Ну що ж ти, Petya

Учора вранці Україна зазнала кібератаки нового вірусу Petya.A. Незабаром скарги на кібератаку з'явилися також в інших країнах: в США (про атаку повідомила компанія Mondelez International), Великій Британії (DLA Piper, WPP Group), Данії (транспортна компанія Maersk), Росії (НК «Роснефть», «Башнефть»), Франції. Називалися постраждалі компанії в Іспанії, Індії, Голландії, ФРН, Ізраїлі, Польщі, Італії, Білорусі, Литві.

Але атаки в цих країнах могли бути лише прикриттям спецоперації в Україні, яка більше за інших постраждала від вірусу, ім'я якого співзвучне імені президента України, а дата атаки – останній робочий день перед Днем Конституції.

Інфікування операційних систем відбувалося двома способами. По-перше – це «фішинг»: під час відкриття шкідливих додатків (документів Word, PDF-файлів), які були отримані на електронні адреси потерпілих установ. Поширювалася атака внутрішньою мережею компанії шляхом використання мережевої вразливості MS17-010, в результаті експлуатації якої на інфіковану машину встановлювався набір скриптів, які зловмисники використовували для запуску шифрувальника файлів Petya.A.

Модифікований вірус-вимагач (віруси типу ransomware дозволяють дистанційно блокувати комп'ютери і вимагати викуп) Petya/NotPetya шифрував файлові системи, використовуючи вразливості операційної системи. Під атакою опинилися як сервери, так і окремі персональні комп'ютери. Після шифрування усіх даних на комп'ютері вірус вимагає викуп, еквівалентний $300, на біткоін-гаманець. Попередня подібна атака (вірус WannaCry) в травні торкнулася більшості країн та інфікувала 300 тис. комп'ютерів. Тоді фахівці припустили, що за цією атакою стояла Північна Корея, зараз же в Україні більшість провладних експертів і самі чиновники вказують «пальцем» на Росію.

Другим каналом поширення шкідливого ПЗ стала програма M.E.doc (ПЗ для звітності та документообігу), яку бухгалтери використовують як заміну забороненій «1С». Зараження почалося о 10:30. Кіберполіція розписала буквально по хвилинах, як це відбувалося. Вже відкрито кримінальне провадження за статтею про несанкціоноване втручання в роботу комп'ютерних мереж. Про зараження через M.E.doc повідомили в «Укрзалізниці»: системи, які відповідають за операційну діяльність компанії, не постраждали, тільки інформаційні системи, хоча виникли проблеми з «зарахуванням грошей через електронні канали у відправників вантажів через проблеми у банків, які також постраждали внаслідок хакерської атаки».

Представники компанії M.E.doc виступили зі спростуванням.

Самостійно розшифрувати дані неможливо, попереджає кіберполіція України.

Після атаки WannaCry постраждалі за три дні заплатили зловмисникам $70 тис., але жоден комп'ютер не було розблоковано. До 18-ї години вівторка – після атаки Petya – постраждалі заплатили всього $2,7 тис. При цьому особи, які заплатили, також не отримали декодувальник. А електронна адреса зловмисників вже заблокована.

Це вже третя потужна кібератака на Україну за останні три роки. У грудні 2015 року було виведено з ладу три обленерго, проблема повторилася в грудні 2016 року. У грудні 2016 року також були атаковані держоргани (Мінфін, Держказначейство), «Укрзалізниця».

Банки підхопили збій

НБУ відразу поспішив заспокоїти, що платежам нічого не загрожує. «Електронна інфраструктура Нацбанку працює в звичайному режимі, в тому числі – система електронних платежів (СЕП), якою користуються банки, і внутрішня комп'ютерна мережа НБУ. Роботу СЕП продовжено до 20:00», – заявили в НБУ.

СЕП працювала, але платіжна інфраструктура банків виходила з ладу, від чого страждали споживачі. Київський метрополітен повідомляв, що оплата банківськими картками неможлива через «хакерську атаку», але працюють безконтактні картки.

Не працювала інфраструктура також у низки банків, наприклад, у Ощадбанку. У своїй заяві він акцентував не на тому, що його обладнання вийшло з ладу, а на тому, що він «обмежив функціонал послуг» в рамках «виконання регламентів безпеки і захисту інформації». Через те що не працювали банкомати Ощадбанку, банк «направив» клієнтів до банкоматів інших банків. «Веб-та мобайл-банкінг Ощад 24/7, а також операції з картками працюють в нормальному режимі. Відділення 27 червня працюють в режимі консультацій», – заявили в банку.

