Новости Software → Шифрование и защита данных
Главная новость

ExPetr парализовал работу крупной медицинской компании

ExPetr
парализовал
работу крупной медицинской компании

Сеть медицинских клиник «Инвитро» приостановила приём биоматериала для анализов в своих офисах на территории России, Белоруссии и Казахстана, о чём известила клиентов через свой сайт. Как сказано в объявлении, скриншот которого приведён ниже, это связано с процессом восстановления инфраструктуры компании после кибератаки.

Воздействию какого вредоносного ПО подверглась «Инвитро», не уточняется, но двумя днями ранее в официальной группе клиники во «ВКонтакте» появилось сообщение о кибератаке, «которой вчера подверглись крупнейшие компании во всем мире». Иными словами, речь идёт о вирусе-вымогателе, который в обиходе называют Petya, а «Лаборатория Касперского» окрестила его ExPetr, подчеркнув, что с оригинальным Petya, обнаруженном ещё в 2016 году, он имеет мало общего.

Быстрый переход

Из-за ошибки в ПО основная система защиты Windows 10 уязвима к атакам

Когда операционная система Windows 10 ещё только готовилась к релизу, компания Microsoft, призывая пользователей отказаться от Windows 7, делала упор на то, что новый продукт стоит использовать прежде всего из-за сильной системы защиты ForceASLR, направленной на противоборство атакам, которые взаимодействуют со структурами данных.

zdnet.com

zdnet.com

Сама система защиты ForceASLR использует технологию рандомизации размещения адресного пространства (ASLR), которая заключается в том, что задаёт случайное размещение адресов структур данных. Благодаря системе принудительного размещения адресных пространств, она распространяется не только на программы, которые разработаны с учётом поддержки этой технологии, как то было раньше, но для всех, даже если программы по умолчанию её не поддерживали.

Проблема в том, что данная система выполняет только половину от своих заявленных свойств. С одной стороны, при первом запуске программы последней действительно присваивается случайный адрес в памяти. Но при дальнейших запусках этот адрес уже не меняется, и в итоге отследить его становится значительно проще.

Сама возможность принудительно задать случайное размещение адресов для всех программ была введена ещё в Windows 8, и уже тогда появилась эта ошибка. Как выяснилось теперь, на момент выпуска Windows 10, несмотря на все заверения и гарантии разработчиков, её так и не исправили.

Что ещё забавнее, если использовать ту же технологию, включив её через набор средств Microsoft EMET, в рамках операционной системы Windows 7, всё работает именно так, как планировалось изначально: адреса для программ присваиваются случайно при каждом перезапуске ПК, в то время как в более поздних системах таких результатов достичь так и не удалось.

Прямого решения этой проблемы для Windows 10 на момент написания новости не существует, равно как и пока что нет комментариев от Microsoft касательно данного факта.

Источник:

Парламент ЕС рассматривает возможность блокировки веб-сайтов в рамках защиты прав пользователей

Согласно новому закону, принятому на днях в парламенте Евросоюза, теперь появится возможность заблокировать неугодные веб-сайты, которые по тем или иным причинам нарушают права пользователей.

https://juliareda.eu

https://juliareda.eu

Эта мера была принята в рамках обсуждения защиты прав потребителя и касается недобросовестных веб-сервисов, ориентированных в основном на торговлю и применения компенсационных санкций в том случае, если пользователь понёс материальные убытки в ходе сделки с тем или иным поставщиком услуг. Однако итоговый вердикт звучит как возможность отсудить право владения доменного имени у владельца сайта в том случае, если в принципе само содержание данного ресурса посчитается как нечто вызывающее, оскорбительное или же неправомерное и, разумеется, подлежит устранению.

Блокировка может осуществляться несколькими способами. Первый и наиболее очевидный — владелец ресурса добровольно удаляет незаконный контент, или обязан продемонстрировать пользователям предупреждение об оном. Второй — обратиться к провайдеру ресурса с просьбой удалить контент, из-за которого возник конфликт. Третий — разделегировать доменное имя, после чего, разумеется, владелец ресурса потеряет доступ к своему сайту.

