Вирус-шифровальщик вернулся в Россию и на Украину

Пострадали «Интерфакс» и киевский метрополитен
Эксперты Eset пришли к выводу, что таковавший СМИ шифровальщик оказался родственником Petya
Эксперты Eset пришли к выводу, что таковавший СМИ шифровальщик оказался родственником Petya / М. Стулов / Ведомости

По миру прокатилась новая волна атак вируса-шифровальщика, в числе пострадавших российские СМИ и украинские компании. В России от вируса пострадал «Интерфакс», но атака затронула лишь часть агентства, поскольку его IT-службы успели отключить часть критически важной инфраструктуры, говорится в сообщении российской компании Group-IB. Они назвали вирус BadRabbit.

О беспрецедентной вирусной атаке на «Интерфакс» на своей странице в Facebook сообщил замдиректора агентства Юрий Погорелый. Два сотрудника «Интерфакса» подтвердили «Ведомостям» отключение компьютеров. По словам одного из них, визуально заблокированный экран похож на результат действий известного вируса Petya. Атаковавший «Интерфакс» вирус предупреждает, что не стоит пытаться самостоятельно расшифровать файлы, и требует заплатить выкуп в 0,05 биткойна ($285 по вчерашнему курсу), для чего приглашает на специальный сайт в сети Tor. Зашифрованному компьютеру вирус присвоил персональный идентификационный код.

Помимо «Интерфакса» от вируса-шифровальщика пострадали еще два российских СМИ, одно из которых – петербургское издание «Фонтанка», знает Group-IB.

Главный редактор «Фонтанки» Александр Горшков сообщил «Ведомостям», что серверы «Фонтанки» были атакованы неизвестными злоумышленниками. Но Горшков уверяет, что об атаке вируса-шифровальщика на «Фонтанку» речи не идет: компьютеры сотрудников редакции функционируют, был взломан сервер, отвечавший за работу сайта.

Подразделения «Интерфакса» в Великобритании, Азербайджане, Белоруссии и на Украине, а также сайт «Интерфакс-религия» продолжают работать, сказал «Ведомостям» Погорелый. Не ясно, по какой причине повреждения не коснулись других подразделений, возможно, это связано с топологией сети «Интерфакса», с тем, где территориально находятся серверы, и с операционной системой, которая на них установлена, говорит он.

Украинский «Интерфакс» днем во вторник сообщил о хакерской атаке на международный аэропорт Одесса. Аэропорт на своей странице извинился перед пассажирами «за вынужденное увеличение времени обслуживания», но, судя по его онлайн-табло, во вторник он все же продолжал отправлять и принимать самолеты.

Еще о кибератаке сообщил в своем Facebook-аккаунте метрополитен Киева – возникли проблемы с оплатой проезда банковскими картами. Издание Front News сообщило, что метрополитен был атакован вирусом-шифровальщиком.

Group-IB делает вывод о новой эпидемии. За последние месяцы по миру прокатились уже две волны атак вирусов-шифровальщиков: 12 мая появился вирус WannaCry, а 27 июня – вирус Petya (он же NotPetya и ExPetr). Они проникали на компьютеры с операционной системой Windows, куда не были установлены обновления, шифровали содержимое жестких дисков и требовали $300 за расшифровку. Как позже выяснилось, Petya и не думал расшифровывать компьютеры жертв. Первая атака затронула сотни тысяч компьютеров более чем в 150 странах, вторая – 12 500 компьютеров в 65 странах. Жертвами атак стали и российские «Мегафон», Evraz, «Газпром» и «Роснефть». Еще от вируса пострадали медицинские центры Invitro, которые не принимали у пациентов анализы несколько дней.

Petya почти за полтора месяца сумел собрать лишь $18 000. Но урон нанес несопоставимо больший. Одна из его жертв – датский логистический гигант Moller-Maersk оценил недополученную выручку от кибератаки в $200–300 млн.

Среди подразделений Moller-Maersk основной удар пришелся на Maersk Line, занимающуюся морской транспортировкой контейнеров (в 2016 г. Maersk Line заработала в общей сложности $20,7 млрд, в подразделении работает 31 900 человек).

Бизнес быстро пришел в себя после атаки, но компании и регуляторы оставались настороже. Так, в августе о возможной кибератаке шифровальщика предупреждала директоров своих филиалов Федеральная сетевая компания ЕЭС (управляет общероссийской электрической сетью), а спустя несколько дней российские банки получили аналогичное предупреждение от FinCERT (структура ЦБ, занимающаяся кибербезопасностью).

Новую атаку вируса-шифровальщика заметила и «Лаборатория Касперского», по наблюдениям которой большинство жертв атаки находятся в России, но есть заражения и на Украине, в Турции и Германии. Все признаки указывают на то, что это целенаправленная атака на корпоративные сети, уверен руководитель отдела антивирусных исследований «Лаборатории Касперского» Вячеслав Закоржевский: используются методы, похожие на инструменты ExPetr, но связи с этим вирусом не прослеживается.

А по мнению антивирусной компании Eset, шифровальщик все же родственник Petya. В атаке использовалась вредоносная программа Diskcoder.D – это новая модификация шифратора.

Погорелый сообщил, что на компьютерах «Интерфакса» был установлен антивирус Symantec. Представители Symаntec вчера не ответили на запрос «Ведомостей».