВД и Следственный комитет.

Собеседник РБК в МВД рассказал об атаке на внутренние сети ведомства. По его словам, атаке подверглись в основном региональные управления министерства. ​Он уточнил, что вирус поразил компьютеры как минимум в трех областях европейской части России. Источник добавил, что на работе МВД эта атака не должна отразиться. Другой собеседник РБК в министерстве рассказал, что хакеры могли получить доступ к базам МВД, но неизвестно, успели ли они скачать оттуда информацию. Атака на МВД затронула только те компьютеры, на которых давно не обновлялась операционная система, рассказал собеседник в ведомстве. Работа министерства не парализована хакерами, но сильно затруднена.

В Германии хакеры сервисы компании Deutsche Bahn, которая является основным железнодорожным оператором страны. Об этом сообщил телеканал ZDF со ссылкой на МВД страны.

Министерство национальной безопасности США партнерам техническую поддержку и помощь в борьбе с «программой-вымогателем» WannaCry.

Что за вирус?

Согласно сообщению «Лаборатории Касперского» , вирус, о котором идет речь, — программа-шифровальщик WannaCry. «Как показал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010. Затем на зараженную систему устанавливался руткит, используя который, злоумышленники запускали программу-шифровальщик», — рассказали в компании.

«Все решения «Лаборатории Касперского» детектируют данный руткит как MEM: Trojan.Win64.EquationDrug.gen. Также наши решения детектируют программы-шифровальщики, которые использовались в этой атаке, следующими вердиктами: Trojan-Ransom.Win32.Scatter.uf, Trojan-Ransom.Win32.Fury.fr, PDM: Trojan.Win32.Generic (для детектирования данного зловреда компонент System Watcher должен быть включен)», — отметили в компании.

Для снижения рисков заражения специалисты «Лаборатории Касперского» советуют пользователям установить официальный патч от Microsoft, который закрывает используемую в атаке уязвимость, а для предупреждения подобных инцидентов использовать сервисы информирования об угрозах, чтобы своевременно получать данные о наиболее опасных атаках и возможных заражениях.

Хакерскую атаку прокомментировали и в Microsoft . «Сегодня наши специалисты добавили обнаружение и защиту от новой вредоносной программы, известной как Ransom: Win32.WannaCrypt. В марте мы также представили дополнительную защиту от вредоносного ПО подобного характера вместе с обновлением безопасности, которое предотвращает распространение вредоносного ПО по сети. Пользователи нашего бесплатного антивируса и обновленной версии Windows защищены. Мы работаем с пользователями, чтобы предоставить дополнительную помощь», — говорится в заявлении представителя Microsoft в России, поступившем в РБК.

Представитель Solar Security заявил РБК, что компания видит атаку и в настоящий момент исследует образец вируса. «Сейчас мы не готовы делиться деталями, но зловред явно написан профессионалами. Пока нельзя исключать, что он представляет собой нечто более опасное, чем шифровальщик. Уже очевидно, что скорость его распространения беспрецедентно высокая», — сказал собеседник. По его словам, ущерб от вируса «огромен», он задел крупные организации в 40 странах мира, но точную оценку пока дать невозможно, поскольку возможности зловреда еще не до конца изучены и атака сейчас находится в развитии.

Генеральный директор Group-IB Илья Сачков рассказал РБК, что программы-шифровальщики, аналогичные той, что использовалась при нынешней атаке, — это нарастающий тренд. В 2016 году количество таких атак увеличилось более чем в сто раз по сравнению с предыдущим годом, уточнил он.

Сачков отметил, что, как правило, заражение устройства в таком случае происходит через электронную почту. Говоря о WannaCry, эксперт отметил, что у этой программы-шифровальщика есть две особенности. «Во-первых, она использует эксплоит ETERNALBLUE, который был выложен в открытый доступ хакерами Shadow Brokers. Патч, закрывающий эту уязвимость, для ОС Windows Vista и старше, стал доступен 9 марта в составе бюллетеня MS17-010. При этом патча для старых ОС вроде Windows XP и Windows server 2003 не будет, так как они выведены из-под поддержки», — рассказал он.

«Во-вторых, помимо шифрования файлов она осуществляет сканирование интернета на предмет уязвимых хостов. То есть, если зараженный компьютер попал в какую-то другую сеть, вредоносное ПО распространится и в ней тоже, — отсюда и лавинообразный характер заражений», — добавил Сачков.

Защиту от подобных атак, по словам Сачкова, можно обеспечить, используя решения класса «песочница», которые устанавливаются в сеть организации и проверяют все файлы, приходящие на почту сотрудникам или скачиваемые ими из интернета. Кроме того, напомнил эксперт, важно проводить с сотрудниками разъяснительные беседы об основах «цифровой гигиены» — не устанавливать программы из непроверенных источников, не вставлять в компьютер неизвестные флэшки и не переходить по сомнительным ссылкам, а также вовремя обновлять ПО и не использовать ОС, которые не поддерживаются производителем.

Кто виноват

Кто стоит за масштабной кибератакой, пока не ясно. Экс-сотрудник АНБ Эдвард Сноуден , что при глобальной хакерской атаке, случившейся 12 мая, мог быть использован вирус, разработанный АНБ. О такой возможности ранее заявил WikiLeaks.

В свою очередь власти Румынии , что за попыткой атаки может стоять организация, «связанная с группировкой киберпреступности APT28/Fancy Bear», которую традиционно причисляют к «русским хакерам».

The Telegraph предполагает , что за атакой может стоять группировка Shadow Brokers, связанная с Россией. Они связывают это с заявлениями хакеров, прозвучавшими в апреле, что они якобы украли «кибер​оружие» разведывательного сообщества США, что дает им доступ ко всем компьютерам с ОС Windows.