Все отделения банка «Хоум Кредит» в России были вынуждены приостановить клиентские операции из-за масштабной хакерской атаки. По данным РБК, за помощью к специалистам в области компьютерной безопасности обратились во вторник около десяти российских банков

Фото: Светлана Холявчук / Интерпресс / ТАСС

Банк «Хоум Кредит» приостановил работу в связи с хакерской атакой, сообщил РБК источник в банке. Сотрудникам банка рекомендовали выключить все компьютеры, сайт банка на момент написания материала также был недоступен. По данным собеседника РБК, вирус затронул все офисы кредитной организации, в том числе центральный.

В пресс-службе банка «Хоум Кредит» сказали РБК, что сейчас они устроили проверку безопасности всех систем, но ни подтвердить, ни опровергнуть факт хакерской атаки на банк на данный момент они не могут.

Позднее в пресс-службе уточнили, что банк не проводит клиентские операции, но отделения работают в «консультационном режиме» по стандартному графику. Также можно воспользоваться банкоматами, отметили в пресс-службе банка.

Одновременно на странице банка «Хоум Кредит» в сети Facebook появилось сообщение о проведении проверки защищенности компьютерных систем банка. О возобновлении обслуживания обещают сообщить дополнительно.

Источник РБК в одной из компаний, занимающихся кибербезопасностью, сообщил, что к ним обратились около десяти банков, которые предположительно пострадали от вируса Petya, вероятно, использованного хакерами.

В Сбербанке РБК заверили, что все системы банка работают в штатном режиме. Представитель Альфа-банка сообщил, что никаких атак не фиксировали.

«Подобным атакам банк «Открытие», как и другие банки, подвергается несколько раз в неделю. Наши системы безопасности их успешно отражают. Мы функционируем в стандартном режиме и не прекращаем совершенствовать свои системы защиты», — пояснил РБК директор по информационной безопасности банка «Открытие» Вячеслав Касимов.

В пресс-службе Банка России сообщили о выявлении компьютерных атак, направленных на кредитные организации. По информации ЦБ, в результате атак зафиксированы единичные случаи заражения объектов информационной инфраструктуры. Нарушений работы систем банков и предоставления сервисов клиентам не зафиксировано.
«В настоящее время Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России совместно с кредитными организациями работает над устранением последствий выявленных компьютерных атак», — сообщили РБК в пресс-службе регулятора.

Ранее во вторник Национальный банк Украины (НБУ) о том, что сразу несколько украинских коммерческих банков и других предприятий подверглись «внешней хакерской атаке неизвестным вирусом».

«В результате таких кибератак эти банки испытывают трудности с обслуживанием клиентов и выполнением банковских операций», — отмечается в сообщении НБУ.

Об атаке, в частности, сообщил один из крупнейших банков Украины, Ощадбанк, а также банки ОТП, «Пивденный» и другие.

«Мы принимаем меры для обеспечения безопасности банка в киберпространстве. В этой связи вы можете испытывать временные сложности по обслуживанию в банке. Отделения банка сегодня работают в консультационном режиме», — говорится в сообщении банка «Пивденный».

Распространяющийся по Украине вирус в работе не только банков, но и целого ряда других предприятий и учреждений — от «Укрэнерго» до «Укрпочты».

Проблемы возникли и у российских компаний. В частности, хакерской атаке подверглась информационная система компании Evraz, крупнейшим из совладельцев которой является Роман Абрамович. Как сообщил представитель компании, в информационной системе произошел сбой, но основные производства продолжают работу, угрозы безопасности предприятий и сотрудников нет.

Стало известно также об атаке хакеров на компьютерные системы туроператоров «Музенидис Трэвел» и Anex tour. Как сообщил порталу TourDom.ru гендиректор «Музенидис Трэвел» Александр Цандекиди, злоумышленники взломали систему онлайн-бронирования и одновременно заблокировали доступ к локальным компьютерам компании, за возвращение которого требовали денег.

