#Темадня: Соцсети и эксперты отреагировали на кибератаку вируса Petya

Компьютерный вирус Petya.A, атаковавший Украину 27 июня, на сегодняшний день уже распространился на Польшу, Италиу, Великобританиу, Литву, Германию, Францию и США.

Советник министра внутренних дел Украины, народный депутат Антон Геращенко, дал одно из наиболее исчерпывающих описаний произошедшему еще в день начала атаки. «На сегодня можно сказать, что атака готовилась не менее месяца. Письма, приходившие адресатам-резидентам Украины, были на русском и украинском языках, — написал Геращенко на своей странице в Facebook. — Организаторы атаки хорошо знали специфику рассылок служебных писем в украинском коммерческом и государственном секторе и маскировали рассылки писем, содержащих вирус, под видом деловой переписки, которую из любопытства открывали неопытные пользователи. В программном коде вируса была заложена дата запуска: 27 июня в 11:00».

В свою очередь, заместитель министра информационной политики Украины Дмитрий Золотухин на своей странице в Facebook наглядно показал, как может выглядеть письмо с зараженным файлом во вкладыше. «Цель применяемых методов социальной инженерии заключается в том, чтобы подталкивать получателя письма заинтересоваться содержимым вложенного файла. Я неоднократно видел, как офисные сотрудники просто автоматически кликают по названиям вложенных файлов, открывая вложения», — написал чиновник.

Технический директор антивирусной компании Zillya! Олег Сыч объяснил, что «эпидемия заражений отдельных ПК и корпоративных сетей сегодня связана с действием вредоносного ПО WannaCry». «Это вирус, сетевой червь, программа-вымогатель, который в своей деятельности использует уязвимость операционной системы Windows. Весной текущего года уже отмечалась масштабная эпидемия, которая прокатилась по многим странам мира. Пострадали тысячи пользователей, — рассказывает эксперт. — Про это писали все СМИ! Но что самое главное — способ как уберечься от новых заражений был найден в течение нескольких дней. Был создан патч, установив который, WannaCry больше не могла атаковать ПК».

«Однако можно говорить с высокой вероятностью, что все сегодняшние „жертвы“ просто проигнорировали возможность принять превентивные меры. Возможно, это из-за невнимательности. Возможно, из-за того, что обычные пользователи и даже компании пользуются пиратскими вариантами операционных систем. И чтобы им не надоедали напоминанием о необходимости купить лицензию, принудительно отключают обновления системы. Кроме того, администраторы должны внимательно относиться к рекомендациям компаний и лабораторий, которые работают в сфере киберзащиты. Например, немедленно закрыть TCP-порты 1024-1035, 135, 139 и 445», — подчеркнул Сыч.

«Нарушение настолько базовых правил может говорить или о том, что сыграл „человеческий фактор“, или о том, что про эти правила вообще никогда не слышали», — заключил эксперт.

Специалисты Microsoft в своем официальном блоге заявили, что атака случилась из-за обновления программы документооборота «М.Е.Док». Якобы весь процесс был запущен в 10.30 27 июня и до обеда угроза распространилась на компании по всей Украине, а произошло все после легального обновления программы для документооборота.

При этом в компании подчеркнули, что в Украине были инфицированы 12,5 тысяч компьютеров. По словам специалистов Microsoft, хакерская атака была осуществлена при помощи вируса-вымогателя, нового варианта Ransom:Win32/Petya, однако в то же время он изящнее своего предшественника.

Информацию о том, что обновление M.E.Doc стало одним из двух путей заражения большинства компьютеров, подтвердили и в департаменте киберполиции Национальной полиции Украины. «Обращаем внимание, что мы не обвиняем компанию „M.E.doc“, лишь констатируем: выявлены факты, которые следует детально проверить. Поэтому на период проверки мы не рекомендуем осуществлять соответствующие обновления», — говорится на официальной странице киберполиции в Facebook.

В свою очередь, разработчик программного обеспечения M.E.Doc на своей странице в Facebook опубликовал опровержение информации о причастности своего софта к распространению вируса Petya. «Разработчик M.E.Doc как ответственный поставщик программного продукта следит за безопасностью и чистотой собственного кода. Для этого были заключены договора с крупными антивирусными компаниям. Также перед выпуском каждого обновления M.E.Doc передает в антивирусные компании свои файлы для анализа», — сказано в сообщении.

Актуальная версия пакета обновления была выпущена 22 июня, все файлы были проверены на наличие каких-либо вирусов, утверждают в M.E.Doc.

В компании также пообещали провести переговоры с Государственной фискальной службой на предмет содействия клиентам в подаче отчетности после массированной кибератаки. «Мы будем вести переговоры с Государственной фискальной службой и налоговой службой, чтобы решить эту проблему. Мы понимаем: даже если эту проблему решить, вовремя провести ремонт, наши клиенты могут не успеть все восстановить», — сообщили в пресс-службе разработчика.

В компании добавили, что также находятся в плотном сотрудничестве с департаментом киберполиции Национальной полиции Украины по вопросу атак. «Вчера мы пригласили их к нам в офис, после чего они сказали, что была атака через различные каналы, но не через нашу программу — наша программа чистая, она на Linux, и вирус в принципе ее не трогает», — добавили в пресс-службе.

На вопрос о рекомендациях киберполиции не пользоваться обновлением указанного ПО в компании подчеркнули, что оно было сделано до совместной работы, а после было объявлено, что программой можно пользоваться без проблем.

