Încărcătoare 

MegaFon a suferit un atac de hacker. Operatorul rus de telefonie mobilă Megafon piratat de hackerii Megafon

  • 12 Mai 2017, 19:43 Sistemele informatice ale Ministerului Afacerilor Interne și Megafon au fost supuse unui atac de virus

Intern sistem informatic Ministerul rus al Afacerilor Interne a fost lovit de virus, relatează Varlamov.ru, citând mai multe surse familiare cu situația.

Sursa Mediazona din Ministerul Afacerilor Interne a confirmat faptul infectarii calculatoarelor departamentale. Potrivit acestuia, vorbim de departamente din mai multe regiuni.

Anterior, informații despre o posibilă infecție cu virus apăreau pe site-ul Pikabu și pe forumul Kaspersky. Potrivit unor utilizatori, acesta este un virus WCry(cunoscut și ca Vreau să plâng sau WannaCryptor) – criptează fișierele utilizatorului, modifică extensia acestora și vă solicită să cumpărați un decriptor special pentru bitcoin; altfel fișierele vor fi șterse.

Potrivit utilizatorilor de pe forumul Kaspersky, virusul a apărut pentru prima dată în februarie 2017, dar „a fost actualizat și acum arată diferit față de versiunile anterioare”.

Serviciul de presă Kaspersky nu a putut să comenteze prompt incidentul, dar a promis că va publica o declarație în viitorul apropiat.

Angajat al companiei Avast Jakub Kroustek raportat pe Twitter că cel puțin 36 de mii de computere din Rusia, Ucraina și Taiwan sunt infectate.

Site-ul lui Varlamov notează că au apărut și informații despre infectarea computerelor din spitalele publice din mai multe regiuni din Marea Britanie și un atac asupra unei companii de telecomunicații spaniole. Telefonica. În ambele cazuri, virusul cere și plata.

Compania a remarcat că în martie actualizarea a oferit deja protecție suplimentară împotriva unor astfel de viruși.

„Utilizatorii noștri antivirus gratuitși actualizat versiuni Windows protejat. Lucrăm cu utilizatorii pentru a oferi ajutor suplimentar", a adăugat compania.

Anterior, Kaspersky Lab Mediazone, care Virusul WannaCrypt folosește rețeaua Vulnerabilitatea Windows, închis de specialiștii Microsoft încă din martie.

Ministerul Afacerilor Interne a confirmat atacurile hackerilor asupra computerelor sale

Ministerul Afacerilor Interne a confirmat atacurile hackerilor asupra computerelor sale, transmite RIA Novosti.

Potrivit secretarului de presă al Ministerului Afacerilor Interne Irina Volk, departamentul tehnologia de informație, Comunicații și Protecție Informațională a Ministerului a înregistrat un atac de virus asupra calculatoarelor Ministerului Afacerilor Interne cu sistemul de operare Windows.

„Datorită măsurilor luate în timp util, aproximativ o mie de computere infectate au fost blocate, adică mai puțin de 1%”, a spus Volk, adăugând că resursele de server ale Ministerului Afacerilor Interne nu au fost infectate deoarece funcționează pe alte sisteme de operare.

"ÎN momentul prezent virusul a fost localizat și este în curs de desfășurare munca tehnica pentru distrugerea acesteia și reînnoirea fondurilor protectie antivirus„- a spus secretarul de presă al ministerului.

Peste șase mii de dolari au fost transferați în portofelele Bitcoin ale hackerilor care răspândesc virusul WannaCry.

Cel puțin 3,5 bitcoini au fost transferați hackerilor care au răspândit virusul ransomware WannaCry, scrie Meduza. Conform cursului de schimb de 1.740 USD pentru un bitcoin la ora 22:00, ora Moscovei, această sumă este de 6.090 USD.

Meduza a ajuns la această concluzie pe baza istoricului tranzacțiilor cu portofelele Bitcoin către care virusul a cerut să fie transferați bani. Adresele portofelului au fost publicate într-un raport Kaspersky Lab.

