Світом прокотилася нова хвиля атак вірусу-шифрувальника, в числі постраждалих російські ЗМІ і українські компанії. У Росії від вірусу постраждало «Інтерфакс», але атака торкнулася лише частина агентства, оскільки його IT-служби встигли відключити частину критично важливої інфраструктури, йдеться в повідомленні російської компанії Group-IB. Вони назвали вірус BadRabbit.
Про безпрецедентною вірусній атаці на «Інтерфакс» на своїй сторінці в Facebook повідомив заступник директора агентства Юрій Погорілий. Два співробітника «Інтерфаксу» підтвердили «Ведомостям» відключення комп'ютерів. За словами одного з них, візуально заблокований екран схожий на результат дій відомого вірусу Petya. Атакував «Інтерфакс» вірус попереджає, що не варто намагатися самостійно розшифрувати файли, і вимагає заплатити викуп в 0,05 біткойнов ($ 285 за вчорашнім курсом), для чого запрошує на спеціальний сайт в мережі Tor. Зашифрованого комп'ютера вірус присвоїв персональний ідентифікаційний код.
Крім «Інтерфаксу» від вірусу-шифрувальника постраждали ще два російських ЗМІ, одне з яких - петербурзьке видання «Фонтанка», знає Group-IB.
Головний редактор «Фонтанки» Олександр Горшков повідомив «Відомостям», що сервери «Фонтанки» були атаковані невідомими зловмисниками. Але Горшков запевняє, що про атаку вірусу-шифрувальника на «Фонтанку» мови не йде: комп'ютери співробітників редакції функціонують, був зламаний сервер, який відповідав за роботу сайту.
Підрозділи «Інтерфаксу» в Великобританії, Азербайджані, Білорусії і на Україні, а також сайт «Інтерфакс-релігія» продовжують працювати, сказав «Відомостям» Погорілий. Не ясно, з якої причини пошкодження не торкнулися інших підрозділів, можливо, це пов'язано з топологією мережі «Інтерфаксу», з тим, де територіально розташовані сервери, і з операційною системою, яка на них встановлена, говорить він.
Український «Інтерфакс» вдень у вівторок повідомив про хакерську атаку на міжнародний аеропорт Одеса. Аеропорт на своїй сторінці вибачився перед пасажирами «за вимушене збільшення часу обслуговування», але, судячи з його онлайн-табло, у вівторок він все ж продовжував відправляти і приймати літаки.
Ще про кібератаку повідомив у своєму Facebook-акаунті метрополітен Києва - виникли проблеми з оплатою проїзду банківськими картами. Видання Front News повідомило, що метрополітен був атакований вірусом-шифрувальником.
Group-IB робить висновок про нову епідемії. За останні місяці по світу прокотилися вже дві хвилі атак вірусів-шифрувальників: 12 травня з'явився вірус WannaCry, а 27 червня - вірус Petya (він же NotPetya і ExPetr). Вони проникали на комп'ютери з операційною системою Windows, куди були встановлені оновлення, шифрували вміст жорстких дисків і вимагали $ 300 за розшифровку. Як пізніше з'ясувалося, Petya і не думав розшифровувати комп'ютери жертв. Перша атака торкнулася сотні тисяч комп'ютерів більш ніж в 150 країнах, друга - 12 500 комп'ютерів в 65 країнах. Жертвами атак стали і російські « Мегафон », Evraz , « Газпром »І« Роснефть ». Ще від вірусу постраждали медичні центри Invitro, які не приймали у пацієнтів аналізи кілька днів.
Petya майже за півтора місяці зумів зібрати лише $ 18 000. Але шкоди завдав незрівнянно більший. Одна з його жертв - данський логістичний гігант Moller-Maersk оцінив недоотриманий виручку від кібератаки в $ 200-300 млн.
Серед підрозділів Moller-Maersk основний удар припав на Maersk Line, що займається морської транспортуванням контейнерів (в 2016 р Maersk Line заробила в цілому $ 20,7 млрд, в підрозділі працює 31 900 осіб).
Бізнес швидко прийшов до тями після атаки, але компанії і регулятори залишалися насторожі. Так, в серпні про можливу кібератаку шифрувальника попереджала директорів своїх філій Федеральна мережева компанія ЄЕС (управляє загальноросійської електричною мережею), а через кілька днів російські банки отримали аналогічне попередження від FinCERT (структура ЦБ, що займається кібербезпекою).
Нову атаку вірусу-шифрувальника помітила і «Лабораторія Касперського», за спостереженнями якої більшість жертв атаки знаходяться в Росії, але є зараження і на Україні, в Туреччині та Німеччині. Всі ознаки вказують на те, що це цілеспрямована атака на корпоративні мережі, впевнений керівник відділу антивірусних досліджень «Лабораторії Касперського» В'ячеслав Закоржевскій: використовуються методи, схожі на інструменти ExPetr, але зв'язку з цим вірусом не простежується.
А на думку антивірусної компанії Eset, шифрувальник все ж родич Petya. В атаці використовувалася шкідлива програма Diskcoder.D - це нова модифікація шифратора.
Погорілий повідомив, що на комп'ютерах «Інтерфаксу» був встановлений антивірус Symantec. Представники Symаntec вчора не відповіли на запит «Ведомостей».