Разумеется, мнение самих пользователей в данном случае не учитывается, и отказаться от подобной навязчивой защиты прав нельзя. Зато уже сейчас прогнозируют всплеск повышенной цензуры и целенаправленное устранение веб-ресурсов, которые до этого вполне мирно существовали на просторах всемирной Сети.

На данном этапе закон принят, но никаких активных действий по блокировке тех или иных сайтов ещё не предпринималось. 

Источник:

Представители Google пояснили, почему их компания против «прозрачных» алгоритмов

В век, когда вопросы кибербезопасности и защиты личных данных — это не идеи фантастики, а повседневная реальность, важно доверять компаниям, которые предоставляют свои услуги пользователям по всему миру.

google.com

google.com

Палата Общин недавно опубликовала опрос, стоит ли крупным компаниям раскрывать свои алгоритмы бизнес-моделей и то,  как именно внутренний инструментарий влияет на дальнейшее развитие компаний.

Бизнес-модель Google имеет закрытый характер, и представители компании постарались объяснить, почему они придерживаются именно такой политики.

Первый аргумент против прозрачности подобных схем касается непосредственно технической стороны вопроса. Если выложить исходный код алгоритмов, то это совсем не означает, что конечный пользователь сможет разобраться в нём, в то время как слепое копирование в результате может обернуться проблемами, вместо того, чтобы принести пользу.

Второй момент вытекает из первого — зная, на чём базируется инструментарий Google, или любой другой компании подобного масштаба, видя его сильные и слабые стороны, легко представить себе количество злоумышленников, которые непременно воспользуются информацией в своих целях.

Третий пункт касается сферы бизнеса. В условиях моделей закрытых алгоритмов у новых компаний нет соблазна скопировать что-то уже существующее, а вместо этого необходимо создавать нечто собственное, что, в свою очередь ведёт к расширению рынка технологий и появлению новых независимых компаний.

Изначально вопрос был поднят с той точки зрения, стоит ли доверять компаниям, которые проникают почти во все сферы жизни пользователей, однако не спешат делиться своими собственными секретами и не показывать «изнанку» происходящего.

На это представители Google привели в пример производителей бытовой техники: у многих дома есть телевизоры, почти все обладают собственными стиральными машинками и микроволновками, но лишь малая часть пользователей действительно понимает, как именно работает их техника и из чего она состоит, и это ни коим разом не мешает тому, что люди доверяют и купленной технике, и её производителю, руководствуясь пониманием того, что продукт надёжный и выполняет все необходимые функции.

Их ответ был принят и рассмотрен Палатой Общин, и на сайте парламента Великобритании продолжают собираться мнения по данной теме.

Источник:

Правительство США не требует ослабить протоколы защиты, но просит предоставлять все сведения о пользователях «простым текстом»

На прошедшем Североамериканском Интернациональном Киберсаммите состоялось выступление заместителя генерального прокурора Рода Розенштейна (Rod Rosenstein).

Согласно его словам, правительство США не требует намеренного создания уязвимости в системах защиты социальных служб для представителей организаций здравоохранения и национальной безопасности. И так понятно, что лидеры таких крупных компаний, как Google, Apple и другие, не пойдут на сознательное ослабление собственных систем защиты данных в угоду ФБР, потому что тем самым они ставят под угрозу себя и свои собственные данные, открываясь не только собственному правительству, но и злоумышленникам. Тем не менее, вместо этого отныне все копии сообщений, переписок, содержания видео- и аудиозвонков и библиотек файлов на устройствах пользователей должны отправляться властям в формате незащищённого простого текста по первому требованию служб.

cobocenter.com

cobocenter.com

Данная информация, по-прежнему в незащищённом виде, будет храниться в полицейских архивах до тех пор, пока ведётся следствие по тому или иному делу. Стоит ли говорить, какой это кладезь для тех, кому повезёт взломать эти самые архивы и добраться до оной. Естественно, подобное едва ли произойдёт, учитывая уровень защиты самих спецслужб, но факт остаётся фактом, а возможность — возможностью.