Trei portofele au efectuat 20 de tranzacții pe 12 mai. Practic, le-au fost transferați 0,16-0,17 bitcoini, ceea ce este egal cu aproximativ 300 USD. Hackerii au cerut să plătească această sumă într-o fereastră pop-up pe computerele infectate.

Avast a numărat 75 de mii de atacuri în 99 de țări

companie IT Avast a raportat că virusul WanaCrypt0r 2.0 a infectat 75 de mii de computere în 99 de țări, potrivit site-ului web al organizației.

Majoritatea computerelor sunt infectate în Rusia, Ucraina și Taiwan.

Acum 13 ore în blogul unui specialist în domeniu securitatea calculatorului Brian Krebs are un record de transfer de bitcoin către hackeri în valoare totală de 26 de mii de dolari SUA.

Europol: 200 de mii de computere din 150 de țări au fost atacate de un virus

Infecție virus Vreau să plângîn trei zile, peste 200 de mii de computere din 150 de țări au fost deja expuse, a spus el într-un interviu acordat canalului TV britanic ITV Rob Wainwright, director al poliției europene Europol. Cuvintele lui sunt citate Sky News.

„Răspândirea virusului în întreaga lume este fără precedent. Potrivit ultimelor estimări, vorbim de 200 de mii de victime în cel puțin 150 de țări, iar printre aceste victime se numără întreprinderi, inclusiv marile corporații", a spus Wainwright.

El a sugerat că numărul de computere infectate va crește probabil semnificativ atunci când oamenii se vor întoarce la lucru pe computerele lor luni. În același timp, Wainwright a remarcat că până acum oamenii au transferat „surprinzător de puțini” bani către cei care răspândesc virusul.

În China, virusul a atacat computerele a 29 de mii de instituții

Virus Vreau să plâng au atacat calculatoarele a peste 29 de mii de instituții, numărul celor afectați computere care vin cu sute de mii, Xinhua raportează date de la Centrul de evaluare a amenințărilor computerizate Qihoo 360.

Potrivit cercetătorilor, computerele din peste 4.340 de universități și alte instituții de învățământ au fost atacate. Infecțiile au fost observate și pe computerele din gări, organizații poștale, spitale, centre comerciale și agenții guvernamentale.

„Nu a existat niciun prejudiciu semnificativ pentru noi, pentru instituțiile noastre - nici pentru banca, nici pentru sistemul de sănătate, nici pentru alții”, a spus el.

„În ceea ce privește sursa acestor amenințări, în opinia mea, conducerea Microsoft a declarat direct acest lucru, ei au spus că sursa principală a acestui virus sunt serviciile de informații ale Statelor Unite, Rusia nu are absolut nimic de-a face cu asta. Este ciudat pentru mine să aud ceva diferit în aceste condiții”, a adăugat președintele.

Putin a cerut, de asemenea, să se discute problema securității cibernetice „la un nivel politic serios” cu alte țări. El a subliniat că este necesară „dezvoltarea unui sistem de protecție împotriva unor astfel de manifestări”.

Virusul Vreau să plâng au apărut clone

Virusul Vreau să plâng au apărut două modificări, scrie Vedomosti cu referire la Kaspersky Lab. Compania crede că ambele clone au fost create nu de autorii virusului ransomware original, ci de alți hackeri care încearcă să profite de situație.

Prima modificare a virusului a început să se răspândească în dimineața zilei de 14 mai. Kaspersky Lab a descoperit trei computere infectate în Rusia și Brazilia. A doua clonă a învățat să ocolească o bucată de cod care a fost folosită pentru a opri primul val de infecții, a menționat compania.

El scrie și despre clonele de virus Bloomberg. Fondatorul companiei Tehnologii Comae, angajat în securitatea cibernetică, Matt Suish a spus că aproximativ 10 mii de computere au fost infectate cu a doua modificare a virusului.

Potrivit Kaspersky Lab, de șase ori mai puține computere au fost infectate astăzi decât vineri, 12 mai.

Virus Vreau să plâng ar fi putut fi creat de un grup de hackeri nord-coreeni Lazăr

Virus ransomware Vreau să plâng ar fi putut fi creat de hackeri din grupul nord-coreean Lazarus, potrivit site-ului specializat al Kaspersky Lab.