Деяким банкам «пощастило» більше. Їхні банкомати працювали як зазвичай, але була заблокована можливість співробітників заходити в систему і здійснювати банківські операції, такі як відкриття депозиту або видача кредиту. «Укрсоцбанк змушений вжити заходів для посилення захисту від хакерських втручань у наші системи. Просимо клієнтів з розумінням поставитися до тимчасових збоїв у здійсненні операцій і роботі нашого сайту. Відділення банку до кінця дня переведені в режим профілактичної роботи і не приймають клієнтів, тоді як банкомати і термінали доступні для роботи», – заявили в Укрсоцбанку. В їхньому банку-партнері Альфа-Банку не було збоїв.

НБУ говорив про «кілька українських банків», які зазнали «зовнішньої хакерської атаки», але з проблемою зіткнулися близько двох десятків банків.

У банку «Південний» попередили клієнтів про складнощі з обслуговуванням, а відділення перевели в режим надання консультацій. У ТАСкомбанку не працював контакт-центр, в Укргазбанку – сайт. ОТП Банк заявив про обмеження доступу до своїх систем через «форс-мажорні обставини», хоча операції з картками банку в торгових та інтернет-мережах доступні в стандартному режимі, а зняття готівки – в банкоматах банків, які не постраждали через атаки.

Кредобанк «був змушений обмежити доступ до основних сервісів у мережі Інтернет і скоротити операційний день у відділеннях». «Зараз фахівці банку проводять роботи з усунення несправностей, через які виконання операцій може проходити з затримкою. Повне відновлення роботи систем очікується протягом кількох годин, а відділення відновлять роботу у четвер, 29 червня», – заявили в банку.

«У зв'язку з проведенням комплексу заходів з інформаційної безпеки сервіси банку тимчасово недоступні», – попередили в Ідея Банку.

Станом на ранок середи усе ще «лежали» сайти Промінвестбанку, Мегабанку, банку «Юнісон» (у ньому працює тимчасова адміністрація). Серед постраждалих неофіційно називалися ще вісім невеликих банків (Кристалбанк, Радабанк, Перший інвестиційний банк, Кредит Оптима Банк, Траст-капітал, УБРР, Вернум Банк, банк «Глобус»), але вони на проблеми не скаржилися.

Чимало банків поспішили заявити, що вони не постраждали від атаки. «ПриватБанк, його електронні комплекси та найпопулярніший в Україні цифровий банк Приват24 не зафіксували жодних хакерських атак або спроб втручання до роботи систем», – сказали в ПриватБанку. Відомо, що установа працює з ОС Linux, яка не зазнала атаки Petya. В установі запевняли, що всі банкомати і термінали ПриватБанку працюють в штатному режимі. Але у користувачів усе ж були нарікання на роботу вуличних терміналів. «Можуть спостерігатися певні перебої зі зв'язком в окремих торгових мережах, які потрапили під хакерську атаку», – пояснили в банку.

Не працював Національний депозитарій України, а також банк «Розрахунковий центр» (і його сайт), який проводить грошові розрахунки за операціями з цінними паперами. Не працював сайт біржі «Перспектива».

Постраждали від атаки страхові компанії «ІНГО Україна» і «ПЗУ Україна», а також Моторне (транспортне) страхове бюро України – у співробітників немає доступу до Централізованої бази даних.

Windows – зло

Від атаки могла постраждати значна кількість компаній, але помітним це ставало, тільки якщо ці компанії втрачалиможливість повноцінно обслуговувати своїх клієнтів. Саме тому в першу чергу стало відомо про проблеми в торгових мережах (METRO Cash & Carry, Novus, Fozzy, «Епіцентр», харківський супермаркет «Рост»), у телеком-операторів («Київстар», Vodafone, Lifecell), в мережах заправних станцій (WOG, KLO), в транспортних та енергетичних компаніях.

В аеропорту «Бориспіль» попередили, що можуть затримуватися рейси, а сайт компанії та онлайн-табло з розкладом рейсів не працювали. Компанія влаштувала в YouTube онлайн-трансляцію рейсів з табло в терміналі D. Вранці в середу тривала онлайн-трансляція.

Багато установ демонстрували швидке відновлення після атаки – протягом двох-трьох годин. Мережа METRO Cash & Carry через Viber о 16:43 повідомила своїх клієнтів, що через атаки вона «на касі приймає тільки готівку». А вже о 18:45 мережа повідомила, що оплату банківськими картками відновлено.

У «Новій пошті» о 14:28 повідомили, що не можуть обслуговувати клієнтів, а вже о 17:34 сказали, що відновили роботу відділень, особистого кабінету, сайту компанії та системи API. «28 червня усі відділення «Нової пошти» працюватимуть за графіком суботи», – пообіцяли в компанії.

Через атаку найчастіше страждали послуги, які надаються за допомогою операційної системи Windows. Компанія «Укртелеком» продовжувала надавати послуги телефонного зв'язку та Інтернету, які забезпечувалися пристроями під Unix. Але були паралізовані її кол-центр та центри обслуговування клієнтів, які працювали на системі Windows. Вийшов з ладу кол-центр ДП «Документ», який займається видачею біометричних паспортів.