Помимо этого пункта, сам Род выступал исключительно за безопасность данных и призывал представителей остальных компаний работать над улучшением уровня оной, ввиду того, что случаев киберпреступлений сейчас всё больше и больше, а с появлением беспилотных машин любое пренебрежение в данной сфере может привести и к дорожно-транспортным происшествиям, и к гибели пассажиров, которые более не управляют своим транспортным средством.

Источник:

Министр связи Никифоров высказался о Telegram и блокировках

Противостояние владельцев мессенджера Telegram и российских властей, вылившееся в наложение на Telegram Messenger LLP штрафа в размере 800 000 рублей за отказ предоставить ФСБ информацию для декодирования сообщений пользователей, попало во внимание главы Минкомсвязи Николая Никифорова. Комментируя сложившуюся ситуацию, министр связи и массовых коммуникаций заявил, что спецслужбам следовало бы задавать больше вопросов таким сервисам, как WhatsApp, Viber, Facebook и Google. По мнению Никифорова, они исполняют предписания «пакета Яровой» не так активно, как упомянутый мессенджер.

Николай Никифоров на форуме «Открытые инновации – 2017» в Сколково

Николай Никифоров на форуме «Открытые инновации  2017» в Сколково

«Я считаю, что проблем этих там гораздо больше. По крайней мере, мы видим, что компании, такие как Telegram, ведут системную работу и вычищают все каналы, связанные с запрещённой организацией ИГИЛ. Они ведут борьбу, на это реагируют и это делают», — приводит слова главного связиста страны информационное агентство Интерфакс. При этом министр отметил, что ничего не знает о работе, проводимой в этом направлении компаниями WhatsApp, Viber, Facebook и Google, так как они «всё время остаются за кадром».

Ещё одна болезненная для Рунета тема, которую накануне затронул Николай Никифоров, — блокировка сайтов с незаконным контентом. Во время правительственного часа в Госдуме министр назвал этот метод неэффективным, передаёт газета «Ведомости». В качестве дополнительной меры он не исключил возможности отслеживания в будущем пользователей, ищущих в Сети запрещённую информацию в обход блокировок. Правда, глава Минкомсвязи не уточнил, каким способом правоохранительные органы в условиях зашифрованного трафика должны будут выявлять, к какому противоправному контенту осуществляется доступ.

Компания Maersk потеряла $300 млн из-за ExPetr

В конце июня текущего года датская компания A.P. Moller-Maersk, занимающаяся судоходным и логистическим бизнесом, стала жертвой компьютерного вируса-вымогателя ExPetr. Согласно прогнозу, опубликованному в отчёте за второй квартал, это обойдётся ей в $200–300 млн упущенной выгоды. Уточнённую сумму убытков конгломерат, скорее всего, сообщит уже в итогах третьей четверти, ведь негативные последствия кибератаки он продолжал испытывать на себе на протяжении первых двух недель июля.

Наибольшие масштабы заражения шифровальщиком ExPetr наблюдались в подразделениях Maersk Line (морские грузоперевозки), APM Terminals (контейнерные терминалы) и Damco (логистика). Работа нескольких портов была парализована в течение нескольких дней, что для компании такого уровня не могло не обойтись сотнями миллионов долларов ущерба. Отметим, что представительства Maersk находятся более чем в 135 странах мира, а общее число их сотрудников достигает 90 000 человек. Кроме того, Maersk считается крупнейшим в мире оператором морских контейнерных перевозок.

Leon Compton / Twitter

Leon Compton / Twitter 

Напомним, что ExPetr начал свое распространение 27 июня 2017 года с Украины через скомпрометированное обновление программы документооборота M.E.Doc, а затем проник в Россию и другие страны. Как и его предшественник WannaCry, зловред требовал выкуп в размере $300 в Bitcoin-эквиваленте за якобы расшифровку файлов. Однако, как позже выяснили эксперты «Лаборатории Касперского», на самом деле такая функция в него заложена не была. Кроме того, email-адрес, посредством которого жертвы должны были связываться с хакерами для разблокировки своих компьютеров, был закрыт сервис-провайдером Posteo.

Источник:

Авторы WannaCry вывели награбленные с помощью вируса средства

Прошло двенадцать недель с тех пор, как вирус-вымогатель WannaCry атаковал компьютеры по всему миру, зашифровав на них файлы и потребовав от пользователей выкуп в размере от $300 до $600 в биткоиновом эквиваленте. С его помощью хакерам удалось собрать порядка $140 000, распределённых по трём биткоин-кошелькам, на которые жертвы переводили средства. При этом злоумышленники не спешили обналичивать их, понимая, что счета находятся под наблюдением правоохранительных органов. Однако минувшим вечером на кошельках было зафиксировано движение средств.

12 мая это окно увидели пользователи многих компьютеров по всему миру

12 мая это окно увидели пользователи многих компьютеров по всему миру

Первые транзакции были осуществлены в 11:10 вечера среды по североамериканскому восточному времени (5:10 утра четверга по московскому времени). С первого кошелька было снято 7,34 BTC ($20 055), со второго — 8,73 BTC ($23 856), с третьего — 9,67 BTC ($26 434). То есть в сумме было выведено порядка $70 000. Спустя пять минут были произведены ещё три операции на 7, 10 и 9 биткоинов ($19 318, $27 514 и $24 698 соответственно). По прошествии десяти минут хакеры совершили последнюю транзакцию, выведя со второго кошелька оставшиеся 9,67 биткоина ($26 508).

Скорее всего, переводы осуществлялись через так называемый биткоин-миксер, который не позволяет отследить пути конвертации криптовалюты в валюту реальную. Данный процесс является виртуальным аналогом отмывания денег в реальном финансовом мире.

Источник:

«Лаборатория Касперского»: у жертв ExPetr нет шансов расшифровать файлы

Вирус-шифровальщик, атаковавший 27 июня сначала компьютеры на территории Украины и России, а затем распространившийся в других странах и дошедший даже до не пострадавшей от WannaCry Австралии, изначально причисляли к семейству вымогателей Petya, обнаруженному ещё в 2016 году. Однако позже «Лаборатория Касперского» установила, что вредоносное ПО имеет с уже известными разновидностями лишь несколько общих строк кода, в целом представляя собой новый вирус. Его компания назвала ExPetr, хотя в Интернете он также упоминается как NotPetya.

Фото: Лаборатория Касперского

Фото: Лаборатория Касперского 

Согласно последнему исследованию «Лаборатории Касперского», ExPetr/NotPetya по своей сути не является вымогателем в привычном понимании, так как у пользователей зараженных компьютеров изначально нет шансов вернуть доступ к зашифрованным файлам даже в случае уплаты выкупа в размере $300 в Bitcoin-эквиваленте.

Эксперты обратили внимание на то, что в предыдущих версиях шифровальщиков Petya/Mischa/GoldenEye содержался специальный идентификатор с информацией для дешифрования. Что же касается ExPetr, то показываемый им Installation Key является бессмысленным набором символов, то есть ключ для расшифровки по нему получить нельзя. Напомним также, что email-адрес, на который жертвы должны пересылать сведения о выплате выкупа и другие данные для разблокировки, был закрыт сервис-провайдером Posteo. Таким образом, шансов вернуть свои файлы у пострадавших от активности ExPetr нет, констатировали в «Лаборатории Касперского».

Фото: Group-IB

Фото: Group-IB 

Вирус-вымогатель ExPetr атакует компьютеры всего мира

Американский разработчик антивирусного программного обеспечения Symantec опубликовал рекомендации, как избежать заражения вирусом-вымогателем Petya, который в минувший вторник атаковал сначала российские и украинские компании и госучреждения, а затем распространился и в других странах. Вредоносная программа работает по принципу нашумевшего шифровальщика WannaCry, масштабная эпидемия которого произошла в мае, и также требует выкуп в размере $300 в биткоиновом эквиваленте. Правда, пока нет достоверной информации о том, использует ли она эксплойт, патч против которого уже был выпущен Microsoft, или же речь идёт о какой-то новой уязвимости из рассекреченного хакерами арсенала АНБ.

Тем не менее, как оказалось, вирус можно обезвредить ещё до того, как он зашифрует файлы на компьютере. Для этого в папке Windows на системном диске необходимо создать в блокноте пустой файл с именем perfc без расширения. Как утверждают в Symantec, попав в систему, Petya ищет именно этот файл и, найдя его, считает данный компьютер уже заражённым, прекращая работу.

thenextweb.com

thenextweb.com 

Если же вирус всё-таки заражает компьютер, то он перезаписывает главную загрузочную запись (MBR), не давая Windows загружаться. Однако, как отмечают в компании Positive Technologies, специализирующейся на вопросах информационной безопасности, это происходит не сразу, а через 1–2 часа после заражения, когда вредоносная программа перезагружает компьютер. То есть если пользователь в течение указанного времени успеет запустить команду bootrec/fixmbr, то сохранит работоспособность операционной системы. Правда, для расшифровки файлов, если их резервные копии отсутствуют, всё равно потребуется ключ.

Как сообщают СМИ, даже заплатив хакерам выкуп, получить дешифратор не представляется возможным. Дело в том, что после перевода $300 на указанный биткоин-кошелёк «жертва» должна направить данные платежа и сгенерированный вирусом персональный инсталляционный код на определённый адрес электронной почты. Но данный адрес в настоящий момент заблокирован немецким серсис-провайдером Posteo, на котором располагался «ящик». Таким образом, даже те, кто уже отправил деньги злоумышленникам (по состоянию на вечер 27 июня общая сумма переводов составила порядка $5600, к полудню 28 июня она достигла $9130), вряд ли смогут вернуть доступ к своей информации. Впрочем, этого никто не гарантировал бы и в том случае, если бы почта была рабочей.

Leon Compton / Twitter

Leon Compton / Twitter 

Напомним, что первые сообщения об атаке вируса-шифровальщика Petya стали поступать днем 27 июня. Как передаёт «Коммерсантъ» со ссылкой на Group-IB, среди жертв вредоносной программы оказались российские компании «Башнефть» и «Роснефть», украинские «Запорожьеоблэнерго» и «Днепроэнерго». Кроме того, от действий вируса пострадали корпорации Mars и Nivea, Киевский метрополитен, магазины «Ашан», операторы «Киевстар», LifeCell и «Укртелеком». Некоторые банки, стремясь избежать серьёзных осложнений, пошли на превентивные меры и провели проверку безопасности своих систем. По этой причине, к примеру, некоторое время не совершались клиентские операции в отделениях «Банка Хоум Кредит», хотя банкоматы и колл-центр продолжали исправно работать.

Последствия атаки Petya отмечались не только на территории России, Украины и Европы, но и даже на других континентах. В австралийском городе Хобарте, например, из-за вируса было остановлено производство на кондитерской фабрике Cadbury's. Примечательно, что майская эпидемия WannaCry Австралию, в отличие от многих других стран, практически не затронула.

Обновлено в 12:30«Лаборатория Касперского» в рамках расследования последней волны заражений программой-шифровальщиком установила существование нового семейства вредоносного ПО, которое имеет лишь несколько общих с вымогателем Petya строк кода и существенно отличается от него функциональностью.

Новый вирус, атаковавший уже порядка 2000 компьютеров, получил название ExPetr. Рекордсменами по числу заражений снова являются Россия и Украина, также инциденты зафиксированы в Польше, Италии, Великобритании, Германии, Франции, США и некоторых других странах.

Предполагается, что для своего распространения ExPetr использует несколько векторов атаки и основан на модифицированном эксплойте EternalBlue, а также уязвимости EternalRomance.

Обновлено в 14:44.  Корпорация Microsoft заявила информационному агентству RNS, что её антивирус способен защитить пользователей от вредоносного ПО Petya. По данным софтверного гиганта, шифровальщик использует несколько методов распространения, включая тот, который блокируется ранее выпущенным обновлением MS17-010.

Установить данный апдейт, если это ещё не было сделано, рекомендует и «Лаборатория Касперского». Также она советует запретить исполнение файла perfc.dat и запуск утилиты PSExec. В российской антивирусной компании утверждают, что уже работают над дешифратором, который не только сможет вернуть доступ к закодированным файлам, но и будет распознавать будущие модификации вируса.

Тем временем Petya продолжает распространяться по миру и теперь «направляется» в Азию. Как сообщает Bloomberg, из-за атаки уже наблюдались перебои в работе терминала компании A.P. Moller-Maersk в Джавахарлал Неру — крупнейшем контейнерном порту Индии. Из-за вируса управление грузопотоком пришлось перевести в ручной режим, так как автоматизированная система оказалась выведена из строя. Признаки активности вируса замечены и в Китае, но пока крупных сбоев там не обнаружено, сообщили в Qihoo 360 Technology Co.

Обновлено в 16:05.  По высказанному ещё вчера мнению украинской киберполиции, распространение вируса Petya началось именно в этой стране через программу документооборота M.E.Doc после того, как та завершила автоматическое обновление. И хотя разработчики приложения первоначально отрицали такую возможность, Microsoft, проанализировавшая ситуацию, утверждает, что имеет веские доказательства проведения некоторых атак с использованием канала доставки апдейтов M.E.Doc.

Аналогичной точки зрения придерживаются и специалисты из ESET, установившие, что источником эпидемии Win32/Diskcoder.C Trojan (Petya.С) стало скомпрометированное обновление программы M.E.Doc, широко распространённой в украинских компаниях. Последнее обстоятельство послужило ключевой причиной быстрого распространения вируса по организациям страны.

Для защиты от Petya компания ESET рекомендует использовать комплексное антивирусное ПО, обновлённое до последней версии и с актуальными вирусными базами, установить все патчи для Windows и проверить систему на защищённость от эксплойта EternalBlue. Если же заражение уже произошло, то первым делом необходимо отключить инфицированные рабочие станции от корпоративной сети. При этом платить злоумышленникам не следует, тем более, что, как мы писали ранее, адрес электронной почты, с которого хакеры якобы должны прислать ключ для дешифрования файлов, заблокирован.

Обновлено в 20:26.  Пока в России и Украине — странах, первыми принявших на себя удар вируса Petya, — устраняют последствия его активности, эксперты из Check Point говорят о трендах, которые демонстрирует атака данного зловреда. По словам главы представительства компании в России и СНГ Василия Дягилева, появление Petya показало, насколько быстро могут создаваться и распространяться на глобальном уровне новые версии вредоносного ПО. При этом многие организации сейчас не готовы к превентивной защите для предотвращения подобных угроз. Простое их обнаружение, работавшее раньше, теперь не помогает — блокировать подозрительный контент и трафик нужно ещё до его попадания в сеть.

Тем временем, как и после атаки WannaCry, специалисты в области компьютерной безопасности предупреждают, что подобные вирусы будут встречаться всё чаще. «Больше не стоит вопрос, станет ли та или иная организация жертвой вымогательского ПО. Вопрос в том, как скоро это произойдёт», — заявил гендиректор компании Druva Джасприт Сингх (Jaspreet Singh).

К слову, на данный момент ущерб от Petya ещё не подсчитан. Однако, как написала в своём твиттере компания «Роснефть», в числе первых подвергшаяся атаке 27 июня, её производственные процессы нарушены не были. «Существуют отдельные проблемы, которые оперативно решаются. Компания работает в штатном режиме. Ситуация находится под контролем. Оценивать последствия кибератаки пока преждевременно», — говорится в сообщении, опубликованном днём в среду, 28 июня.

Обновлено в 22:16. Из различных уголков планеты продолжают поступать новости о «достижениях» вируса-вымогателя Petya. На этот раз сообщается о проблемах у TNT Express — одной из крупнейших международных компаний экспресс-доставки, расположенной в Нидерландах. Сервис продолжает функционировать, но в его работе наблюдаются задержки. «В настоящее время мы не можем оценить финансовые последствия данного сбоя, но они могут быть существенными», — прокомментировали ситуацию в корпорации FedEx, владеющей TNT Express.

window-new
Soft
Hard
Тренды 🔥