Specialiștii companiei au atras atenția asupra tweet-ului analistului Google Neela Mehta. După cum a concluzionat Kaspersky Lab, mesajul indică asemănări între cele două mostre - au cod general. Tweet-ul oferă o mostră criptografică Vreau să plâng din februarie 2017 și grupul de eșantion Lazăr din februarie 2015.

„Povestea polițiștilor devine din ce în ce mai strânsă și acum același cod a fost găsit în # Vreau să plâng iar în troienii din Lazăr», -

Directorul de relații publice al MegaFon, Petr Lidov, a declarat pentru Kommersant că biroul de capital al companiei a fost supus atac de hacker. „Computerele s-au prăbușit și un ecran de blocare a apărut pe ele, cerând 300 de dolari pentru deblocare”, a spus el. Apoi au venit informații că același lucru s-a întâmplat și cu abonații operatorilor Telefonica și Vodafone din Spania.

Potrivit lui Peter Lidov, specialiștii au fost nevoiți să închidă rețelele la un moment dat pentru a preveni răspândirea în continuare a virusului. „Un număr de regiuni au fost afectate; restul au trebuit să fie închise temporar, ca măsură de precauție. Acest lucru a afectat serviciile de retail și de asistență pentru clienți, deoarece operatorii folosesc în mod natural computerele pentru a accesa bazele de date. Centrele de apeluri au fost reparate. Acest lucru nu a afectat comunicațiile și conturile personale”, a spus domnul Lidov.

După cum a spus Boris Ryutin, un cercetător de la Digital Security, pentru Kommersant, experții MalwareHunterTeam și alți cercetători independenți sunt de acord că acesta este un program rău intenționat de tip ransomware, adică un virus ransomware. „Pericolul de infectare este că, în funcție de implementare, fișierele utilizatorului se pot pierde iremediabil”, a clarificat el.

„Vedem un atac, iar virusul este foarte complex”, a declarat Solar Security pentru Kommersant. în acest moment elaborăm recomandări pentru contramăsuri.” „Virusul este foarte complex și nu se poate exclude încă că este ceva mai periculos decât un simplu ransomware. Este deja evident că viteza de răspândire a acesteia este fără precedent”, a adăugat compania.

Reprezentantul Microsoft, Kristina Davydova, a declarat pentru Kommersant că experții au adăugat detectarea și protecție împotriva noilor malware, cunoscut sub numele de Ransom:Win32.WannaCrypt. „În martie, am introdus și protecție suplimentară împotriva programelor malware de această natură, împreună cu o actualizare de securitate care împiedică răspândirea malware-ului în rețea”, a spus ea.

Un cercetător în securitatea informațiilor sub porecla w0rm a anunțat că a efectuat cu succes un atac de hacker operator rus comunicatii mobile"Megafon". Potrivit hackerului, aceștia au obținut acces la sistem de fișiere mai multe site-uri de operator. În plus, hackerul a avut la dispoziție și datele oficiale ale angajaților companiei.

Potrivit hackerului, acesta a avut ocazia să aibă acces la datele clienților Megafon, dar nu a făcut acest lucru, ghidându-se de considerente etice. Hackerul a prezentat mai multe capturi de ecran ca dovezi care arată structura fișierelor unuia dintre site-urile piratate și panoul de control nume de domeniu megafon.mobi.

Hackerul susține că și-a schimbat parola pentru a intra în contul personal. La schimbarea parolei, s-a dovedit că parola este formată din doar 6 cifre și poate fi schimbată doar cu aceeași parolă digitală din șase cifre. Astfel, o parolă formată din 6 cifre poate fi ghicită destul de ușor în absența mecanismelor de blocare a forței brute. Rolul unui astfel de mecanism pe site-ul Megafon este jucat de un captcha.

Această protecție a fost depășită folosind un widget Yandex învechit, în care nu trebuie să introduceți un captcha. După cum a raportat hackerul, 20-30 de minute sunt suficiente pentru a obține acces la o parolă arbitrară prin ghicirea parolei. cont personal De număr de telefon detalii despre abonat și apel de studiu, SMS, nume complet și informații de plată.

