Petya ที่ Rosneft: บริษัทน้ำมันบ่นเรื่องการโจมตีของแฮ็กเกอร์ที่ทรงพลัง Rosneft รายงานการโจมตีของแฮ็กเกอร์ที่ทรงพลังบนเซิร์ฟเวอร์
บริษัท Rosneft แสดงความคิดเห็นเกี่ยวกับการโจมตีของแฮ็กเกอร์ด้วยไวรัสแรนซัมแวร์ในคอมพิวเตอร์ของบริษัท
การโจมตีของแฮกเกอร์อาจนำไปสู่ ผลกระทบร้ายแรงแต่เนื่องจากบริษัทได้เปลี่ยนมาใช้ระบบควบคุมสำรอง กระบวนการผลิต Rosneft รายงานว่าไม่มีการหยุดการผลิตและการเตรียมน้ำมัน - ผู้เผยแพร่ข้อความตื่นตระหนกเท็จจะถือเป็นผู้สมรู้ร่วมคิดของผู้จัดงานการโจมตีของแฮ็กเกอร์และจะต้องรับผิดชอบร่วมกับพวกเขา
ดังนั้น Bashneft ซึ่งเป็นส่วนหนึ่งของบริษัทจึงยังคงเปิดดำเนินการตามปกติ
ให้เราระลึกว่าเมื่อวานนี้วันที่ 27 มิถุนายน การโจมตีด้วยแรนซัมแวร์ทั่วโลกโจมตีระบบไอทีของบริษัทต่างๆ ในหลายประเทศทั่วโลก ซึ่งส่วนใหญ่ส่งผลกระทบต่อยูเครน คอมพิวเตอร์ในอุตสาหกรรมน้ำมัน พลังงาน โทรคมนาคม บริษัทยาตลอดจนหน่วยงานราชการ การโจมตีเริ่มขึ้นเมื่อเวลาประมาณ 13.00 น. ตามเวลาอูฟา
วิธีการจำหน่ายใน เครือข่ายท้องถิ่นคล้ายกับไวรัส WannaCry รายงานของ RIA Novosti
เมื่อวานนี้ Rosneft ยังรายงานด้วยว่าเซิร์ฟเวอร์ของตนถูกโจมตีจากแฮ็กเกอร์ที่ทรงพลัง ดังนั้นบริษัทจึงได้ติดต่อกับหน่วยงานบังคับใช้กฎหมาย นอกจากนี้ระบบข้อมูล Evraz ยังถูกแฮ็กเกอร์โจมตีอีกด้วย ธนาคารแห่งรัสเซียกล่าวว่าระบุการโจมตีของแฮ็กเกอร์ที่มุ่งเป้าไปที่ระบบของรัสเซีย สถาบันสินเชื่อ; ผลจากการโจมตีเหล่านี้ ทำให้มีการบันทึกกรณีการติดเชื้อของวัตถุแบบแยกส่วน โครงสร้างพื้นฐานข้อมูล. ในเวลาเดียวกัน ไม่มีการหยุดชะงักในการทำงานของระบบธนาคารหรือการหยุดชะงักในการให้บริการแก่ลูกค้า
Rustem Khamitov หัวหน้าของ Bashkiria ในการให้สัมภาษณ์กับสถานีโทรทัศน์ Rossiya 24 กล่าวว่าการโจมตีของแฮ็กเกอร์ในสาธารณรัฐไม่ได้นำไปสู่ผลกระทบร้ายแรง
“เรามีสถานการณ์ปกติในสถานประกอบการของสาธารณรัฐ ทุกอย่างทำงานได้ตามปกติ” เขากล่าว - องค์กรไม่รู้สึกถึงผลกระทบจากการโจมตีของแฮ็กเกอร์ แต่อย่างใด อาจเป็นเพราะมีการใช้มาตรการป้องกันในระดับ Rosneft
วันนี้ RIA Novosti พูดเกี่ยวกับวิธีป้องกันตัวเองจากไวรัส
นักลงทุนด้านเทคโนโลยีชาวรัสเซีย ผู้เชี่ยวชาญด้านไอที เดนิส เชอร์คาซอฟบอกกับหน่วยงานว่าหนึ่งในวิธีการป้องกันไวรัสที่น่าเชื่อถือที่สุดคือการกระทำที่ถูกต้องของพนักงานบริษัท กล่าวคือ การเพิกเฉยต่อจดหมายที่น่าสงสัย และโดยเฉพาะการขอให้ติดตามลิงก์
มิฉะนั้น ไวรัสสามารถเติบโตได้เหมือนก้อนหิมะด้วยการกระทำที่ "ไม่เป็นอันตราย" Cherkasov เน้นย้ำ
ดังนั้นตามที่เขาพูด เมื่อคิดถึงกลยุทธ์การปกป้องธุรกิจ สิ่งแรกคือจำเป็นต้องจัดการฝึกอบรมเกี่ยวกับกฎความปลอดภัยทางไซเบอร์ง่ายๆ ให้กับทีม
ประการที่สองแม้กระทั่งมากที่สุด ระบบที่ทันสมัยการป้องกันจำเป็นต้องได้รับการอัปเดตเป็นประจำเพื่อไม่ให้ตกอยู่ภายใต้การโจมตีของซอฟต์แวร์ไวรัสใหม่
ประการที่สาม จำเป็นต้องมีระบบการตรวจสอบความสมบูรณ์ของระบบเพื่อให้สามารถตรวจจับการแพร่กระจายของไวรัสได้ เครือข่ายคอมพิวเตอร์ก่อนที่เขาจะเริ่มกระทำการอันเลวร้าย
เพื่อให้มั่นใจในความปลอดภัย Kaspersky Lab ยังแนะนำให้ผู้ใช้ตรวจสอบให้แน่ใจว่าโซลูชันความปลอดภัยเปิดใช้งานอยู่ และใช้ฐานข้อมูลไวรัสที่ทันสมัย เชื่อมต่อกับระบบคลาวด์ KSN และเปิดใช้งานการตรวจสอบระบบ (System Watcher) แล้ว
เพื่อเป็นมาตรการเพิ่มเติม เมื่อใช้ฟังก์ชัน AppLocker คุณสามารถป้องกันการเรียกใช้ไฟล์ชื่อ perfc.dat และยังบล็อกการเปิดตัวยูทิลิตี้ PSExec จากแพ็คเกจ Sysinternals ตามที่บริษัทแนะนำ
บริการกดของ Group-IB ซึ่งสืบสวนอาชญากรรมในโลกไซเบอร์ บอกกับ RBC ว่าการโจมตีของแฮ็กเกอร์ในบริษัทหลายแห่งที่ใช้ไวรัสเข้ารหัส Petya นั้น “คล้ายกันมาก” กับการโจมตีที่เกิดขึ้นในช่วงกลางเดือนพฤษภาคมโดยใช้มัลแวร์ WannaCry Petya บล็อกคอมพิวเตอร์และเรียกร้อง Bitcoins มูลค่า 300 ดอลลาร์เป็นการตอบแทน
“การโจมตีเกิดขึ้นเมื่อเวลาประมาณ 14.00 น. ดูจากรูปถ่าย นี่คือ Petya cryptolocker วิธีการเผยแพร่บนเครือข่ายท้องถิ่นนั้นคล้ายคลึงกับไวรัส WannaCry” ตามมาจากข้อความจากบริการกดของ Group-IB
ในเวลาเดียวกัน พนักงานของบริษัทในเครือ Rosneft แห่งหนึ่งซึ่งเกี่ยวข้องกับโครงการนอกชายฝั่งกล่าวว่าคอมพิวเตอร์ไม่ได้ปิด มีหน้าจอที่มีข้อความสีแดงปรากฏขึ้น แต่ไม่ใช่สำหรับพนักงานทุกคน อย่างไรก็ตามบริษัทกำลังล่มสลายและงานหยุดลง คู่สนทนายังทราบด้วยว่าไฟฟ้าทั้งหมดถูกปิดโดยสิ้นเชิงที่สำนักงาน Bashneft ในอูฟา
เวลา 15:40 น. ตามเวลามอสโก เว็บไซต์อย่างเป็นทางการของ Rosneft และ Bashneft จะไม่สามารถใช้งานได้ ข้อเท็จจริงของการไม่ตอบสนองสามารถยืนยันได้จากแหล่งข้อมูลการตรวจสอบสถานะของเซิร์ฟเวอร์ เว็บไซต์ของ Yuganskneftegaz ซึ่งเป็นบริษัทในเครือที่ใหญ่ที่สุดของ Rosneft ก็ใช้งานไม่ได้เช่นกัน
บริษัททวีตในภายหลังว่าการแฮ็กอาจนำไปสู่ “ผลที่ตามมาร้ายแรง” อย่างไรก็ตาม กระบวนการผลิต การผลิต และการเตรียมน้ำมันไม่ได้หยุดลงเนื่องจากการเปลี่ยนไปใช้ระบบควบคุมสำรอง บริษัทอธิบาย
ปัจจุบันศาลอนุญาโตตุลาการของ Bashkortostan ได้เสร็จสิ้นการประชุมเพื่อพิจารณาการเรียกร้องของ Rosneft และ Bashneft ที่ควบคุมโดย AFK Sistema และ Sistema-Invest เพื่อกู้คืน 170.6 พันล้านรูเบิลซึ่งตาม บริษัท น้ำมัน Bashneft ประสบความสูญเสียอันเป็นผลมาจากการปรับโครงสร้างองค์กรใหม่ในปี 2014
ตัวแทนของ AFK Sistema ขอให้ศาลเลื่อนการพิจารณาคดีครั้งต่อไปออกไปหนึ่งเดือน เพื่อให้ทุกฝ่ายมีเวลาทำความคุ้นเคยกับคำร้องทั้งหมด กรรมการกำหนดการประชุมครั้งถัดไปในอีก 2 สัปดาห์คือวันที่ 12 ก.ค. โดยระบุว่าเอเอฟซีมีตัวแทนจำนวนมากและจะรับมือภายในระยะเวลานี้
บริษัท Rosneft บ่นเรื่องการโจมตีของแฮ็กเกอร์ที่ทรงพลังบนเซิร์ฟเวอร์ของตน ทางบริษัทได้ประกาศเรื่องนี้ไว้ใน ทวิตเตอร์. “การโจมตีของแฮ็กเกอร์ที่ทรงพลังเกิดขึ้นบนเซิร์ฟเวอร์ของบริษัท เราหวังว่าสิ่งนี้จะไม่เกี่ยวข้องกับการดำเนินคดีทางกฎหมายในปัจจุบัน” ข้อความระบุ
“บริษัทได้ติดต่อกับหน่วยงานบังคับใช้กฎหมายเกี่ยวกับการโจมตีทางไซเบอร์” มันบอกว่าในข้อความ บริษัทเน้นย้ำว่าการโจมตีของแฮ็กเกอร์อาจนำไปสู่ผลกระทบร้ายแรง อย่างไรก็ตาม “ด้วยความจริงที่ว่าบริษัทเปลี่ยนมาใช้ระบบควบคุมกระบวนการผลิตสำรอง ทำให้ทั้งการผลิตน้ำมันและการเตรียมน้ำมันไม่สามารถหยุดได้” คู่สนทนาของหนังสือพิมพ์ Vedomosti ใกล้กับโครงสร้างแห่งหนึ่งของ บริษัท ระบุว่าคอมพิวเตอร์ทุกเครื่องที่โรงกลั่น Bashneft, Bashneft-Dobyche และฝ่ายบริหารของ Bashneft "รีบูตพร้อมกันหลังจากนั้นพวกเขาก็ดาวน์โหลดไฟล์ที่ไม่รู้จัก ซอฟต์แวร์และแสดงหน้าจอเริ่มต้นของไวรัส WannaCry”
บนหน้าจอ ผู้ใช้ถูกขอให้โอนเงิน 300 ดอลลาร์เป็น bitcoin ไปยังที่อยู่ที่ระบุ หลังจากนั้นผู้ใช้จะถูกส่งกุญแจเพื่อปลดล็อคคอมพิวเตอร์ทางอีเมล ไวรัสที่ตัดสินโดยคำอธิบายได้เข้ารหัสข้อมูลทั้งหมดบนคอมพิวเตอร์ของผู้ใช้
Group-IB ซึ่งป้องกันและสอบสวนอาชญากรรมในโลกไซเบอร์และการฉ้อโกง ได้ระบุไวรัสที่ส่งผลกระทบต่อบริษัทน้ำมัน บริษัทบอกกับ Forbes มันเป็นเรื่องของเกี่ยวกับไวรัสเข้ารหัส Petya ซึ่งไม่เพียงโจมตี Rosneft เท่านั้น ผู้เชี่ยวชาญ Group-IB พบว่ามีบริษัทประมาณ 80 แห่งในรัสเซียและยูเครนถูกโจมตี: เครือข่ายของ Bashneft, Rosneft, บริษัทยูเครน Zaporozhyeoblenergo, Dneproenergo และ Dnieper Electric Power System, Mondelēz International, Oschadbank, Mars, Nova Poshta, Nivea, TESA และอื่นๆ รถไฟใต้ดินเคียฟก็ถูกแฮ็กเกอร์โจมตีเช่นกัน คอมพิวเตอร์ของรัฐบาลยูเครน, ร้านค้า Auchan, ผู้ประกอบการชาวยูเครน (Kyivstar, LifeCell, UkrTeleCom), PrivatBank ถูกโจมตี สนามบิน Boryspil ยังถูกกล่าวหาว่าถูกโจมตีโดยแฮกเกอร์
ไวรัสแพร่กระจายในรูปแบบ Wannacry หรือผ่านรายชื่อผู้รับอีเมล - พนักงานของบริษัทเปิดไฟล์แนบที่เป็นอันตรายในอีเมล อีเมล. เป็นผลให้คอมพิวเตอร์ของเหยื่อถูกบล็อกและ MFT (ตารางไฟล์ NTFS) ได้รับการเข้ารหัสอย่างปลอดภัย ตัวแทน Group-IB อธิบาย ในขณะเดียวกัน ชื่อของโปรแกรมแรนซัมแวร์จะไม่ถูกระบุบนหน้าจอล็อค ซึ่งทำให้กระบวนการตอบสนองต่อสถานการณ์ยุ่งยากขึ้น เป็นที่น่าสังเกตว่า Petya ใช้อัลกอริธึมการเข้ารหัสที่แข็งแกร่งและไม่มีความสามารถในการสร้างเครื่องมือถอดรหัส Ransomware ต้องการเงิน 300 ดอลลาร์เป็น bitcoin เหยื่อได้เริ่มโอนเงินเข้ากระเป๋าสตางค์ของผู้โจมตีแล้ว
ผู้เชี่ยวชาญ Group-IB พบว่า Petya ransomware เวอร์ชันปรับปรุงล่าสุด “PetrWrap” ถูกใช้โดยกลุ่ม Cobalt เพื่อซ่อนร่องรอยของการโจมตีแบบกำหนดเป้าหมาย สถาบันการเงิน. กลุ่มอาชญากรโคบอลต์เป็นที่รู้จักจากการโจมตีธนาคารทั่วโลกที่ประสบความสำเร็จ - รัสเซีย, บริเตนใหญ่, เนเธอร์แลนด์, สเปน, โรมาเนีย, เบลารุส, โปแลนด์, เอสโตเนีย, บัลแกเรีย, จอร์เจีย, มอลโดวา, คีร์กีซสถาน, อาร์เมเนีย, ไต้หวัน และมาเลเซีย โครงสร้างนี้เชี่ยวชาญในการโจมตีแบบไร้สัมผัส (เชิงตรรกะ) บนตู้เอทีเอ็ม นอกเหนือจากระบบควบคุม ATM แล้ว อาชญากรไซเบอร์ยังพยายามเข้าถึงระบบโอนเงินระหว่างธนาคาร (SWIFT) เกตเวย์การชำระเงิน และการประมวลผลบัตร
“การโจมตีของแฮ็กเกอร์ที่ทรงพลังเกิดขึ้นบนเซิร์ฟเวอร์ของบริษัท เราหวังว่าสิ่งนี้จะไม่เกี่ยวข้องกับการดำเนินคดีทางกฎหมายที่กำลังดำเนินอยู่ “เพื่อตอบสนองต่อการโจมตีทางไซเบอร์ บริษัทได้ติดต่อกับหน่วยงานบังคับใช้กฎหมาย” บริษัทระบุในแถลงการณ์
การโจมตีของแฮ็กเกอร์ที่ทรงพลังได้ดำเนินการบนเซิร์ฟเวอร์ของบริษัท เราหวังว่าสิ่งนี้จะไม่เกี่ยวข้องกับการดำเนินคดีทางกฎหมายที่กำลังดำเนินอยู่
— PJSC NK รอสเนฟต์ (@RosneftRu) 27 มิถุนายน 2017
“ตามข้อมูลของเรา บริษัทมากกว่า 80 แห่งในรัสเซียและยูเครนได้รับผลกระทบจากการโจมตีโดยใช้ไวรัสเข้ารหัส Petya.A” Valery Baulin หัวหน้าห้องปฏิบัติการนิติเวช Group-IB กล่าว
แฮกเกอร์โจมตีผู้ผลิตน้ำมันใน Khanty-Mansi Autonomous Okrug ทั้งหมด เงินฝากที่ใหญ่ที่สุด“ตื่นแล้ว” เพราะไวรัสที่แพร่ระบาดในคอมพิวเตอร์เมื่อเช้านี้ บริษัท ย่อย"โรสเนฟต์". ทรัพย์สินทั้งหมดของบริษัทถูกโจมตี รวมถึง Yuganskneftegaz, Samotlorneftegaz และ Varieganneftegaz เพื่อทำความเข้าใจ: ในวินาทีนี้ การผลิตน้ำมันรัสเซียประมาณทุกๆ สามตันเป็นอัมพาต
วันนี้ดูเหมือนจะเป็นวันโลกาวินาศทางอินเทอร์เน็ตอีกครั้ง นอกจาก Rosneft/Bashneft แล้ว ยังมีคนอื่นๆ ที่ถูกโจมตีอีกด้วย บริษัทขนาดใหญ่. มีการรายงานปัญหาที่ Mondelēz International, Oschadbank, Mars, Nova Poshta, Nivea, TESA และอื่นๆ
ตรวจพบไวรัสแล้ว - มันคือ Petya.A
