Reklama

Reklama

Seria ataków hakerskich w Europie Zachodniej i na Ukrainie

Wirus typu ransomware znany jako Petya jest odpowiedzialny za awarie systemów komputerowych, do jakich doszło we wtorek w Europie, wyrządzając największe szkody na Ukrainie, w Rosji, Anglii, a także w Indiach - podały szwajcarskie służby ds. cyberbezpieczeństwa. Fala ataków dotarła także do USA.

Według rządowej agencji MELANI do ataku użyto wirusa o nazwie Petya, bądź Pety.A (czyt. Pietia) - tego samego, który spowodował już awarie systemów teleinformatycznych w 2016 roku.

Wirus szyfruje dane komputerów, a za ich odblokowanie żąda równowartości 300 dolarów w wirtualnej walucie bitcoin. Norweskie służby odpowiedzialne za cyberbezpieczeństwo przekazały, że w Norwegii celem ataku stała się "międzynarodowa firma", której nazwy nie podano. Również w tym przypadku hakerzy zażądali okupu za odblokowanie serwerów.

W Rosji zaatakowano m.in. serwery państwowego koncernu naftowego Rosnieft. Na Ukrainie celem ataku były: system bankowy i telekomunikacyjny, rządowe sieci komputerowe, najważniejsze lotniska w kraju, ciepłownie, elektrownie oraz metro w Kijowie. 

Duński koncern A.P. Moeller-Maersk działający głównie w branży transportu morskiego i energii, brytyjska firma WPP - gigant z branży reklamy i public-relations, oraz terminale w największym w Europie porcie w Rotterdamie padły we wtorek ofiarą ataków hakerskich. Wcześniej poinformowano o cyberatakach na Ukrainie. 

O awarii systemów komputerowych firma A.P. Moeller-Maersk, która zatrudnia 120 tys. pracowników w 135 krajach, poinformowała rzeczniczka koncernu, potwierdzając, że powodem jest cyberatak na liczne należące do koncernu firmy i strony internetowe.

Reklama

"Możemy potwierdzić, że systemy teleinformatyczne Maersk nie działają (...) na skutek cyberataku. W dalszym ciągu oceniamy sytuację. Bezpieczeństwo naszych pracowników, naszych operacji i interesy naszych klinetów jest naszym najwyższym priorytetem" - głosi informacja na stronie koncernu.

Do A.P. Moeller-Maersk należy m.in. firma APM Terminals, która potwierdziła, że również padła ofiarą cyberataku, który zakłócił pracę 17 należących do niej terminali konternerowych, w tym dwa w porcie w Rotterdamie - podała holenderska telewizja RTV.

Agencja WPP poinformowała w komunikacie, że wiele należących do niej firm padło ofiarą ataku hakerskiego, nie podając dalszych szczegółów. Jej strona internetowa nie działa. Zaznaczono, że trwa ocena sytuacji i podejmowane są odpowiednie kroki. 

W USA pierwszym celem cyberataku stał się koncern farmaceutyczny Merck - wynika z komunikatu koncernu. Nasz system informatyczny został złamany na skutek światowego cyberataku" - przekazała rzeczniczka firmy zatrudniającej 70 tys. osób. Dodała, że atak wykryto najpierw w oddziałach na Wschodnim Wybrzeżu USA.

Cyberataki na Ukrainie

Wcześniej poinformowano, że nieznany wirus komputerowy zaatakował system bankowy i telekomunikacyjny Ukrainy, poważnie utrudniając pracę największego lotniska w kraju, metra w Kijowie oraz zakładów energetycznych i ciepłowniczych. Ukraińskie MSW twierdzi, że stoją za tym rosyjskie służby specjalne. Ukraina padła już ofiarą poważnego cyberataku ponad rok temu.  

Ataków dokonano spoza granic kraju i miały one masowy charakter - donoszą ukraińskie media. W serwisach społecznościowych pisze się o problemach z metrem, bankami, lotniskami, rządowymi firmami i telewizją.

Pierwszy o problemie poinformował Narodowy Bank Ukrainy (NBU), który przekazał, że niektóre banki mają problemy z płatnościami i obsługą klientów."Bank Narodowy jest przekonany, że ochrona infrastruktury bankowej przed oszustwami w cyberprzestrzeni zorganizowana jest w należyty sposób, a próby ataków komputerowych na systemy informatyczne banków zostaną zneutralizowane" - oświadczył NBU.

Rosyjski koncern naftowy Rosnieft poinformował, że padł ofiara ataku hakerskiego na dużą skalę, ale wydobycie i przetwarzanie ropy nie zostało wstrzymane dzięki przejściu na system rezerwowy."Atak hakerski mógł mieć poważne konsekwencje, ale firma przeszła na rezerwowy system przetwarzania i produkcji; ani wydobycie, ani rafinowanie nie zostały wstrzymane" - podała firma w komunikacie zamieszczonym na Twitterze.

Hakerzy zarazili wirusem sieć komputerową nieczynnej elektrowni atomowej w Czarnobylu. Systemy technologiczne stacji działają w zwykłym trybie - poinformowały władze. Elektrownia w Czarnobylu na północy Ukrainy została zamknięta po wybuchu jej czwartego reaktora w 1986 roku. Reaktor ten został niedawno zabezpieczony nową izolacją. Obecnie działa tam zakład przechowywania zużytego paliwa jądrowego. W związku z atakiem nie działa strona internetowa elektrowni w Czarnobylu - przekazała we wtorek państwowa agencja, która zarządza strefą wokół siłowni. "W wyniku tymczasowego odłączenia systemu Windows monitoring promieniowania placu przemysłowego (wokół reaktora - PAP) odbywa się ręcznie. Automatyczny system kontroli promieniowania w strefie działa w trybie zwykłym" - oświadczono w komunikacie.

Plan rosyjskich służb specjalnych?

Hakerzy, którzy zaatakowali system bankowy Ukrainy, unieruchomili także sieci komputerowe rządu oraz szeregu ważnych instytucji państwowych. Zarażono je najprawdopodobniej wirusem o nazwie Pety.A, z którym walczy już ukraińska cyberpolicja. Cybereksperci twierdzą, że nowa mutacja wirusa nosi nazwę Lokibot. Atak zorganizowały służby specjalne Rosji - oświadczył doradca szefa MSW i deputowany do ukraińskiego parlamentu Anton Heraszczenko. 

"Przeciwko Ukrainie rozpoczęto ogromny cyberatak, który odbywa się pod przykrywką wirusa. Według wstępnych informacji jest to zorganizowany system, swego rodzaju trening ze strony służb specjalnych Federacji Rosyjskiej" - powiedział w jednej ze stacji telewizyjnych.

O awarii komputerów w siedzibie Rady Ministrów w Kijowie poinformował wicepremier Pawło Rozenko. "(...) Nasza sieć też padła. Taki obrazek pokazują   

Powtórka z zeszłorocznych ataków?

Dostawca energii - Ukrenergo - zaprzecza, pomimo podawanym informacjom, aby ich systemy padły ofiarą ataku hakerów. Ile w tym prawdy? Na przełomie 2015 i 2016 roku niemal połowa domów i mieszkań w obwodzie iwanofrankiwskim na Ukrainie (prawie milion mieszkańców) została pozbawiona energii elektrycznej na kilka godzin. Według ukraińskiej agencji informacyjnej TSN, przyczyną awarii zasilania był ,,atak hakerów" na jednego z lokalnych dostawców energii elektrycznej (firmę Prykarpattyaoblenergo). Eksperci, dzięki zebranym danym, poinformowali, że w tym czasie również inne przedsiębiorstwa energetyczne na Ukrainie zostały zaatakowane przez cyberprzestępców. Analiza wykazała, że hakerzy wykorzystywali do ataku zagrożenie BlackEnergy, które zostało wykorzystane do zainstalowania innego złośliwego programu KillDisk.     

Eksperci na podstawie zebranych informacji przedstawili, jak najprawdopodobniej wyglądał scenariusz tych ataków. Najpierw pracownik firmy energetycznej otrzymał email, którego nadawca podszywał się pod przedstawiciela ukraińskiego parlamentu. Do wiadomości dodano załącznik w postaci dokumentu pakietu Office, który po otwarciu informował ofiarę, że do prawidłowego działania wymaga włączenia makr. 

Postąpienie zgodnie z zaleceniem skutkowało zainfekowaniem komputera zagrożeniem BlackEnergy Lite. Następnie zagrożenie to pobierało kolejne złośliwe oprogramowanie KillDisk. W standardowej wersji zagrożenie to potrafi m.in. usunąć wszystkie dane z dysków twardych zaatakowanych komputerów.W wersji wykrytej w ukraińskich firmach energetycznych zagrożenie KillDisk zostało wyposażone w zestaw nowych funkcji, m.in. możliwość opóźnienia swojego uruchomienia oraz nieodwracalną zmianę w plikach wykonywalnych specjalistycznych systemów przemysłowych, wykorzystywanych m.in. przez elektrownie. W efekcie w wigilię 2015 roku niemal milion mieszkańców ukraińskiego obwodu iwanofrankiwskiego została pozbawiona na kilka godzin prądu.    

Kolejna odsłona Ransomware?

Media donoszą, że zablokowane komputery na Ukrainie wyświetlają informację o konieczności uiszczenia okupu wynoszącego 300 dolarów. Szkodniki działające w taki sposób do ransomware. W tym roku cały świat musiał zmierzyć się z jedną z wersji takiego wirusa. WannaCry zaatakował na całym świecie 12 maja. W trakcie kilku godzin systemy ochrony wykorzystywane w rozwiązaniach firmy wykryły przynajmniej 45 000 prób infekcji w 74 krajach. Szkodliwe oprogramowanie zastosowane w ataku wykorzystywało lukę w systemach Windows, która została opisana i usunięta w biuletynie MS17-010  opublikowanym przez firmę Microsoft. Po zainfekowaniu systemu atakujący wirus instalował szkodliwy moduł (rootkit), który pozwalał na pobieranie oprogramowania ransomware szyfrującego dane ofiary. Po zakończeniu szyfrowania wyświetlany był komunikat o konieczności zapłaty równowartości 600 dolarów amerykańskich w walucie Bitcoin za odszyfrowanie danych. 

Jak wspomniano na początku materiału, pojawiły się sygnały, że ransomware rozprzestrzeniający się na Ukrainie to Lokibot, nowy wariant Pety.A.   

Reklama

Reklama

Reklama

Reklama