Пік «масштабної хакерської атаки» на комп'ютерні мережі центральних органів влади припав на 14:00. Сервери Кабміну не постраждали, але зараженими виявилися деякі персональні комп'ютери чиновників, а також системи державної «Укрпошти», Міністерства інфраструктури, Державної фіскальної служби. «У штатному режимі працює митне оформлення. Прийом електронних документів (звітність, податкові накладні) тимчасово призупинено з 18:00 27 червня. Усі електронні документи, які надійшли до ДФС до 18:00, будуть оброблені днем прийому», – повідомила радник голови ДФС Наталя Непряхіна. Також було заблоковано роботу відділень Укргазбанку в пунктах пропуску на кордоні. «Але за домовленістю з Укргазбанком – уповноваженим банком зі здійснення розрахунків з держбюджетом за митними платежами – прогарантували прийом платежів у автономному режимі», – зазначила вона.

У Кабміні окремо наголосили, що півтори сотні стратегічних підприємств, наприклад АЕС, кіберзахистом яких займається Держслужба спецзв'язку, не постраждали. Втім, через кібератаки не працював сайт Чорнобильської АЕС, а також довелося в ручному режимі проводити радіаційний моніторинг промислового майданчика ЧАЕС.

Проблем не вдалося уникнути іншим енергетичним компаніям: «ДТЕК», «Центренерго», «Укренерго», «Київенерго». Деякі споживачі в Києві навіть скаржилися на тимчасове відключення електроенергії.

Постраждали і деякі ЗМІ, зокрема, холдинг УМХ: не працюють сайти football.ua, forbes.net.ua, korrespondent.net. Постраждали телеканали «Інтер», «СТБ», «24» і дві його радіостанції.

Захист понад усе

Урядові кіберспеціалісти протягом дня давали користувачам мереж, які піддалися атаці, суперечливі поради. З одного боку, вони закликали тимчасово вимкнути комп'ютери, щоб дані на локальних дисках не були зашифровані, а пізніше – не перезавантажувати як нормально працюючі, так і постраждалі комп'ютери.

Спочатку всім, хто використовує ОС Windows, радили відключитися від мережі (локальної або Інтернет), провести бекап даних, відключити синхронізацію з «хмарою». Це не захистить від атаки на комп'ютер, але дозволить зберегти важливі дані.

Цією порадою скористалися в «Укргазвидобуванні», де після атаки відключили комп'ютери. Для локалізації та припинення поширення вірусу вимкнули мережеві ресурси і комп'ютери співробітники Міністерства енергетики та вугільної промисловості, «Нафтогазу», «Укртрансгазу». Спочатку «відключили», але до вечора вже «включили» сайт Кабміну, потім запрацювали сайти КМДА, Міністерства культури, Міненерго, МВС, Нацполіціі, кіберполіції. Зі збоями працює сайт Львівської міськради, проблеми були і в системі мерії Одеси. Для «профілактики» відключено сайт Запорізької АЕС.

Серед інших порад: перевірити пошту на наявність підозрілих об'єктів, заборонити співробітникам використовувати відкриття точки для входу в пошту, змінити паролі на надійні, оновити програмне забезпечення, операційні системи (списки патчів від кіберполіції) та антивіруси.

Держслужба спецзв'язку випустила окрему методичку для адміністраторів комп'ютерних систем і користувачів. Але більш зрозумілу для споживачів інформацію розповсюдила СБУ і кіберполіція.

У спецслужбах радять не перезавантажувати включений комп'ютер, який нормально працює, оскільки вірус спрацьовує саме під час перезавантаження і шифрує всі файли на комп'ютері. Необхідно зберегти всі цінні файли на окремий, не підключений постійно до комп'ютера носій інформації, в ідеалі – зробити резервну копію разом з операційною системою. Перевірити, чи працюють антивірусні програми, оновити їх. В електронній пошті не відкривати вкладення з невідомих адрес. Щоб перевірити, чи немає на комп'ютері шифрувальника файлів, необхідно провести пошук файлу «C:\Windows\perfc.dat»

Вранці в середу в Кабміні заявили, що хакерська атака на корпоративні мережі і мережі органів української влади зупинена, а ситуація знаходиться під повним контролем фахівців з кібербезпеки. «Все стратегічні підприємства, в тому числі підприємства по забезпеченню безпеки держави, працюють в штатному режимі», – сказали в Кабміні. Зараз фахівці з кібербезпеки працюють над відновленням втрачених даних. Ключовим питанням стає, не хтось винен, а як запобігти майбутнім атаки.

Адже вони обов'язково будуть.

В'ячеслав Садовничий, Світлана Слєсарук

Подписывайтесь на финансовые новости FinClub в Viber, Twitter и Facebook.