Un astfel de succes major l-a determinat pe hacker să auditeze și alte domenii care aparțin companiei. Drept urmare, a reușit să obțină o arhivă cu copie de rezervă Sisteme de management de proiect Jira de la începutul anului 2015. Folosind acreditările angajaților Megafon, care erau conținute în arhivă, hackerul a obținut acces la mail corporativeși unele resurse de servicii.

Reprezentanții Megafon spun că nu a fost găsită nicio dovadă a pătrunderii cu succes în sistem. Compania desfășoară în prezent verificări suplimentare pe baza mesajelor de pe rețelele sociale.

În luna mai a acestui an, w0rm a efectuat deja un atac de succes asupra site-ului de divertisment Sprashivay.ru. Apoi cercetătorul în acces general A fost postată o arhivă cu parolele utilizatorului serviciului. Înainte de asta, a desfășurat atacuri cu succes asupra site-urilor mass-media străine precum The Wall Street Journal și Vice.

UPD (15.05.2017):Compania Megafon a devenit victima unui nou incident legat de securitatea informatiei. rusă operator de telefonie mobilăîmpreună cu zeci de companii și organizații din întreaga lume, au devenit o victimă a activității Wannacry ransomware.

Detalii pot fi găsite în nou de la SecureNews.

Pe lângă companiile de telecomunicații, agențiile ruse de drept - Ministerul Afacerilor Interne și Comisia de Investigații - au devenit victime ale atacurilor hackerilor, potrivit surselor de la RBC, precum și Gazeta.Ru și Mediazona.

interlocutorul RBC în Ministerul Afacerilor Interne a vorbit despre un atac asupra rețelelor interne ale departamentului. Potrivit acestuia, au fost atacate în principal departamentele regionale ale ministerului. El a clarificat că virusul a afectat computerele din cel puțin trei regiuni din partea europeană a Rusiei. Sursa a adăugat că acest atac nu ar trebui să afecteze activitatea Ministerului Afacerilor Interne. Un alt interlocutor RBC de la minister a spus că hackerii ar fi putut avea acces la bazele de date ale Ministerului Afacerilor Interne, dar nu se știe dacă au reușit să descarce informații de acolo. Atacul asupra Ministerului Afacerilor Interne a afectat doar acele computere care nu au fost actualizate de mult timp sistem de operare, a spus un interlocutor la catedră. Munca ministerului nu este paralizată de hackeri, dar este foarte îngreunată.

ÎN Germania serviciile de hackeri ale Deutsche Bahn, care este principalul operator feroviar al țării. Acest lucru a fost raportat de postul TV ZDF cu referire la Ministerul Afacerilor Interne al țării.

Partenerii Departamentului de Securitate Internă al SUA suport tehnicși asistență în lupta împotriva ransomware-ului WannaCry.

Ce fel de virus?

Conform mesajului Kaspersky Lab , virusul în cauză este ransomware-ul WannaCry. „După cum a arătat analiza, atacul a avut loc prin cunoscuta vulnerabilitate a rețelei Microsoft Security Bulletin MS17-010. Apoi a fost instalat un rootkit pe sistemul infectat, cu ajutorul căruia atacatorii au lansat un program de criptare”, a spus compania.

„Toate soluțiile Kaspersky Lab detectează acest rootkit ca MEM: Trojan.Win64.EquationDrug.gen. Soluțiile noastre detectează și ransomware-ul care a fost folosit în acest atac cu următoarele verdicte: Trojan-Ransom.Win32.Scatter.uf, Trojan-Ransom.Win32.Fury.fr, PDM: Trojan.Win32.Generic (pentru a detecta acest malware Componenta sistemului Watcher trebuie să fie activat),” a menționat compania.

Pentru a reduce riscul de infecție, experții Kaspersky Lab sfătuiesc utilizatorii să instaleze patch-ul oficial de la Microsoft, care închide vulnerabilitatea folosită în atac și, pentru a preveni astfel de incidente, să folosească serviciile de raportare a amenințărilor pentru a primi în timp util date despre cele mai multe atacuri periculoase si posibile infectii.

