Украину поразила вирусная атака

Украину поразила вирусная атака

Украинский бизнес подвергся беспрецедентной вирусной атаке. Из строя выведены компьютерные системы банков, крупнейших госкорпораций и частных компаний. Вирус Petya атаковал и другие страны. Принцип его действия идентичен вирусу WannaCry, который в мае прокатился по всему миру, шифровал данные, вымогал деньги за дешифровку, хотя де-факто уничтожал их (укр.).

Ну что ж ты, Petya

Вчера утром Украина подверглась кибернападению нового вируса Petya.A. Вскоре жалобы на кибератаку появились и в других странах: в США (об атаке сообщила компания Mondelez International) , Великобритании (DLA Piper, WPP Group), Дании (транспортная компания Maersk), России (НК «Роснефть», «Башнефть»). Среди пострадавших назывались Франция, Испания, Индия, Голландия, ФРГ, Израиль, Польша, Италия, Беларусь, Литва.

Но атаки в этих странах могли быть лишь прикрытием спецоперации в Украине, которая больше других пострадала от вируса, имя которого созвучно имени президента Украины, а дата атаки – последний рабочий день перед Днем Конституции.

Инфицирование операционных систем проходило двумя способами. Во-первых – это «фишинг»: при открытии вредоносных приложений (документов Word, PDF-файлов), которые были получены на электронные адреса пострадавших учреждений. В дальнейшем атака по внутренней сети компании распространялась путем использования сетевой уязвимости MS17-010, в результате эксплуатации которой на инфицированную машину устанавливался набор скриптов, которые злоумышленники использовали для запуска шифровальщика файлов Petya.A.

Модифицированный вирус-вымогатель (вирусы типа ransomware позволяют дистанционно блокировать компьютеры и требовать выкуп) Petya/NotPetya шифровал файловые системы, используя уязвимости операционной системы. Под атакой оказались как серверы, так и отдельные персональные компьютеры. После шифрования всех данных на компьютере вирус требует выкуп, эквивалентный $300, на биткоин-кошелек. Предыдущая подобная атака (вирус WannaCry) в мае затронула большинство стран и инфицировала 300 тыс. компьютеров. Тогда специалисты предположили, что за этой атакой стояла Северная Корея, сейчас же в Украине большинство чиновники указывают «пальцем» на Россию.

Вторым каналом распространения вредоносного ПО стала программа M.E.doc (ПО для отчетности и документооборота), которую бухгалтеры используют как замену запрещенной «1С». Заражение началось в 10:30. Киберполиция расписала буквально по минутам, как это происходило. Уже открыто уголовное производство по статье о  несанкционированном вмешательстве в работу компьютерных сетей. О заражении через M.E.doc сообщили в «Укрзализныце»: системы, которые отвечают за операционную деятельность компании, не пострадали, только информационные системы, хотя возникли проблемы с «зачислением денег через электронные каналы у отправителей грузов из-за проблем у банков, которые также пострадали вследствие хакерской атаки».

Представители компании M.E.doc выступили с опровержением.

Самостоятельно расшифровать данные невозможно, предупреждает киберполиция Украины.

После атаки WannaCry пострадавшие за три дня заплатили злоумышленникам $70 тыс., но ни один компьютер не был разблокирован. К 18 часам вторника – после атаки Petya – пострадавшие заплатили всего $2,7 тыс. При этом лица, которые заплатили, также не получили дешифровщик. А электронный адрес злоумышленников уже заблокирован.

Это уже третья мощная кибератака на Украину за последние три года. В декабре 2015 года были выведены из строя три облэнерго, проблема повторилась в декабре 2016 года. В декабре 2016 года также были атакованы госорганы (Минфин, Госказначейство), «Укрзализныця».



Банки подхватили сбой

НБУ сразу поспешил успокоить, что платежам ничего не угрожает. «Электронная инфраструктура Нацбанка работает в обычном режиме, в том числе – система электронных платежей (СЭП), которой пользуются банки, и внутренняя компьютерная сеть НБУ. Работа СЭП продлена до 20:00», – заявили в НБУ.

СЭП работала, но платежная инфраструктура банков выходила из строя, от чего страдали потребители. Киевский метрополитен сообщал, что оплата банковскими картами невозможна из-за «хакерской атаки», но работают бесконтактные карты.

Не работала инфраструктура и у ряда банков, например, у Ощадбанка. В своем заявлении он акцентировал не на том, что его оборудование вышло из строя, а на том, что он «ограничил функционал услуг» в рамках «выполнения регламентов безопасности и защиты информации». В связи с тем что не работали банкоматы Ощадбанка, банк «направил» клиентов к банкоматам других банков. «Веб- и мобайл-банкинг Ощад 24/7, а также операции с картами работают в нормальном режиме. Отделения 27 июня работают в режиме консультаций», – заявили в банке.



