¿Qué tipo de virus atacó a Rosneft? Petya en Rosneft: la petrolera se quejó de un poderoso ataque de piratas informáticos

¿Qué tipo de virus atacó a Rosneft? Petya en Rosneft: la petrolera se quejó de un poderoso ataque de piratas informáticos

La empresa Rosneft se quejó de un potente ataque de piratas informáticos a sus servidores. La compañía lo anunció en su Gorjeo. “Se llevó a cabo un poderoso ataque de piratas informáticos a los servidores de la empresa. Esperamos que esto no tenga nada que ver con el proceso judicial actual”, afirma el mensaje.

"La empresa se puso en contacto con las fuerzas del orden en relación con el ciberataque". dice en el mensaje. La empresa enfatizó que un ataque de piratas informáticos podría tener consecuencias graves, pero "gracias a que la empresa cambió a un sistema de control de proceso de producción de respaldo, no se detuvo ni la producción ni la preparación de petróleo". Un interlocutor del periódico Vedomosti, cercano a una de las estructuras de la empresa, indica que todos los ordenadores de la refinería de Bashneft, Bashneft-Dobyche y la dirección de Bashneft “se reiniciaron inmediatamente, después de lo cual descargaron el software desinstalado y mostraron una pantalla de presentación del virus WannaCry. "

En la pantalla, se pedía a los usuarios que transfirieran $300 en bitcoins a una dirección específica, después de lo cual supuestamente se les enviaba una clave para desbloquear sus computadoras por correo electrónico. El virus, a juzgar por la descripción, cifraba todos los datos de los ordenadores de los usuarios.

Group-IB, que previene e investiga los delitos cibernéticos y el fraude, ha identificado un virus que afectó a una compañía petrolera, dijo la compañía a Forbes. Estamos hablando del virus de cifrado Petya, que atacó no solo a Rosneft. Especialistas del Grupo IB. Descubrimos que alrededor de 80 empresas en Rusia y Ucrania fueron atacadas: las redes de Bashneft, Rosneft, las empresas ucranianas Zaporozhyeoblenergo, Dneproenergo y Dnieper Electric Power System, Mondelēz International, Oschadbank, Mars, Novaya Pochta, Nivea, TESA y otras. El metro de Kiev también fue objeto de un ataque de piratas informáticos. Se atacaron ordenadores gubernamentales de Ucrania, tiendas Auchan, operadores ucranianos (Kyivstar, LifeCell, UkrTeleCom) y PrivatBank. El aeropuerto de Boryspil también fue supuestamente objeto de un ataque de piratas informáticos.

El virus se propaga a través de WannaCry o a través de correos electrónicos: los empleados de la empresa abrieron archivos adjuntos maliciosos en los correos electrónicos. Como resultado, el ordenador de la víctima fue bloqueado y la MFT (tabla de archivos NTFS) se cifró de forma segura, explica un representante de Group-IB. Al mismo tiempo, el nombre del programa ransomware no aparece en la pantalla de bloqueo, lo que complica el proceso de respuesta a la situación. También vale la pena señalar que Petya utiliza un algoritmo de cifrado potente y no tiene la capacidad de crear una herramienta de descifrado. El ransomware exige 300 dólares en bitcoins. Las víctimas ya comenzaron a transferir dinero a la billetera de los atacantes.

Los especialistas del Grupo IB descubrieron que el grupo Cobalt utilizó una versión recientemente modificada del cifrado Petya, "PetrWrap", para ocultar rastros de un ataque dirigido a instituciones financieras. El grupo criminal Cobalt es conocido por atacar con éxito bancos en todo el mundo: Rusia, Gran Bretaña, Países Bajos, España, Rumania, Bielorrusia, Polonia, Estonia, Bulgaria, Georgia, Moldavia, Kirguistán, Armenia, Taiwán y Malasia. Esta estructura se especializa en ataques sin contacto (lógicos) a cajeros automáticos. Además de los sistemas de control de cajeros automáticos, los ciberdelincuentes intentan acceder a sistemas de transferencias interbancarias (SWIFT), pasarelas de pago y procesamiento de tarjetas.


El virus ransomware atacó los ordenadores de decenas de empresas en Rusia y Ucrania, paralizando el trabajo de agencias gubernamentales, entre otras, y comenzó a extenderse por todo el mundo.