«Это никак не скажется на вылетах туристов к местам отдыха и возвращении их домой», — заверил Цандекиди.

Ранее во вторник о «мощной хакерской атаке» на свои серверы «Роснефть», из-за вирусной атаки вышли из строя компьютеры целого ряда банков и предприятий на Украине.

Причиной масштабной атаки на нефтяные, телекоммуникационные и финансовые компании в России и на Украине стал вирус-шифровальщик Petya. Атаке, начавшейся сегодня около 14:00, подверглись уже десятки компаний. Вирус блокирует компьютеры и требует $300 в биткойнах. Он распространяется по всему миру и, по данным «Лаборатории Касперского», уже затронул «огромное количество стран».

Как сообщили “Ъ” в компании по предотвращению и расследованию киберпреступлений и мошенничеств Group-IB, криптолокер Petya распространяется аналогично вирусу WannaCry. Среди жертв кибератаки оказались сети российских «Башнефти», «Роснефти», украинских «Запорожьеоблэнерго», «Днепроэнерго» и Днепровской электроэнергетической системы. Также в России атаке подверглись Mondelez International, Mars и Nivea. Помимо этого, по данным Group-IB, на Украине были атакованы правительственные компьютеры, Киевский метрополитен, магазины «Ашан», операторы связи («Киевстар», LifeCell, «Укртелеком»), Приватбанк, Чернобыльская АЭС и, предположительно, аэропорт Борисполь.

Представитель «Роснефти» Михаил Леонтьев сообщил “Ъ”, что атака была очень мощной и, если бы производственные подразделения не были сразу переведены на резервные системы управления, ущерб мог бы быть значительным. «В результате сейчас все производственные активы работают в штатном режиме и в этом сегменте ущерба не было никакого»,- подчеркнул Михаил Леонтьев. Один из собеседников “Ъ” в центральном аппарате «Роснефти» говорит, что не заметил признаков вируса. «После сообщений об атаке нас попросили выключить компьютеры»,- отметил он. Другой источник “Ъ”, близкий к «Роснефти», сообщил, что в ряде дочерних структур компании, в том числе в Уральском федеральном округе, компьютеры сотрудников были заблокированы всплывающими вирусными окнами.

Источник “Ъ” в ЛУКОЙЛе сообщил, что системы работают в штатном режиме. «Сотрудников предупредили не открывать письма с незнакомых адресов и подозрительные вложения»,- сказал он.

Представитель Evraz сообщил, что информационная система компании подверглась атаке, но основные производства продолжают работу. «Угрозы безопасности предприятий и сотрудников нет»,- отметил он.

Центробанк (ЦБ) также выявил случаи заражения IT-систем российских кредитных организаций в результате хакерской атаки. «По информации Банка России, в результате атак зафиксированы единичные случаи заражения объектов информационной инфраструктуры. Нарушений работы систем банков и нарушений предоставления сервисов клиентам не зафиксировано»,- приводит RNS заявление ЦБ.

В российском Mars хакерская атака затронула работу подразделения Royal Canin. Его представитель сказал “Ъ”, что «есть определенные сложности в работе IT». «У нас не работают компьютеры. С проблемой разбираются специалисты»,- уточнил он. В Mondelez International подтвердили, что сотрудники компании столкнулись с технологическими проблемами, которые затронули не только российское представительство, но и европейские филиалы. «На данный момент мы не можем прокомментировать подробности возникшей ситуации и работаем над решением проблемы»,- сообщили в пресс-службе.

Банк «Хоум кредит» приостановил обслуживание клиентов в связи с хакерской атакой. В пресс-службе банка сообщили, что в настоящее время все отделения работают по обычному графику, но в консультационном режиме, клиентские операции в отделениях сейчас проводить нельзя, банкоматы и колл-центр работают. Сайт банка недоступен.