По мнению, координатора проекта iGov и сооснователя Fintech Band, бывшего IT-директора «ПриватБанка» Дмитрия Дубилета, «конкретно в случае с этим вирусом самый простой рецепт не подцепить его — пользоваться не Windows, а другой операционной системой. В Привате, например, почти все наши станции работали на Linux (наша версия Ubuntu). И дело не в том, больше Windows защищен или меньше по сравнению с другими ОС, а в том, что он — самая массовая ОС, потому вирусы обычно создают именно под него».

«Искать тут виноватых не нужно. А вообще интересно, что вирус использовал уязвимость, которой в свое время пользовались американские спецслужбы (NSA) в своих интересах, — продолжил эксперт. — Но в прошлом году NSA сами стали жертвами утечки данных, и наружу вытекла информация о куче „дырок“, которыми они пользовались (от „дырок“ в смартфонах до телевизоров). В том числе стала публичной информация об этой конкретной уязвимости в Windows, которую использовал недавно и WannaCry, и этот Petya».

«Такого понятия, как компьютерная система страны, не существует. Есть множество отдельных индивидуумов, компаний и госорганизаций. Не хочется быть капитаном очевидность, но в любом случае в работе с компьютерами нужно соблюдать элементарные правила гигиены: вовремя бекапиться, обновлять систему, не открывать подозрительные файлы и так далее. Если мы говорим о государственных органах, то кибербезопасность — это частный вопрос более широкого вопроса IТ. С IТ в нашем государстве, по моей оценке, все грустно. И вопрос вообще не в бюджетах на IТ (бюджеты как раз, по моей оценке, в Украине слишком раздутые), а в том, что, к сожалению, у нас катастрофически мало компетентных управленцев, которые хоть что-то понимают в IТ», — заключили Дубилет.

Председатель Глобальной программы ООН по киберпреступности Нил Уолш сообщил, что следователи до сих пор не могут установить инициаторов последней глобальной кибератаки, но стратегия нападающих указывает, что не деньги были основным мотивом их действий. Программное обеспечение, использованное при атаке на этой неделе, было сложнее, чем то, которое применялось в предыдущих атаках с применением вируса WannaCry, отметил специалист, но инициаторы новой атаки неопытны в вопросе сбора выкупа от жертв в обмен на разблокирование их компьютеров. Это позволило 28 июня заблокировать учетную запись и сделать невозможным получение денег.

«Это может быть кто угодно: от одного парня, сидящего в подвале, к национальному государству», — заключил Уолш.

Первый заместитель генерального директора аэропорта «Борисполь» Евгений Дыхне сообщил, что главный сервер аэропорта «Борисполь» до сих пор не работает из-за кибератаки. Отмечается, что аэропорт о времени полетов информирует пассажиров в ручном режиме. Центральное табло обновляется в ручном режиме через каждые 15 минут. Остальные службы работают в штатном режиме. Задержек рейсов нет.

«Ощадбанк» и «Укргазбанк» сообщили о продолжении работы своих отделений в ограниченном режиме.

В то же время мировой лидер в сфере контейнерных перевозок, датская компания Maersk сообщила о восстановлении работы большинства своих терминалов после масштабной атаки вируса-вымогателя Petya. «Большинство наших терминалов сейчас в работоспособном состоянии. Некоторые из них работают медленнее, чем обычно или с ограниченным функционалом», — отмечается в заявлении. Специалисты компании продолжают работать над решением этой проблемы.

Исполняющий обязанности председателя НБУ Яков Смолий также сообщил о постепенном восстановлении работы ряда банков. «Работа ряда банков, которая была ограничена из-за хакерских атак, постепенно восстанавливается. Система электронных платежей НБУ работает в штатном режиме. Продолжается процесс возобновления работы пострадавших банков в СЭП НБУ», — рассказал он.

По словам Смолия, все процессинговые центры страны работают, операции с платежными карточками осуществляются в обычном режиме.

НБУ рекомендует клиентам банков обращаться в колл-центры обслуживающих банков или непосредственно в их отделения относительно статуса работы и возможностей обслуживания в отдельно взятом банке.

Владелец интернет-магазина Rozetka.ua Владислав Чечеткин заявил о проблемах с подачей налоговой отчетности из-за поражения вирусом «Petya.А» бухгалтерской системы компании. «Пострадала и полностью заблокирована работа бухгалтерии. При этом налоговая требует предоставления отчетности, которую нужно сдавать с помощью программы-распространителя вируса. Это самое печальное на сейчас», — сказал он четверг.

По его словам, в результате кибератаки данные компании потеряны не были, интернет-магазин продолжает работать в штатном режиме. При этом существенные трудности возникли в связи с приостановлением работы партнеров по доставке Rozetka.ua.

«Компания работала и продолжает работать. Но логистические партнеры не работали. И частично не работали компьютеры наших сотрудников — мы восстанавливаем их работу. Все нормально, но задержки возможны по вине перевозчиков», — пояснил Чечеткин.

Известный эксперт и бизнесмен в IT-сфере Илья Кенигштейн напомнил, что аналогичная ситуация сложилась во время распространения вируса WannaCry полтора месяца назад, однако за это время соответствующие службы государственных органов и частных компаний так ничего и не предприняли. «Они спокойно переживают одну вирусную эпидемию за другой, не предпринимая ровным счетом никаких шагов по предотвращению последствий новых атак. Более того, в очередной раз получив по морде, лучшее, на что они способны в своих управленческих решениях — это просто отключиться от сети. Обрезать провода», — написал Кенигштейн.

Пользователи соцсетей активно обсуждают сложившуюся ситуацию. Большинство подошли к проблеме с юмором и иронией, особенно — к названию вредоносной программы. Однако некоторые обратили внимание на серьезность вопросов, которые подняла эта кибератака.