Некоторым банкам «повезло» больше. Их банкоматы работали как обычно, но была заблокирована возможность сотрудников заходить в систему и совершать банковские операции, как то открытие депозита или выдача кредита. «Укрсоцбанк вынужден принять меры по усилению защиты от хакерских вмешательств в наши системы. Просим клиентов с пониманием отнестись к временным сбоям в осуществлении операций и работе нашего сайта. Отделения банка до конца дня переведены в режим профилактической работы и не принимают клиентов, тогда как банкоматы и терминалы доступны для работы», – заявили в Укрсоцбанке. В их банке-партнере Альфа-Банке не было сбоев.

НБУ говорил о «нескольких украинских банках», которые подверглись «внешней хакерской атаке», но с проблемой столкнулись порядка двух десятков банков.

В банке «Пивденный» предупредили клиентов о сложностях с обслуживанием, а отделения перевели в режим предоставления консультаций. В ТАСкомбанке не работал контакт-центр, в Укргазбанке – сайт. ОТП Банк заявил об ограничении доступа к своим системам из-за «форс-мажорных событий», хотя операции с карточками банка в торговых и интернет-сетях доступны в стандартном режиме, а снятие наличных – в банкоматах банков, которые не пострадали из-за атаки.

Кредобанк «был вынужден ограничить доступ к основным сервисам в сети Интернет и сократить операционный день в отделениях». «Сейчас специалисты банка проводят работы по устранению неисправностей, из-за которых выполнение операций может проходить с задержкой. Полное восстановление работы систем ожидается в течение нескольких часов, а отделения восстановят работу в четверг, 29 июня», – заявили в банке.

«В связи с проведением комплекса мероприятий по информационной безопасности, сервисы банка временно недоступны», – предупредили в Идея Банке.

По состоянию на утро среды все еще «лежали» сайты Проминвестбанка, Мегабанка, банка «Юнисон» (в нем работает временная администрация). Среди пострадавших неофициально назывались еще восемь небольших банков (Кристалбанк, Радабанк, Первый инвестиционный банк, Кредит Оптима Банк, Траст-капитал, УБРР, Вернум Банк, банк «Глобус»), но они на проблемы не жаловались.

Ряд банков поспешили заявить, что они не пострадали от атаки. «ПриватБанк, его электронные комплексы и самый популярный в Украине цифровой банк Приват24 не зафиксировали каких-либо хакерских атак или попыток вмешательства в работу систем», – сказали в ПриватБанке. Известно, что учреждение работает с ОС Linux, которая не подверглась атаке Petya. В учреждении уверяли, что все банкоматы и терминалы ПриватБанка работают в штатном режиме. Но у пользователей все же были нарекания на работу уличных терминалов. «Могут наблюдаться определенные перебои со связью в отдельных торговых сетях, попавших под хакерскую атаку», - объяснили в банке.

Не работал Национальный депозитарий Украины, а также банк «Расчетный центр» (и его сайт), который проводит денежные расчеты по операциям с ценными бумагами. Не работал сайт биржи «Перспектива».

Пострадали от атаки страховые компании «ИНГО Украина» и «ПЗУ Украина», а также Моторное (транспортное) страховое бюро Украины – у сотрудников нет доступа к Централизованной базе данных.

Windows – зло

От атаки могло пострадать значительное количество компаний, но заметным это становилось, только если эти компании лишались способности полноценно обслуживать своих клиентов. Именно поэтому в первую очередь стало известно о проблемах в торговых сетях (METRO Cash & Carry, Novus, Fozzy, «Эпицентр», харьковский супермаркет «Рост»), у телеком-операторов («Киевстар», Vodafone, Lifecell), в сетях заправочных станций (WOG, KLO), в транспортных и энергетических компаниях.

В аэропорту «Борисполь» предупредили, что могут задерживаться рейсы, а сайт компании и онлайн-табло с расписанием рейсов не работали. Компания устроила в YouTube онлайн-трансляцию рейсов с табло в терминале D. Утром в среду продолжалась онлайн-трансляция. Очереди не исчезли.

Многие учреждения демонстрировали быстрое восстановление после атаки – за два-три часа. Сеть METRO Cash & Carry через Viber в 16:43 уведомила своих клиентов, что из-за атаки она «на кассе принимает только наличные». А уже в 18:45 сеть сообщила, что оплата банковскими картами восстановлена.

В «Новой почте» в 14:28 сообщили, что не могут обслуживать клиентов, а уже в 17:34 сказали, что восстановили работу отделений, личного кабинета, сайта компании и системы API. «28 июня все отделения «Новой почты» будут работать по графику субботы», – пообещали в компании.



Из-за атаки чаще всего страдали услуги, которые предоставляются посредством операционной системы Windows. Компания «Укртелеком» продолжала предоставлять услуги телефонной связи и Интернета, которые обеспечивались устройствами под Unix. Но были парализованы ее кол-центр и центры обслуживания клиентов, которые работали на системе Windows. Вышел из строя кол-центр ГП «Документ», который занимается выдачей биометрических паспортов.

Пик «масштабной хакерской атаки» на компьютерные сети центральных органов власти пришелся на 14:00. Серверы Кабмина не пострадали, но зараженными оказались некоторые персональные компьютеры чиновников, а также системы государственной «Укрпочты», Министерства инфраструктуры, Государственной фискальной службы. «В штатном режиме работает таможенное оформление. Прием электронных документов (отчетность, налоговые накладные) временно приостановлен с 18:00 27 июня. Все электронные документы, которые поступили в ГФС до 18:00, будут обработаны днем приема», – сообщила советник главы ГФС Наталья Непряхина. Также была заблокирована работа отделений Укргазбанка в пунктах пропуска на границе. «Но по договоренности с Укргазбанком – уполномоченным банком по осуществлению расчетов с госбюджетом по таможенным платежам – прогарантировали прием платежей в автономном режиме», – отметила она.

В Кабмине отдельно подчеркнули, что полторы сотни стратегических предприятий, например АЭС, киберзащитой которых занимается Госслужба спецсвязи, не пострадали. Впрочем, из-за кибератаки не работал сайт Чернобыльской АЭС, а также пришлось в ручном режиме проводить радиационный мониторинг промышленной площадки ЧАЭС.

Проблем не удалось избежать другим энергетическим компаниям: «ДТЭК», «Центрэнерго», «Укрэнерго», «Киевэнерго». Некоторые потребители в Киеве даже жаловались на временное отключение электроэнергии.

Пострадали и некоторые СМИ, в частности, холдинг УМХ: не работают сайты football.ua, forbes.net.ua, korrespondent.net, kp.ua. Пострадали телеканалы «Интер», «Перший національний», «СТБ», «24» и две радиостанции холдинга ТРК "Люкс" – "Радио Люкс" и "Радио Максимум".

Защита превыше всего

Правительственные киберспециалисты в течение дня давали пользователям сетей, которые подверглись атаке, противоречивые советы. С одной стороны, они призывали временно выключить компьютеры, чтобы данные на локальных дисках не были зашифрованы, а позже – не перезагружать как нормально работающие, так и пострадавшие компьютеры.

Изначально всем, кто использует ОС Windows, советовали отключиться от сети (локальной или Интернет), провести бэкап данных, отключить синхронизацию с «облаком». Это не предотвратит атаку на компьютер, но позволит сохранить важные данные.

Этим советом воспользовались в «Укргаздобыче», где после атаки отключили компьютеры. Для локализации и прекращения распространения вируса выключили сетевые ресурсы и компьютеры сотрудники Министерства энергетики и угольной промышленности, «Нафтогаза», «Укртрансгаза». Выключили компьютеры на «Запорожьеоблэнерго» и «Запорожстали».

Сначала «отключили», но к вечеру уже «включили» сайт Кабмина, потом заработали сайты КГГА, Министерства культуры, Минэнерго, МВД, Нацполиции, Киберполиции. Со сбоями работает сайт Львовского горсовета, проблемы были и в системе мэрии Одессы. Для «профилактики» отключен сайт Запорожской АЭС.

Среди других советов: проверить почту на наличие подозрительных объектов, запретить сотрудникам использовать открытые точки для входа в почту, сменить пароли на надежные, обновить программное обеспечение, операционные системы (списки патчей от киберполиции) и антивирусы.

Госслужба спецсвязи выпустила отдельную методичку для администраторов компьютерных систем и пользователей. Но более понятную для потребителей информацию распространила СБУ и киберполиция.



В спецслужбах советуют не перезагружать включенный компьютер, который нормально работает, поскольку вирус срабатывает именно при перезагрузке и шифрует все файлы на компьютере. Необходимо сохранить все ценные файлы на отдельный, не подключенный постоянно к компьютеру носитель информации, в идеале – сделать резервную копию вместе с операционной системой. Проверить, работают ли антивирусные программы, обновить их. В электронной почте не открывать вложения с неизвестных адресов. Чтобы проверить, нет ли на компьютере шифровальщика файлов, необходимо провести поиск файла «C:\Windows\perfc.dat»

Утром в среду в Кабмине заявили, что хакерская атака на корпоративные сети и сети органов украинской власти остановлена, а ситуация находится под полным контролем специалистов по кибербезопасности. «Все стратегические предприятия, в том числе предприятия по обеспечению безопасности государства, работают в штатном режиме», – сказали в Кабмине. Сейчас специалисты по кибербезопасности работают над восстановлением утраченных данных. Ключевым вопросом становится, не кто виноват, а как предотвратить будущие атаки.

Ведь они обязательно будут.

Вячеслав Садовничий, Светлана Слесарук

Подписывайтесь на финансовые новости FinClub в ViberTwitter и Facebook.

Присоединяйтесь