По информации «Лаборатории Касперского», вирус-вымогатель Petya распространился по всему миру. Об этом заявил руководитель международной исследовательской команды «Лаборатории Касперского» Костин Райю в своем микроблоге в Twitter . «Вирус Petya с контактным адресом [email protected] распространяется во всем мире, огромное количество стран затронуто»,- сообщил он.

Несколько европейских компаний уже сообщили о кибератаках на свои компьютеры. Среди них - британская рекламная фирма WPP, голландская транспортная компания APM, датская компания A.P. Moller-Maersk, а также одна из международных компаний в Норвегии. Кроме того, атакам подверглись серверы представительств международных компаний Mondelēz International и DLA Piper в Испании, их компьютерные системы полностью выведены из строя.

Антивирусная компания Dr. Web провела исследование проведенных кибератак. В компании заявили , что, несмотря на проведенные в СМИ параллели с вирусом-вымогателем Petya, поразивший компьютеры ряда компаний России и Украины вирус отличается по способу распространения от Petya. Как и предыдущий вирус WannaCry, троянец распространяется самостоятельно, однако точных данных о способе его распространения и названии пока нет, сообщили в Dr. Web.

Генеральный директор «1С-Битрикс» Сергей Рыжиков в эфире "Ъ FM": «Нельзя написать антивирус, который защищает абсолютно от всех вирусов. Делается модификация вируса, и она получает некоторую фору в течение нескольких дней, пока антивирусы не выпустят соответствующих обновлений. Все это возможно, потому что есть экономическая выгода: создавая клоны вирусов, у преступников есть возможность получить эти деньги через биткоин. А если есть возможность получить и не быть наказанными, то эта история будет продолжаться неоднократно. Есть один надежный способ не заразиться - это навсегда отключиться от интернета, и то гарантии абсолютной нет, потому что что-то в этот компьютер будет втыкаться – те же флешки, - и это создает определенные риски».

Юлия Тишина, Олег Трутнев, Дмитрий Козлов, Анатолий Джумайло, Ольга Мордюшенко

МОСКВА, 27 июн — РИА Новости. Глобальная атака вируса-вымогателя во вторник поразила IT-системы компаний в нескольких странах мира, в большей степени затронув Украину. Атаке подверглись компьютеры нефтяных, энергетических, телекоммуникационных, фармацевтических компаний, а также госорганов.

Вирус блокирует компьютеры и требует 300 долларов в биткоинах, сообщили РИА Новости в компании Group-IB. Атака началась около 11.00. Способ распространения в локальной сети аналогичен вирусу WannaCry. По данным СМИ, на 18:00 биткоин-кошелек, который был указан для перевода средств вымогателям, получил девять переводов, с учетом комиссии за переводы пострадавшие перевели хакерам порядка 2,7 тысячи долларов.

По данным антивирусной компании ESET, атака началась с Украины, которая больше других стран пострадала от нее. Согласно рейтингу компании по странам, пострадавшим от вируса, на втором месте после Украины — Италия, а на третьем — Израиль. В первую десятку также вошли Сербия, Венгрия, Румыния, Польша, Аргентина, Чехия и Германия. Россия в данном списке занимает лишь 14-е место.

Petya или Misha

Президент ГК InfoWatch Наталья Касперская заявила, что Petya.A обнаружили еще в апреле 2016 года, и первый его вариант был бессильным, если ему не давались права администратора. "Поэтому он объединился с некоторым другим вымогателем-вирусом Misha, который имел права администратора. Это был улучшенная версия, резервный шифровальщик", — сказала Касперская.

В компании Dr.Web также заявили, что вирус, поражавший компьютеры по всему миру во вторник, отличается от вируса-вымогателя Petya способом распространения. По данным Dr.Web, троянец распространяется самостоятельно, как и нашумевший WannaCry.

В "Лаборатории Касперского" заявили, что вирус не принадлежит к ранее известным семействам вредоносного программного обеспечения. Специалисты компании проводит расследование, и в ближайшее время компания сможет предоставить больше информации по сценарию заражения и схеме работы вредоносного кода, сказали в "Лаборатории Касперского".