A fost comentat și atacul hackerilor Microsoft . „Astăzi, experții noștri au adăugat detectarea și protecție împotriva unui nou malware cunoscut sub numele de Ransom: Win32.WannaCrypt. În martie, am introdus și protecție suplimentară împotriva acestui tip de malware cu o actualizare de securitate care împiedică răspândirea malware în rețea. Utilizatorii antivirusului nostru gratuit și ai versiunii actualizate de Windows sunt protejați. Lucrăm cu utilizatorii pentru a oferi asistență suplimentară”, spune o declarație a unui reprezentant Microsoft în Rusia, primită de RBC.

Reprezentant Securitate solară a spus RBC că compania vede atacul și examinează în prezent un eșantion al virusului. „Nu suntem pregătiți să împărtășim detalii în acest moment, dar malware-ul a fost scris clar de profesioniști. Încă nu se poate exclude faptul că este ceva mai periculos decât un ransomware. Este deja evident că viteza de răspândire a acesteia este fără precedent”, a spus sursa. Potrivit acestuia, pagubele cauzate de virus sunt „enorme”, a afectat organizații mari din 40 de țări, dar este imposibil să se ofere încă o evaluare exactă, deoarece capacitățile malware-ului nu au fost încă studiate pe deplin, iar atacul este în prezent în dezvoltare.

Director general Grupa-IB Ilya Sachkov a declarat pentru RBC că ransomware similar cu cel folosit în atacul actual este o tendință în creștere. În 2016, numărul acestor atacuri a crescut de peste o sută de ori comparativ cu anul precedent, a spus el.

Sachkov a remarcat că, de regulă, infecția dispozitivului are loc în acest caz e-mail. Vorbind despre WannaCry, expertul a remarcat că acest program de criptare are două caracteristici. „În primul rând, folosește exploit-ul ETERNALBLUE, care a fost postat în acces deschis hackeri Shadow Brokers. Un patch care închide această vulnerabilitate pentru sistemul de operare Windows Vistași mai vechi, au devenit disponibile pe 9 martie ca parte a buletinului MS17-010. În același timp, un patch pentru sisteme de operare mai vechi precum Windows XP și server Windows Nu va fi 2003, din moment ce nu mai sunt susținuți”, a spus el.

„În al doilea rând, pe lângă criptarea fișierelor, scanează Internetul pentru gazde vulnerabile. Adică, dacă un computer infectat intră într-o altă rețea, malware-ul se va răspândi și acolo, de unde natura avalanșă a infecțiilor”, a adăugat Sachkov.

Protecția împotriva unor astfel de atacuri, potrivit lui Sachkov, poate fi asigurată prin utilizarea soluțiilor „sandbox”, care sunt instalate în rețeaua organizației și scanează toate fișierele trimise pe e-mailurile angajaților sau descărcate de pe Internet. În plus, a reamintit expertul, este important să se conducă conversații explicative cu angajații despre elementele de bază ale „igienei digitale” - nu instalați programe din surse neverificate, nu introduceți unități flash necunoscute în computer și nu urmați linkuri dubioase, deoarece precum și actualizați software-ul la timp și nu utilizați sisteme de operare care nu sunt acceptate de producător.

Cine e de vină

Nu este încă clar cine se află în spatele atacului cibernetic la scară largă. Fostul angajat al NSA Edward Snowden a spus că un virus dezvoltat de NSA ar fi putut fi folosit în atacul global al hackerilor care a avut loc pe 12 mai. WikiLeaks a anunțat anterior această posibilitate.

La rândul lor, autoritățile române au spus că în spatele tentativei de atac s-ar putea afla o organizație „asociată cu grupul criminalistic cibernetic APT28/Fancy Bear”, care este clasificat în mod tradițional drept „hackeri ruși”.

Telegraph sugerează că grupul Shadow Brokers, legat de Rusia, ar putea fi în spatele atacului. Ei leagă acest lucru cu afirmațiile hackerilor din aprilie că au furat o „armă cibernetică” din comunitatea de informații din SUA, oferindu-le acces la toate computerele Windows.