Вирус Petya.A — как это было

27 июня 2017 года можно смело назвать “черным кибер-вторником” в истории Украины. В этот день началась атака вируса Petya.A, затронувшая практически все сферы жизнедеятельности страны: связь, энергетику, банки, СМИ, транспорт.

Petya ransomware — далеко не первое испытание на прочность инфраструктуры Украины. Попытка нападения была предпринята, минимум, в третий раз. Первые две атаки были не столь масштабными, но очень неприятными: в конце 2015-го поражение вирусом Black Energy объектов “Укрэнерго” привело к отключению электричества в некоторых районах. А ровно через год, в декабре 2016-го — наряду с повторно пострадавшей “Укрэнерго” под ударом оказались некоторые коммерческие банки и Министерство финансов.

Но такого, как в этот раз, еще не случалось.

Что это было

Первоначально “Петя” позиционировался как вирус, который шифрует файлы и впоследствии требует выкуп. Хакеры обещали ключ для разблокировки тем пострадавшим, которые пришлют эквивалент 300 долларов в биткоинах на их электронный кошелек. Однако, перечислившие деньги никакого кода не получили, а расшифровка данных так и осталась невозможной.

Некоторые специалисты, анализировавшие стратегию действий хакеров, отмечают, что вирусы шифровальшики так не работают, а получение выкупа отнюдь не являлось целью организаторов атаки. Чем дальше, тем больше крепнет мнение, что вирус Petya.A лишь маскировался под вымогателя-шифровальщика. Основная же задача была иной: уничтожение информации на дисках пострадавших компьютеров. По этим признакам его уже можно характеризовать как вайпер, а не вирус вымогатель. История же с шифрованием-дешифрованием продвигалась только для отвлечения внимания.

Есть и другая версия. Она утверждает, что целью нападавших было получение контроля над всеми зараженными компьютерами, который не исчезнет даже после удаления вируса и очистки дисков. На это можно возразить, что был выбран слишком уж громкий, привлекающий к себе внимание способ реализации. Настоящие шпионы постарались бы закрепиться на компьютерах жертв как можно менее заметно, не афишируя это. Так что, вероятно, вариант с внесением хаоса в работу крупнейших организаций и предприятий и нанесение им материальных и имиджевых убытков выглядит все же более реалистичным.

Как вирус Petya.A проник и распространился

Одним из основных каналов заражения стало бухгалтерское ПО “M.E.Doс”, которое используется для подачи отчетов и ведения электронного документооборота на множестве предприятий и организаций Украины. Расследование, проведенное киберполицией, доказало, что в одно из обновлений программы был внедрен вредоносный код. Как только на компьютеры пользователей скачивалось это обновление, тут же происходило заражение. А уж дальше вредонос “переползал” по корпоративным сетям даже на те “машины”, на которых не был установлен пресловутый M.E.Doc.

Это стало возможным потому, что еще весной 2017 года злоумышленники завладели одной из учетных записей сотрудника компании-разработчика («Интеллект-Сервис») и получили доступ к исходному коду программы.

Дополнительным фактором риска послужило использование на сервере компании устаревших версий программного обеспечения. Да и сам сервер, оказывается, не обновляли целых четыре года.

Другой путь, которым вирус шифровальщик приходил на компьютеры — фишинговые письма с вредоносной ссылкой, запускающей скачивание малвари.

Итог один: после заражения и самопроизвольной перезагрузки компьютеры оказывались заблокированы, а файлы на жестких дисках зашифрованы. Вирусом повреждалась загрузочная запись MBR, что приводило к полной невозможности запустить операционную систему.

Чем и кому навредил вирус Petya.A

По статистике, более 70% компаний, пострадавших от Petya.A, находятся в Украине. Но были отмечены также случаи заражения и в других странах: Германии, Польше, России, Италии. “Докатилось” и до США.

Официальные данные утверждают, что вирус только в Украине заразил более 12 тысяч компьютеров. Но такая оценка выглядит слишком оптимистичной. Похоже, в реальности ущерб гораздо больше. Так, например, бывший директор Microsoft Ukraine, а ныне заместитель главы АП считает, что в той или иной мере был причинен урон 10% компьютеров в стране.