Атаки на Украине

Вице-премьер Украины Павел Розенко сообщил, что хакерской атаке подверглись все компьютеры в кабмине страны. По информации пресс-службы кабмина, компьютерные сети центральных органов власти подверглись масштабной хакерской атаке с 14.00. Вечером около 19:00 мск сайт кабмина возобновил работу, но деятельность по пресечению распространения вируса и преодолению последствий кибератак продолжается, сообщил премьер Владимир Гройсман. Он также заявил, что в результате хакерской атаки важные системы инфраструктуры страны не пострадали, атака будет отражена.

При этом в администрации президента Украины заявили, что она работает в штатном режиме, уделяя повышенное внимание ситуации в связи с кибератакой.

Департамент киберполиции получил 22 сообщения о вмешательстве в работу персональных компьютеров от государственных и частных учреждений. Украинские правоохранители возбудили уголовное дело по факту хакерских атак на предприятия и государственные учреждения.

Национальный банк Украины в середине дня предупредил об атаках на несколько украинских банков, а также на некоторые предприятия коммерческого и государственного секторов. Украинский государственный Ощадбанк ограничил предоставление ряда услуг.

Вследствие атак на украинские банки в киевском метро невозможно было оплатить проезд банковскими картами. Из-за атаки на медиахолдинг ТРК "Люкс" украинский информационный "24 канал", входящий в него, прекратил вещание.

Атакам также подверглись "Укрэнерго", "Киевэнерго", международный аэропорт "Борисполь", крупнейшая на Украине частная компания по оказанию услуг доставки "Новая почта". По данным Group-IB, на Украине пострадали также "Запорожьеоблэнерго", "Днепроэнерго" и "Днепровские электроэнергетические системы", "Ашан", украинские телеком-операторы.

Россия

Во вторник "Роснефть" сообщила, что ее серверы подверглись мощной хакерской атаке, в связи с чем компания обратилась в правоохранительные органы.

Кроме того, хакерской атаке подверглись информационные системы Evraz. В то же время в ряде других крупнейших металлургических компаний РФ, в частности в "Северстали", НЛМК, ММК, "Норникеле" и ТМК, заявили об отсутствии каких-либо инцидентов, связанных с кибератакой.

Банк России заявил, что выявил хакерские атаки, направленные на системы российских кредитных организаций; в результате этих атак зафиксированы единичные случаи заражения объектов информационной инфраструктуры. При этом нарушений работы систем банков и нарушений предоставления сервисов клиентам зафиксировано не было. В крупнейших российских банках РИА Новости сообщили, что не зафиксировали масштабных хакерских атак и работают в штатном режиме. В Сбербанке сообщили, что банк работает в штатном режиме на фоне произошедших во вторник хакерских атак.

Российские телекоммуникационные операторы также сообщили, что работают в штатном режиме, компании не затронул вирус-шифровальщик Petya.

Московская биржа также не зафиксировала хакерских атак на свои IТ-системы, сообщили РИА Новости в пресс-службе Московской биржи.

Другие страны

В Испании хакеры совершили атаку на серверы представительств международных компаний Mondelēz International (производитель продуктов питания и растворимых напитков) и DLA Piper (международная юридическая фирма), Saint-Gobain (французская компания-производитель строительных материалов). Национальный центр криптологии при Национальном центре разведки Испании заявил, что вирус — вариация вируса-вымогателя Petya, и что его жертвами стали "несколько международных компаний, имеющих представительства в Испании".

Транснациональная фармацевтическя компания со штаб-квартирой в США Merck & Co. подтвердила, что стала одной из жертв глобальной хакерской атаки, начато расследование. Немецкие компании также пострадали из-за хакерской атаки, сообщила Федеральная служба безопасности в сфере информационной техники (BSI) Германии. Сообщения о заражении вирусом появились и в Литве.

