Для Украины с любовью. Как вирус Petya.A "положил" целый мир

Вирусная атака в Украине началась накануне Дня Конституции, а ее последствия службы безопасности и правоохранители разгребают до сих пор. Впоследствии оказалось, что это не только украинская проблема.

27 июня сообщили о кибератаках в Италии, Германии, странах Центральной Европы, Израиле и России. Агентство Reuters опубликовало материал, в котором рассказывается о масштабах атаки вируса по всему миру. Приводим его в переводе.

География вируса: Европа, США, Южная Америка

В среду компьютерный вирус вызвал хаос на предприятиях по всему миру. Распространился более чем в 60 странах, нарушил работу портов от Мумбаи до Лос-Анджелеса и прервал работу шоколадной фабрики в Австралии.

Фирма по моделированию рисков Cyence заявила, что экономические потери от атаки на этой неделе и той, которую устроил в прошлом месяце вирус WannaCry, составят примерно $8 млрд. Эта оценка показывает невероятные потери, которые грозят мировым бизнесам из-за усиления кибератак, которые выключают критические компьютерные сети.

"Когда системы не работают и не могут продуцировать доход, это действительно привлекает внимание руководства и членов правления, - говорит президент компании CrowdStrike, которая производит программное обеспечение по бозеопасности Джордж Шашков. - Это повысило понимание о необходимости внедрения в сетях лучшей безопасности".

Читайте также: Petya.A-вымогатель. Все о крупнейшей кибератаке в Украине

Вирус, который исследователи называют GoldenEye (Золотой глаз) или Petya.A начал распространяться во вторник в Украине. Он инфицировал компьютеры посетителей новостных сайтов и компьютеры, на которые загружали зараженное обновление для популярного пакета налоговой отчетности, утверждает национальная полиция и киберэксперты.

Он прекратил работу системы заказов на перевозку грузов датского судоходного гиганта A. P. Moller-Maersk (MAERSKb.CO), что повлекло перегрузку в 76 портах по всему миру, где работает ее дочерняя фирма APM Terminals.

В среду Maersk сообщила, что система вернулась к работе онлайн: "Подтверждение заказа займет больше времени, чем обычно, но мы с удовольствием доставим ваш груз", - сообщила она через Twitter.

Американская компания доставки FedEx сообщила, что ее подразделение TNT Express потерпел значительный урон от вируса. Он проложил себе дорогу до Южной Америки, где повлиял на работу портов в Аргентине, которыми управляет китайская Cofco.

Код злоумышленников шифрует данные и требует от жертв $300 выкупа за восстановление, подобно тактике, которую использовал вирус WannaCry во время атаки в мае.

По мнению экспертов по безопасности целью было не вымогательство, а нарушение работы компьютерных систем по всей Украине, потому что во время атаки использовалось мощное программное обеспечение, которое стирало данные и делало невозможным их восстановление.

"Это была "стирачка", замаскированная под программу-шантажиста. У них не было цели получить деньги во время атаки", - сказал руководитель компании Strategic Cyber Ventures Том Келлерманн.

Брайан Лорд, бывший сотрудник британского Правительственного коммуникационного штаба, а сейчас директор-распорядитель в частной компании по безопасности PGI Cyber, убежден, что кампания была "экспериментом" с использованием программы-вымогателя для причинения разрушений.

"Это начинает выглядеть так, будто государство действует через программу-посредника", - сказал он.

Вечная голубизна

Похоже, что вредоносная программа использовала код, известный как "Eternal Blue" ("Вечная голубизна"), который, как считается, был разработан Агентством национальной безопасности США (АНБ).

---

Вечная голубизна была в коллекции инструментов для хакерства, похищенной из АНБ и выложенной в общий доступ в апреле группой, которая называет себя "Теневые брокеры" (Shadow Brokers) и которую исследователи вопросов безопасности связывают с российским правительством.

---

Эту атаку отмечают критики АНБ, которые считают, что агентство наразило общество на риск тем, что держало информацию о секрете уязвимости программного обеспечения и могло использовать их для киберопераций.

Член Палаты представителей от демократов Тед Лию в среду призвал АНБ немедленно обнародовать информацию, которую оно имеет в отношении "Вечной голубизны", чтобы помочь остановить атаки.

"Если АНБ имеет аварийный выключатель для этой новой вирусной атаки, АНБ должно предоставить его сейчас", - написал Лию в письме директора АНБ Майка Роджерса.

АНБ не ответило на запрос о комментарии и не признало публично, что оно разрабатывало хакерский инструмент, выложенный "Теневыми брокерами".

Целью кампании была Украина, враг России, которая пострадала от двух кибератак на ее энергетическую систему и в которых она обвинила Москву.

Словацкая компания ESET, которая производит программное обеспечение по безопасности, заявила, что 80% случаев инфицирования, зафиксированных в ее глобальной базе клиентов, произошедших в Украине, а еще 10% приходится на Италию.

Кремль, который постоянно отвергает обвинения, заявил, что у него нет информации о происхождении атаки, которая также ударила по российским компаниям, включая нефтяного гиганта "Роснефть" и производителя стали.

"Безосновательные общие обвинения не решат проблему", - заявил пресс-секретарь Кремля Дмитрий Песков.

Поддерживаемая правительством Австрии Команда быстрого реагирования на компьютерные происшествия заявила, что пострадало "небольшое количество" международных компаний, у которых отключились десятки тысяч компьютеров.

Microsoft, Cisco Systems Inc. и Symantec Corp считают, что первые инфицирования произошли в Украине, когда вредоносная программа была передана пользователям программы для налоговой отчетности.

Читайте также: Как спастись от хакеров. 8 советов от Украинского киберальянса

Российская система безопасности компания Symantec сообщила, что новостной сайт украинского города Бахмут был взломан и использовался для распространения вымогателя.

Ряд жертв - это международные компании, которые проводят операции в Украине.

К ним относятся французская компания стройматериалов Saint Gobain, BNP Paribas Real Estate и владелец шоколада Cadbury, британская компания Mondelez International Inc.

Работа фабрики Cadbury, расположенной на австралийском острове Тасмания, прервалась поздно вечером во вторник, после того, как выключились компьютерные системы.