En la Federación Rusa, Bashneft y Rosneft fueron víctimas del virus Petya, un clon del ransomware WannaCry que infectó computadoras en todo el mundo en mayo.

Todos los ordenadores de Bashneft están infectados con el virus, según informó a Vedomosti una fuente de la empresa. El virus cifra archivos y exige un rescate de 300 dólares en una billetera Bitcoin.

“El virus inicialmente deshabilitó el acceso al portal, al mensajero interno Skype empresarial, a MS Exchange, pensaron que era solo una falla de la red, luego la computadora se reinició con un error. El disco duro murió, el siguiente reinicio ya mostró un error. pantalla roja”, dijo la fuente.

Casi al mismo tiempo, Rosneft anunció un “poderoso ataque de piratas informáticos” a sus servidores. Los sistemas informáticos y la gestión de producción se han transferido a la capacidad de reserva, la empresa funciona con normalidad y "los distribuidores de mensajes falsos y de pánico serán responsabilizados junto con los organizadores del ataque de los piratas informáticos", dijo a TASS el secretario de prensa de la empresa, Mijail Leontyev.

Los sitios web de Rosneft y Bashneft no funcionan.

El ataque se registró alrededor de las 14:00 hora de Moscú y actualmente hay 80 empresas entre sus víctimas. Además de los trabajadores petroleros, se vieron afectados representantes de Mars, Nivea y Mondelez International (fabricante del chocolate Alpen Gold), informó Group-IB, que previene e investiga los delitos cibernéticos.

La empresa metalúrgica Evraz y el banco Home Credit, que se vio obligado a suspender el trabajo en todas sus sucursales, también denunciaron un ataque a sus recursos. Según RBC, al menos 10 bancos rusos se pusieron en contacto el martes con especialistas en ciberseguridad en relación con el ataque.

En Ucrania, el virus atacó ordenadores gubernamentales, tiendas Auchan, Privatbank, los operadores de telecomunicaciones Kyivstar, LifeCell y Ukrtelecom.

Fueron atacados el aeropuerto de Boryspil, el metro de Kiev, Zaporozhyeoblenergo, Dneproenergo y la red eléctrica del Dniéper.

La central nuclear de Chernóbil pasó a la monitorización manual de la radiación del sitio industrial debido a un ciberataque y a un cierre temporal del sistema Windows, según informó a Interfax el servicio de prensa de la Agencia Estatal para la Gestión de Zonas de Exclusión.

El virus ransomware ha afectado a un gran número de países de todo el mundo, afirmó Costin Raiu, jefe de la unidad de investigación internacional de Kaspersky Lab, en su cuenta de Twitter.

Según él, la nueva versión del virus, que apareció el 18 de junio de este año, contiene una firma digital falsa de Microsoft.

A las 18.05 hora de Moscú, la naviera danesa A.P. anunció un ataque a sus servidores. Moller-Maersk. Además de Rusia y Ucrania, los usuarios del Reino Unido, India y España se vieron afectados, informó Reuters, citando a la Agencia de Tecnología de la Información del gobierno suizo.

La directora general del grupo InfoWatch, Natalya Kasperskaya, explicó a TASS que el virus de cifrado apareció hace más de un año. Se distribuye principalmente a través de mensajes de phishing y es una versión modificada de un malware previamente conocido. "Se asoció con otro virus ransomware, Misha, que tenía derechos de administrador. Era una versión mejorada, un cifrador de respaldo", dijo Kasperskaya.

Según ella, el ataque de ransomware WannaCry en mayo fue rápidamente derrotado debido a una vulnerabilidad en el virus. "Si el virus no presenta esa vulnerabilidad, entonces será difícil combatirlo", añadió.

El 12 de mayo de 2017 se produjo un ciberataque a gran escala con el virus ransomware WannaCry, que afectó a más de 200.000 ordenadores en 150 países.

WannaCry cifra los archivos del usuario y requiere un pago en Bitcoin equivalente a 300 dólares para descifrarlos.

En Rusia, en particular, fueron atacados los sistemas informáticos del Ministerio del Interior, del Ministerio de Sanidad, del Comité de Investigación, de los Ferrocarriles Rusos, de bancos y de operadores de telefonía móvil.

Según el Centro de Seguridad Cibernética británico (NCSC), que dirige la investigación internacional sobre el ataque del 12 de mayo, los piratas informáticos norcoreanos del grupo Lazarus, vinculado al gobierno, estaban detrás del mismo.

La tarde del 27 de junio, Rosneft informó de un ataque de piratas informáticos a sus servidores. Al mismo tiempo, apareció información sobre un ataque similar a las computadoras de Bashneft, Ukrenergo, Kyivenergo y varias otras empresas y empresas.

El virus bloquea las computadoras y extorsiona a los usuarios, es similar a .



Una fuente cercana a una de las estructuras de la compañía señala que todas las computadoras en la refinería de Bashneft, Bashneft-Production y la gerencia de Bashneft "se reiniciaron de inmediato, después de lo cual descargaron el software desinstalado y mostraron la pantalla de presentación del virus WannaCry". En la pantalla, se pedía a los usuarios que transfirieran $300 en bitcoins a la dirección especificada, después de lo cual se les enviaba una clave para desbloquear sus computadoras por correo electrónico. El virus, a juzgar por la descripción, cifraba todos los datos de los ordenadores de los usuarios.

"Vedomosti"


“El Banco Nacional de Ucrania advirtió a los bancos y otros participantes del sector financiero sobre un ataque de piratas informáticos externos con un virus desconocido a varios bancos ucranianos, así como a algunas empresas de los sectores comercial y público, que está ocurriendo hoy.

Como resultado de estos ciberataques, estos bancos tienen dificultades para atender a los clientes y realizar transacciones bancarias”.

Banco Nacional de Ucrania


Los sistemas informáticos de la empresa energética de la capital, Kyivenergo, fueron objeto de un ataque de piratas informáticos, según informó la empresa a Interfax-Ucrania.

"Hace dos horas sufrimos un ataque de piratas informáticos y nos obligaron a apagar todos los ordenadores; estamos esperando el permiso del servicio de seguridad para encenderlos", dijo Kievenergo.

Por su parte, NEC Ukrenergo dijo a la agencia Interfax-Ucrania que la empresa también tuvo problemas en el funcionamiento de los sistemas informáticos, pero que no fueron críticos.

"Hubo algunos problemas con el funcionamiento de los ordenadores, pero en general todo está estable y controlado. Se pueden sacar conclusiones sobre el incidente basándose en los resultados de una investigación interna", señaló la empresa.

"Interfax-Ucrania"


Las redes de Ukrenergo y DTEK, las mayores empresas energéticas de Ucrania, fueron infectadas con una nueva forma de ransomware que recuerda a WannaCry. Esto se lo informó a TJ una fuente dentro de una de las empresas que se enfrentó directamente al ataque del virus.

Según la fuente, en la tarde del 27 de junio su computadora en el trabajo se reinició, tras lo cual el sistema supuestamente comenzó a verificar el disco duro. Después de eso, vio que en todas las computadoras de la oficina sucedía lo mismo: “Me di cuenta de que había un ataque en marcha, apagué mi computadora y cuando la encendí ya había un mensaje rojo sobre Bitcoin y dinero."


Los ordenadores de la red de la empresa de soluciones logísticas Damco también se ven afectados. Tanto en divisiones europeas como rusas. La propagación de la infección es muy amplia. Se sabe que en Tyumen, por ejemplo, todo también está jodido.

Pero volvamos al tema de Ucrania: casi todos los ordenadores de Zaporozhyeoblenergo, Dneproenergo y Dnieper Electric Power System también están bloqueados por un ataque de virus.

Para ser claros, esto no es WannaCry, sino un malware de comportamiento similar.

Refinería Rosneft Ryazan: la red se apagó. También un ataque. Además de Rosneft/Bashneft, también fueron atacadas otras grandes empresas. Se han informado problemas en Mondelēz International, Oschadbank, Mars, Nova Poshta, Nivea, TESA y otros.

El virus ha sido identificado: es Petya.A. Petya.A está consumiendo discos duros. Cifra la tabla maestra de archivos (MFT) y extorsiona para descifrarla.

El metro de Kiev también fue objeto de un ataque de piratas informáticos. Se atacaron ordenadores gubernamentales de Ucrania, tiendas Auchan, operadores ucranianos (Kyivstar, LifeCell, UkrTeleCom) y PrivatBank. Hay informes de un ataque similar en KharkovGaz. Según el administrador del sistema, en las máquinas estaba instalado Windows 7 con las últimas actualizaciones. Pavel Valerievich Rozenko, viceprimer ministro de Ucrania, también fue atacado. El aeropuerto de Boryspil también fue supuestamente objeto de un ataque de piratas informáticos.

Canal de Telegram "Ciberseguridad y Co.


27 de junio, 16:27 Al menos 80 empresas rusas y ucranianas se vieron afectadas por el virus Petya.A, dijo Valery Baulin, representante del Grupo IB, que se especializa en la detección temprana de amenazas cibernéticas.
"Según nuestros datos, más de 80 empresas en Rusia y Ucrania se vieron afectadas por el ataque con el virus de cifrado Petya.A", afirmó. Baulin enfatizó que el ataque no está relacionado con WannaCry.

Para detener la propagación del virus, es necesario cerrar inmediatamente los puertos TCP 1024–1035, 135 y 445, enfatizó Group-IB<...>

“Entre las víctimas del ciberataque también fueron bloqueadas por el ataque del virus las redes de Bashneft, Rosneft, las empresas ucranianas Zaporozhyeoblenergo, Dneproenergo y Dnieper Electric Power System, Oschadbank, Mars, Novaya Poshta, Nivea, TESA y otras; "El metro de Kiev también fue objeto de un ataque de piratas informáticos. También fueron atacados los ordenadores gubernamentales de Ucrania, las tiendas Auchan, los operadores ucranianos (Kyivstar, LifeCell, UkrTeleCom) y el aeropuerto Privat Bank de Boryspil", Group-IB. señala.

Los especialistas de Group-IB también descubrieron que el ransomware Petya.A fue utilizado recientemente por el grupo Cobalt para ocultar rastros de un ataque dirigido a instituciones financieras.

Ahora ha aparecido un nuevo virus.

¿Qué tipo de virus es y deberías tenerle miedo?

Así se ve en una computadora infectada

Un virus llamado mbr locker 256 (que en el monitor se hace llamar Petya) atacó los servidores de empresas rusas y ucranianas.

Bloquea archivos en su computadora y los cifra. Los piratas informáticos exigen 300 dólares en bitcoins para desbloquearlo.

MBR- Este es el registro de inicio maestro, el código necesario para el posterior inicio del sistema operativo. Está ubicado en el primer sector del dispositivo.

Después de encender la computadora, se realiza el procedimiento POST, se prueba el hardware y, luego, el BIOS carga el MBR en la RAM en la dirección 0x7C00 y le transfiere el control.

Así, el virus ingresa a la computadora e infecta el sistema. Hay muchas modificaciones del malware.

Se ejecuta en Windows, al igual que el malware anterior.

Quien ya ha sufrido

Empresas ucranianas y rusas. Aquí parte de la lista completa:

  • "Zaporozhyeoblenergo"
  • "DTEK"
  • "Sistema de energía eléctrica del Dniéper"
  • "Járkovgaz"
  • "Kievenergó"
  • "Canal de Kiev"
  • "Antónov"
  • "Metro de Kyiv"
  • "Nueva Poshta"
  • "Auchán"
  • "Epicentro"
  • "Banco Privado"
  • "OschadBank"
  • "Banco Nacional de Ucrania"
  • nivea
  • tres operadores móviles: Kyivstar, LifeCell y UkrTeleCom
  • aeropuerto de boryspil
  • Rosneft

    • Muchas empresas repelieron rápidamente el ataque, pero no todas pudieron hacerlo. Debido a esto, algunos de los servidores no funcionan.

    Los bancos no pueden realizar una serie de transacciones monetarias debido a Petit. Los aeropuertos están posponiendo o retrasando vuelos. El metro ucraniano no aceptó pagos sin contacto hasta las 15:00 horas.

    En cuanto a los equipos de oficina y ordenadores, no funcionan. Al mismo tiempo, no hay problemas con el sistema energético ni con el suministro de energía. Esto afectó sólo a las computadoras de oficina (que se ejecutan en la plataforma Windows). Nos dieron la orden de apagar las computadoras. - ukrenergo

    Los operadores se quejan de que ellos también sufrieron. Pero al mismo tiempo intentan trabajar para los suscriptores como de costumbre.