© AP Photo / Isaac Brekken

© AP Photo / Isaac Brekken

Участники конференции хакеров DefCon в Лас-Вегасе

Как обезопаситься

Как рассказал РИА Новости российский технологический инвестор, эксперт в IT-области Денис Черкасов, одним из наиболее надежных методов защиты от вирусов являются правильные действия сотрудников компании, а именно — игнорирование подозрительных писем и особенно просьб перейти по ссылкам. "В противном случае, вирус может расти, как снежный ком, благодаря таким "безобидным" действиям", — отметил Черкасов.

Поэтому, по его словам, продумывая тактику защиты бизнеса, в первую очередь, необходимо проводить тренинги по простым правилам кибербезопасности для коллектива. Во-вторых, даже самые современные системы защиты нуждаются в регулярном обновлении, для того чтобы не попасть под удар нового вирусного ПО. В-третьих, необходимы системы контроля целостности систем, чтобы быть в состоянии обнаружить распространение вируса в компьютерной сети до того, как он начал свое вредоносное действие.

"В качестве дополнительной меры с помощью функции AppLocker можно запретить исполнение файла с названием perfc.dat, а также заблокировать запуск утилиты PSExec из пакета Sysinternals", — советует представитель компании.

Иточник на предприятии сообщил в редакцию о том, что работа основных цехов ЕВРАЗ-ЗСМК парализована из-за неполадок с компьютерами. Технологические ПК основных цехов оказались заражены компьютерным вирусом WannaCry.

WannaCry - это вирус-вымогатель, который шифрует данные, находящиеся в памяти компьютера и требует деньги за разблокировку.

Как сообщает пресс-служба компании Positive Technologies , специализирующейся на информационной безопасности, за последний месяц от массовой ransomware-атаки WannaCry по всему миру пострадали тысячи пользователей по всему миру. Среди пострадавших крупные международные компании, правительственные учреждения и, конечно, рядовые пользователи Интернета. Охват заражения превысил планку в 200 тысяч машин и, судя по всему, продолжит расти. Атаки зарегистрированы в 150 странах мира, Россия также в числе пострадавших. Есть информация о попытках заражения в нескольких организациях — «Мегафоне», «ВымпелКоме», Сбербанке, «РЖД», Минздраве, МЧС и МВД. Атака оказалась столь масштабной, что Microsoft выпустила соответствующее обновление даже для ОС Windows XP, поддержка которой приостановлена с 2014 года. Для распространения WannaCry используется ETERNALBLUE-эксплойт для ОС Windows из утекшего в сеть набора группировки Shadow Brokers. Стоит отметить, что обновление, устраняющее данную уязвимость, было выпущено еще в марте, то есть за два месяца до этой атаки. Злоумышленники (к слову, получившие на текущий момент порядка 90 тысяч долларов, судя по выплатам на биткойн-кошельки) уже успели выпустить несколько модификаций вредоноса. Вероятно, в определенной степени это связано с преждевременной регистрацией домена-выключателя специалистом по кибербезопасности. Такой шаг замедлил распространение вредоноса на несколько часов. Над решением проблемы расшифровки файлов без оплаты «услуг» распространителей блокера бьются многие специалисты. Ряд компаний уже представили разбор принципа действия WannaCry, распространяемого через SMB и далее заражающего рабочие станции в ЛВС.

Про небезопасность использования SMBv1 известно уже достаточно давно. Патч для устранения уязвимости вышел три месяца назад. Про утечку эксплойт-пака группировки Shadow Brokers говорили буквально везде. О необходимости использования резервных копий не слышал только человек, никогда не пользовавшийся Интернетом. Казалось бы, в таких условиях никакой эпидемии и вовсе не должно быть, но увы. Все говорит о безответственном отношении администраторов, специалистов по безопасности и, в определенной степени, о неосведомленности пользователей в вопросах ИБ. Результаты исследований компании Positive Technologies подтверждают распространенную проблему использования уязвимых версий ПО в корпоративной инфраструктуре. При этом, как показала эпидемия WannaCry, защищенность системы не зависит от отрасли компании, что в целом подтверждается и имеющейся аналитикой. Атакам через уязвимости устаревшего ПО в равной степени подвержены системы промышленных компаний, ИТ, телекома, финансового сектора и государственные учреждения.

