Для України з любов'ю. Як вірус Petya.A "поклав" цілий світ

Вірусна атака в Україні розпочалась напередодні Дня Конституції, а її наслідки служби безпеки та правоохоронці розгрібають досі. Згодом виявилось, що це не виключно українська проблема.

27 червня про кібератаки повідомили в Італії, Німеччині, країнах Центральної Європи, Ізраїлі та Росії. Агентство Reuters опублікувало матеріал, який розповідає про масштаби атаки віруса по всьому світу. Наводимо його в перекладі.

Географія віруса: Європа, США, Південна Америка

В середу комп'ютерний вірус спричинив хаос на підприємствах по всьому світу. Поширився більше ніж у 60 країнах, порушив роботу портів від Мумбаї до Лос-Анджелеса та перервав роботу шоколадної фабрики в Австралії.

Фірма з моделювання ризиків Cyence заявила, що економічні втрати від атаки цього тижня та тієї, яку влаштував минулого місяця вірус WannaCry складе приблизно $8 млрд. Ця оцінка показує неймовірні втрати, які загрожують світовим бізнесам через посилення кібератак, які вимикають критичні компьютерні мережі.

"Коли системи не працюють та не можуть продукувати дохід, це дійсно привертає увагу керівництва та членів правління, - говорить президент компанії CrowdStrike, що виробляє безпекове програмне забезпечення Джордж Куртц. - Це підвищило усвідомлення про необхідність запровадження в мережах кращої безпеки".

Читайте також: Petya.A-вимагач. Все про найбільшу кібератаку в Україні

Вірус, який дослідники називають GoldenEye (Золоте око) або Petya.A почав розповсюджуватись у вівторок в Україні. Він інфікував компьютери відвідувачів новинних сайтів та компьютери, на які завантажували заражені оновлення для популярного пакету податкової звітності, стверджує національна поліція та кіберексперти.

Він припинив роботу системи замовлень на перевезення вантажів датського судноплавного гіганта A.P. Moller-Maersk (MAERSKb.CO), що спричинило перевантаження у 76 портах по всьому світу, де працює її дочірня фірма APM Terminals.

У середу Maersk повідомила, що система повернулася до роботи онлайн: "Підтвердження замовлення забере більше часу, ніж зазвичай, але ми з насолодою доправимо ваш вантаж", - повідомила вона через Twitter.

Американська компанія доставки FedEx повідомила, що її підрозділ TNT Express зазнав значної шкоди від вірусу. Він також проклав собі дорогу до Південної Америки, де повпливав на роботу портів в Аргентині, якими керує китайська Cofco.

Код зловмисників зашифровує дані та вимагає від жертв $300 викупу за відновлення, подібно до тактики, яку використовував вірус WannaCry під час атаки в травні.

На думку експертів з безпеки метою було не вимагання, а порушення роботи компьютерних систем по всій Україні, бо під час атаки використовувалось потужне програмне забезпечення, яке стирало дані та унеможливлювало їхнє відновлення.

"Це була "стирачка", замаскована під програму-шантажиста. Вони не мали мети отримати гроші під час атаки", - сказав керівник компанії Strategic Cyber Ventures Том Келлерманн.

Браян Лорд, колишній співробітник британського Урядового комунікаційного штабу, а зараз директор-розпорядник у приватній компанії з безпеки PGI Cyber, переконаний, що кампанія була "експериментом" з використання програми-вимагача для спричинення руйнувань.

"Це починає виглядати так, ніби держава діє через програму-посередника", - сказав він.

Вічна блакить

Схоже, що шкідлива програма використала код, відомий як "Eternal Blue" ("Вічна блакить"), який, як вважається, був розроблений Агентством з національної безпеки США (АНБ).

Вічна блакить була в колекції інструментів для хакерства, викраденої з АНБ та викладеної в загальний доступ у квітні групою, яка називає себе "Тіньові брокери" (Shadow Brokers) та яку дослідники питань безпеки пов'язують з російським урядом.

Цю атаку відзначають критики АНБ, які вважають, що агентство наразило суспільство на ризик тим, що тримало інформацію про секрети вразливості програмного забезпечення і могло використати їх для кібероперацій.

Член Палати представників від демократів Тед Лію в середу закликав АНБ негайно оприлюднити інформацію, яку воно має щодо "Вічної блакиті", аби допомогти зупинити атаки.

"Якщо АНБ має аварійний вимикач для цієї нової вірусної атаки, АНБ має надати його зараз", - написав Лію в листі до директора АНБ Майка Роджерса.

АНБ не відповіло на запит про коментар та не визнало публічно, що воно розробляло хакерський інструмент, викладений "Тіньовими брокерами".

Ціллю кампанії була Україна, ворог Росії, яка постраждала від двох кібератак на її енергетичну систему і в яких вона звинуватила Москву.

Словацька компанія ESET, яка виробляє безпекове програмне забезпечення, заявила, що 80% випадків інфікування, зафіксованих у її глобальній базі клієнтів, сталися в Україні, а ще 10% припадає на Італію.

Кремль, який постійно відкидає звинувачення, заявив, що в нього немає інформації про походження атаки, яка також вдарила по російським компаніям, включно з нафтовим гігантом "Роснефть" та виробником сталі.

"Безпідставні загальні звинувачення не вирішать проблему", - заявив речник Кремля Дмитро Пєсков.

Підтримувана урядом Австрії Команда швидкого реагування на компьютерні події заявила, що постраждала "невелика кількість" міжнародних компаній, у яких відключились десятки тисяч компьютерів.

Microsoft, Cisco Systems Inc та Symantec Corp вважають, що перші інфікування сталися в Україні, коли шкідлива програма була передана користувачам програми для податкової звітності.

Читайте також: Як врятуватися від хакерів. 8 порад від Українського кіберальянсу

Російська безпекова компанія Kaspersky повідомила, що новинний сайт українського міста Бахмут був зламаний та використовувався для розповсюдження вимагача.

Низка жертв - це міжнародні компанії, які проводять операції в Україні.

Вони включають французьку компанію будматеріалів Saint Gobain, BNP Paribas Real Estate та власника шоколаду Cadbury, британську компанію Mondelez International Inc.

Робота фабрики Cadbury, розташованої на австралійському острові Тасманія, перервалася пізно ввечері у вівторок, після того, як виключились комп'ютерні системи.