    Cómo protegerse de Petya.A

    Para protegerse contra esto, debe cerrar los puertos TCP 1024-1035, 135 y 445 en su computadora. Esto es bastante simple de hacer:

    Paso 1. Abra el cortafuegos.

    Paso 2. En el lado izquierdo de la pantalla, vaya a "Reglas para conexiones entrantes".

    Paso 3. Seleccione "Crear regla" -> "Para puerto" -> "Protocolo TCP" -> "Puertos locales específicos".

    Paso 4. Escribimos “1024-1035, 135, 445”, seleccionamos todos los perfiles, hacemos clic en “Bloquear conexión” y “Siguiente” en todas partes.

    Paso 5. Repetimos los pasos para las conexiones salientes.

    Bueno, en segundo lugar, actualiza tu antivirus. Los expertos informan que las actualizaciones necesarias ya han aparecido en las bases de datos del software antivirus.

    El servicio de prensa de Group-IB, que investiga los delitos cibernéticos, dijo a RBC que el ataque de piratas informáticos a varias empresas que utilizaron el virus de cifrado Petya fue "muy similar" al ataque que tuvo lugar a mediados de mayo con el malware WannaCry. Petya bloquea las computadoras y exige 300 dólares en bitcoins a cambio.

    “El ataque tuvo lugar alrededor de las 2 p.m. A juzgar por las fotografías, este es el criptolocker de Petya. El método de distribución en la red local es similar al virus WannaCry”, se desprende del mensaje del servicio de prensa de Group-IB.

    Al mismo tiempo, un empleado de una de las filiales de Rosneft, que participa en proyectos offshore, dice que las computadoras no se apagaban, aparecían pantallas con texto en rojo, pero no para todos los empleados. Sin embargo, la empresa está colapsando y el trabajo se ha detenido. Los interlocutores también señalan que en la oficina de Bashneft en Ufa se cortó por completo la electricidad.

    A las 15:40 hora de Moscú, los sitios web oficiales de Rosneft y Bashneft no están disponibles. El hecho de que no haya respuesta se puede confirmar en los recursos de verificación del estado del servidor. El sitio web de la filial más grande de Rosneft, Yuganskneftegaz, tampoco funciona.

    Más tarde, la compañía tuiteó que el ataque podría haber tenido "graves consecuencias". A pesar de esto, los procesos de producción, producción y preparación de aceite no se detuvieron debido a la transición a un sistema de control de respaldo, explicó la empresa.

    Actualmente, el Tribunal de Arbitraje de Bashkortostán ha finalizado una reunión en la que examinó la reclamación de Rosneft y su controlada Bashneft contra AFK Sistema y Sistema-Invest por la recuperación de 170,6 mil millones de rublos, que, según la compañía petrolera, “ Bashneft sufrió pérdidas como resultado de la reorganización en 2014.

    Un representante de AFK Sistema pidió al tribunal posponer la próxima audiencia por un mes para que las partes tengan tiempo de familiarizarse con todas las peticiones. El juez fijó la próxima reunión dentro de dos semanas, el 12 de julio, señalando que la AFC tiene muchos representantes y que se ocuparán de ello en este plazo.



    Popular en la categoría:
    Cómo fusionar capas en Photoshop en una o combinarlas en un grupo Cómo combinar varias capas en Photoshop
    Cómo fusionar capas en Photoshop en una o combinarlas en un grupo...
    leer
    Transferir contactos a un nuevo teléfono Android
    Transferir contactos a un nuevo teléfono Android
    leer
    Samsung Galaxy se reinicia solo - Soluciones Galaxy note 4 se reinicia solo
    Samsung Galaxy se reinicia solo - Soluciones Galaxy Note...
    leer
    Características clave de Kaspersky Rescue Disk
    Características clave de Kaspersky Rescue Disk
    leer
    
    Últimos artículos
    MacBook no se conecta a wifi MacBook no ve...
    leer
    Cómo ganar dinero con WebMoney
    leer
    Tableta "Supra": opiniones de clientes
    leer
    Ubicaciones de barcos en tiempo real
    leer
    Los mejores programas para Android Grabar llamadas desde...
    leer
    Eliminar a los no seguidores en Twitter
    leer
    Conexión a Internet en una computadora portátil: todo lo posible...
    leer
    Samsung Galaxy S IV es el nuevo buque insignia...
    leer
    Arriba