Троян вымогатель сумел серьезно осложнить реальную жизнь тысяч украинцев — в том числе, и тех, чьи компьютеры атака не затронула. Перестали работать некоторые банкоматы, возникли проблемы с отправкой посылок и заказом билетов, склады не могли отгружать продукцию клиентам. Случившийся “маленький Армагеддон” очередной раз показал, насколько жизнь современного общества зависима от исправной, слаженной работы всех элементов инфраструктуры — когда даже кратковременное “выпадение” любого из компонентов способно привести к хаосу.

Среди пострадавших отмечены частные и государственные компании практически всех сфер деятельности. Списки жертв многократно публиковались в разных источниках, поэтому полностью перечислять их нет смысла. Стоит лишь отметить, что в большей или меньшей степени атака затронула многие банки (одно из редких исключений — «Приватбанк»), аэропорт “Борисполь”, “Укрэнерго”, несколько крупных телеканалов и онлайн-изданий, “Укрпочту”, “Укртелеком”, все три мобильных оператора — Киевстар, Vodafone и Lifecell.

Но вот перечень “упавших” компьютерных систем органов государственной власти (весьма длинный, кстати) способен всерьез испугать. “Украшают” список Нацбанк, Кабинет министров и — внимание! — Киберполиция, которая, по идее, должна выступать передовым рубежом обороны кибертерроризму и примером высочайшего уровня информационной безопасности.

Никто не гарантирует, что это финал

Последние дни принесли несколько позитивных новостей:

  • За 10 суток, прошедших после атаки, разработчики “вычистили” код “M.E.Doc” и передали правоохранителям обновление, убирающее вредонос из своего продукта. Сайт компании “Интеллект-Сервис” снова стал доступен в сети.
  • В Министерстве обороны объявлено о создании кибервойск.
  • НАТО предоставит Украине транш в 1 млн. евро на усиление борьбы с киберугрозами.
  • Большинство пострадавших компаний восстановили работу в полном объеме.

Говорит ли это о том, что можно расслабиться и успокоиться? Увы, нет. В следующий раз новый вирус может выбрать для распространения бэкдора другую организацию и другое ПО. Да и человеческий фактор, против которого бессильны все меры безопасности вместе взятые, никто не отменял. Как в случае с “M.E.Doc”, так и тогда, когда вредонос попадал на компьютеры путем фишинга, бросаются в глаза неосмотрительные действия пользователей. Ведь все начиналось с захвата злоумышленниками всего одной учетной записи, с открытия всего одного письма!

Стопроцентной гарантии от повторения инцидентов, подобных произошедшему 27 июня, дать никто не в состоянии. Киберугрозы и кибертерроризм, к сожалению, неизбежны в современном мире и полностью защититься от них нельзя. Однако, грамотное построение контура безопасности всех значимых для жизни страны инфраструктурных объектов может существенно уменьшить ущерб от очередных атак.

Subscribe To Our Newsletter

Join our mailing list to receive the latest news and updates from our team.

You have Successfully Subscribed!

Author: Olga Geo

Раньше была стопроцентным гуманитарием: преподавала фортепиано и синтезатор. Компьютер и интернет считала "мировым злом". Однако, познакомившись с ними поближе, кардинально изменила мнение. Освоив HTML, CSS и другие необходимые для работы навыки, сделала интернет основным местом приложения собственных усилий. Сегодня занимается разработкой сайтов и ведением собственного блога о программном обеспечении. Пишет статьи об IT-технологиях.

Share This Post On

Один комментарий

  1. Для этой вредоносной атаки был обнаружен ещё один вектор защиты. Petya проверяет наличие файла perfc.dat, находящегося в системной папке только для чтения. Если он обнаружит этот файл, то не будет запускать шифрование программного обеспечения и информации.

    Ответить

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку и получайте последние новости из мира информационной безопасности от блога Protectimus.

Спасибо за подписку на нашу рассылку!

Share This