Новости
27 Июня 2017, 17:27

Кто такой Petya и как его обезвредить

Масштабную атаку на компании России и Украины устроили хакеры с помощью вируса Petya 27 июня. Один из наиболее заметных зловредов, распространяемых по модели «вымогатели как услуга», обладает почти безупречным криптографическим алгоритмом, расшифровать который чрезвычайно сложно. TatCenter.ru публикует памятку «Лаборатория Касперского» о том, как защитить бизнес от вируса-шифровальщика.

Во вторник СМИ сообщили о масштабной хакреской атаке на нефтяные, телекоммуникационные и финансовые компании в России и на Украине. Причиной стал вирус-шифровальщик Petya.

«Вирус блокирует компьютеры и требует $ 300 в биткоинах. Атака произошла около 14:00. Способ распространения в локальной сети аналогичен вирусу WannaCry», — сообщили Интерфаксу в пресс-службе компании Group-IB, специализирующейся на компьютерной безопасности и защите от киберугроз.

Среди жертв кибератаки оказались компьютерные сети «Башнефти», «Роснефти», украинских компаний «Запорожьеоблэнерго», «Днепроэнерго» и «Днепровская электроэнергетическая система», уточняет агентство, приводя внушительный список атакованных компаний. Associated Press сообщило, что атаке подверглась также датская компания A.P. Moller-Maersk.

Специалисты Group-IB установили, что недавно вирус-шифровальщик Petya использовала группа Cobalt для сокрытия следов целевой атаки на финансовые учреждения.

Вредоносная программа по аналогии с вирусом WannaCry шифрует данные. WannaCry, мощно заявивший о себе в мае текущего года, создал серьезные проблемы более чем 200 тыс. пользователей в 150-ти странах мира.

О новом троянце, который помогает киберпреступникам воровать вредоносное ПО у своих коллег, еще в марте предупреждали эксперты «Лаборатории Касперского». Они обнаружили троянскую программу, которая использует известного шифровальщика Petya для проведения целевых атак на бизнес. Троянец получил название PetrWrap, а его главная особенность заключается в том, что он использует оригинального зловреда без разрешения разработчиков.

Шифровальщик Petya — один из наиболее заметных зловредов, распространяемых по модели «вымогатели как услуга»(Ramsomware-as-a-Service, RaaS). Авторы распространяют его через многочисленных посредников, получая часть прибыли. Для того чтобы избежать неавторизованного использования шифровальщика, разработчики вставили в его код несколько защитных механизмов, однако создателям PetrWrap удалось их обойти. При этом новый троянец использует собственные ключи шифрования вместо тех, что применяются в Petya по умолчанию, поэтому для расшифровки данных в случае уплаты выкупа PetrWrap также не требуется помощь авторов оригинального вымогателя.

Разработчики PetrWrap выбрали Petya не случайно, отмечают в «Лаборатории Касперского». Это семейство вымогателей обладает почти безупречным криптографическим алгоритмом, расшифровать который чрезвычайно сложно. В предыдущих версиях программы был найден ряд ошибок, которые несколько раз позволяли экспертам расшифровывать закодированные файлы, однако с тех пор авторы закрыли почти все уязвимости. Кроме того, после заражения устройства этим вымогателем на заблокированном экране отсутствуют какие-либо упоминания зловреда, что существенно усложняет работу экспертам по кибербезопасности.

«PetrWrap используется для целенаправленных атак. Это не первый подобный случай и, к сожалению, наверняка не последний. Мы настоятельно рекомендуем компаниям уделять максимальное внимание защите сетевой инфраструктуры от этого типа угроз, иначе последствия могут быть катастрофическими», — говорит старший антивирусный аналитик «Лаборатории Касперского» Антон Иванов.

Для защиты организации от целенаправленных атак «Лаборатория Касперского» рекомендует предпринять ряд мер.

  1. Сделайте резервную копию всех данных, которую можно будет использовать для восстановления файлов в случае атаки.
  2. Используйте защитное решение с технологией детектирования по поведению. Она определяет троянцев любого типа, анализируя их действия в атакованной системе. Это позволяет обнаруживать даже ранее неизвестные зловреды.
  3. Проведите комплексную оценку информационной безопасности сети (аудит, тестирование на проникновение, GAP-анализ), чтобы обнаружить и закрыть все лазейки, которыми могут воспользоваться злоумышленники.
  4. Пользуйтесь внешней экспертной оценкой: консультация авторитетных вендоров поможет предвидеть вектор будущих атак.
  5. Проведите тренинг по кибербезопасности для сотрудников. Особое внимание стоит уделить инженерно-техническому персоналу, его осведомленности об атаках и угрозах.
  6. Обеспечьте защиту как внутри периметра корпоративной сети, так и снаружи. В правильной стратегии безопасности значительные ресурсы выделяются на обнаружение атак и реагирование на них до того, как он и достигнут критически важных объектов.

Рекомендации по обеспечению кибербезопасности новизной не отличаются, однако это не означает, что они стали менее эффективными. Эксперт АО ИК «ЦЕРИХ Кэпитал Менеджмент» Олег Якушев утверждает, что регулярное обновление используемого софта, применение антивирусных решений с актуальными базами, периодический углубленный аудит системы обеспечения безопасности автоматизированной банковской системы помогают обеспечить технологическую защиту от взлома и проникновения.

Директор Технопарка в сфере высоких технологий «ИТ-парк» Антон Грачев напоминает собственникам бизнеса, что к обеспечению информационной безопасности должен быть комплексный подход. «Лишь он позволит компаниям противостоять современным кибератакам и избежать серьезных финансовых потерь и репутационных рисков», — заключает Грачев, напоминая о простых правилах защиты бизнеса от кибератак.

Ксения Долгова

    Новости
    28 Марта 2024, 18:43

    В Татарстане в зону подтопления могут попасть 220 населенных пунктов

    В которых проживают более 13 тыс. человек.

    В случае неблагоприятного развития ситуации с половодьем в Татарстане под угрозу попадут 220 населенных пунктов в 39 муниципальных образованиях, где проживает более 13 тыс. человек. Об этом заявил вице-премьер Рустам Нигматуллин.

    Он подчеркнул, что прогнозы на весеннее половодье 2024 года вызывают беспокойство, так как высота снежного покрова в республике к концу февраля значительно превышает средние показатели. Поэтому, по его мнению, ожидается напряженный сценарий для весеннего половодья. Нигматуллин отметил, что муниципалитетам рекомендуется быть в состоянии повышенной готовности уже сейчас, а в случае начала затоплений — немедленно переходить в режим ЧС.

    Напомним, в Татарстане с 25 марта ввели режим повышенной готовности из-за приближающегося весеннего половодья.

    Нигматуллин Рустам Камильевич

    Первый заместитель премьер-министра РТ, председатель Совета РОГО ДОСААФ РТ

    Lorem ipsum dolor sit amet.

    Сообщить об опечатке

    Текст, который будет отправлен нашим редакторам: