Сьогодні вдень троянець під кодовим ім'ям Petya ( "Петя") атакував компанії і установи по всьому світу. Як повідомив в Twitter глава міжнародної дослідницької команди "Лабораторії Касперського" Костін Райю, троянець "Petya з контактною адресою [email protected]" був створений 18 червня, а зараз вражає нафтові, телекомунікаційні та фінансові компанії Росії і України.

Потрапивши в систему, Petya блокує доступ до файлів і вимагає $ 300 в біткоіни за їх розблокування. Як повідомляє Reuters, троянець вже торкнувся "Роснефть" - найбільшу в Росії нафтогазову компанію, вантажоперевізні фірму Møller-Mærsk Gruppen, а також міжнародний аеропорт на Україні. Більш того, про атаки повідомила Євраз - велика металургійна і гірничодобувна компанія з активами в Росії, на Україні і США, а також найбільша британська рекламна компанія WPP.

"IT системи декількох компаній групи WPP стали, імовірно, метою кібератаки. Ми приймаємо необхідні заходи", - повідомили в компанії. Проте, достовірно невідомо, чи пов'язана ця атака з вірусом Petya. За даними Group-IB, жертвами кібератаки також виявилися мережі "Башнефть", Mars, Nivea, урядові комп'ютери України, магазини "Ашан" і українські оператори, включаючи "Київстар" і LifeCel.

Нова версія вірусу містить підроблену цифровий підпис Microsoft. Як повідомив керівник досліджень "Лабораторії Касперського" Костін Райю, саме вона дозволяє зловмисникам проникнути в систему.

Схему поширення Petya пов'язують з WanaCrypt0r 2.0 (WCry) - вірусом, що уразив сотні тисяч комп'ютерів по всьому світу в травні. Троянець блокував доступ до файлів до тих пір, поки жертва не заплатить викуп. За оцінками експертів, вірус вразив понад 300 тисяч Windows-комп'ютерів через "діру" в сервері SMB. Менш ніж за 72 години від нього постраждали системи в 150 країнах.

У Росії WCry паралізував сервери МВС, Слідчого комітету і "Мегафона", а Австралії - заблокував роботу десятків швидкісних камер і світлофорів, в Європі - одну з найбільших телекомунікаційних компаній Telefonica. Аналогічно Petya, WCry вимагав $ 300 за повернення доступу до файлів.

Незважаючи на це, ще 23 червня експерти попереджали про наступника WCry. Як повідомляв IT-директор компанії IDT Голан Бен-Вони, через приблизно два тижні після атаки WCry комп'ютери його фірми вразив ще один троянець, який також вимагав викуп за повернення доступу до даних.

Однак вимога грошей виявилося прикриттям. За словами Бен-Вони, вірус не просто блокував доступ до файлів, але і передавав зловмисникам облікові дані співробітників, які можуть бути використані для подальших атак. Ситуацію ускладнював той факт, що споріднену WCry версію на той момент не ідентифікувала жодна велика антивірусна компанія.

джерела: Reuters , ТАСС , BFM

Поділіться новиною: