Сегодня днем троянец под кодовым именем Petya ("Петя") атаковал компании и учреждения по всему миру. Как сообщил в Twitter глава международной исследовательской команды "Лаборатории Касперского" Костин Райю, троянец "Petya с контактным адресом wowsmith123456@posteo.net" был создан 18 июня, а сейчас поражает нефтяные, телекоммуникационные и финансовые компании России и Украины.
Попав в систему, Petya блокирует доступ к файлам и требует $300 в биткоинах за их разблокировку. Как сообщает Reuters, троянец уже затронул "Роснефть" — крупнейшую в России нефтегазовую компанию, грузоперевозочную фирму Møller-Mærsk Gruppen, а также международный аэропорт на Украине. Более того, об атаках сообщила ЕВРАЗ — крупная металлургическая и горнодобывающая компания с активами в России, на Украине и США, а также крупнейшая британская рекламная компания WPP.
"IT системы нескольких компаний группы WPP стали, предположительно, целью кибератаки. Мы принимаем необходимые меры", — сообщили в компании. Тем не менее, достоверно неизвестно, связана ли эта атака с вирусом Petya. По данным Group-IB, жертвами кибератаки также оказались сети "Башнефти", Mars, Nivea, правительственные компьютеры Украины, магазины "Ашан" и украинские операторы, включая "Киевстар" и LifeCel.
Новая версия вируса содержит поддельную цифровую подпись Microsoft. Как сообщил руководитель исследований "Лаборатории Касперского" Костин Райю, именно она позволяет злоумышленникам проникнуть в систему.
Схему распространения Petya связывают с WanaCrypt0r 2.0 (WCry) — вирусом, поразившим сотни тысяч компьютеров по всему миру в мае. Троянец блокировал доступ к файлам до тех пор, пока жертва не заплатит выкуп. По оценкам экспертов, вирус поразил свыше 300 тысяч Windows-компьютеров через "дыру" в сервере SMB. Менее чем за 72 часа от него пострадали системы в 150 странах.
В России WCry парализовал серверы МВД, Следственного комитета и "МегаФона", а Австралии — заблокировал работу десятков скоростных камер и светофоров, в Европе — одну из крупнейших телекоммуникационных компаний Telefonica. Аналогично Petya, WCry требовал $300 за возврат доступа к файлам.
Несмотря на это, еще 23 июня эксперты предупреждали о преемнике WCry. Как сообщал IT-директор компании IDT Голан Бен-Они, спустя примерно две недели после атаки WCry компьютеры его фирмы поразил еще один троянец, который также требовал выкуп за возврат доступа к данным.
Однако требование денег оказалось прикрытием. По словам Бен-Они, вирус не просто блокировал доступ к файлам, но и передавал злоумышленникам учетные данные сотрудников, которые могут быть использованы для последующих атак. Ситуацию усугублял тот факт, что родственную WCry версию на тот момент не идентифицировала ни одна крупная антивирусная компания.