Клон вируса-вымогателя Wanna Cry Petya, шифрующий содержимое жесткого диска, а после требующий выкуп за расшифровку поразил IT-системы банка «Хоум Кредит» и металлургической компании Evraz, в том числе и в Новокузнецке.

Корреспонденту "Прокопьевск.ру" сообщили сотрудники Evraz, что работа предприятия нарушена. Специалисты пытаются восстановить систему.

По последним данным Group-IB, накануне от вируса пострадали уже более 80 компаний и ведомств в России и на Украине. Кроме того, о сбоях в работе своих систем сообщила датская компания Maersk.

В частности, жертвами хакеров стали «Роснефть»и «Башнефть», российский офис. На Украине вирус заразил компьютеры кабмина, метро Киева, энергетических компаний, аэропорта «Борисполь». Об этом сообщает ФАН .

Портал "Медуза" подробно описывает, как работает вирус, а также путь заражения. Предалагем вам материал.

Наиболее подробно механизм работы вирусов-вымогателей был описан еще в апреле 2016 года в блоге компании Malwarebytes Labs. Тогда вирус распространялся как письмо с резюме сотрудника: по клику на него открывалась Windows-программа, требовавшая прав администратора. Если невнимательный пользователь соглашался, то программа-установщик переписывала загрузочную область жесткого диска и показывала «синий экран смерти»: сообщение о сбое, предлагающее перезагрузить компьютер.

На этой стадии, как пишут исследователи, жесткий диск еще не зашифрован, и данные можно спасти — например, если выключить компьютер и подключить жесткий диск к другому, но не загружаться с него. В этой ситуации все данные можно будет скопировать.

После перезагрузки Petya запускает программу, маскирующуюся под утилиту CHKDSK. На самом деле она не проверяет жесткий диск на предмет ошибок, а шифрует его, причем, как установили исследователи из Malwarebytes Labs, не целиком, а лишь частично. В «Лаборатории Касперского» в конце марта 2016 года утверждали, что метод шифрования, применяемый в Petya, позволяет с помощью специалистов восстановить все данные.

После завершения шифрования компьютер показывает красный экран с сообщением «Вы стали жертвой вируса-вымогателя Petya» и предложением заплатить 300 долларов в биткоинах. Подробная инструкция, как купить необходимую сумму в биткоинах и как ее перечислить, содержалась на сайте в «дарквебе».

Судя по скриншотам современной версии Petya, теперь никакого сайта и подробной инструкции нет: зараженным пользователям предлагается написать на указанный почтовый адрес и в обмен на доказательство перечисления средств получить код для расшифровки жесткого диска.

Исследователи отмечают, что часть Petya, отвечающая за блокировку доступа, перехватывает управление компьютером на самом раннем этапе загрузки. Она написана высококвалифированными программистами.

С начала 2016 года Petya неоднократно видоизменялся. Существуют версии с желтым оформлением экрана с требованием выкупа, существуют и такие, где название вируса не указывается.

Как именно работает и распространяется та версия Petya, с которой столкнулись пользователи 27 июня, пока не сообщается. Судя по масштабу заражения, вирус доработан и имеет какую-то более сложную систему распространения. На Github уже появилась ссылка на один из биткоин-кошельков, который собирает деньги с зараженных вирусом компьютеров. На момент написания текста «Медузы» на него перечислили чуть более 2300 долларов.

Наиболее простой метод защиты от Petya и аналогичных вирусов-вымогателей — не кликать на вложения в подозрительных письмах от людей, которых вы не знаете.