Одним из ключевых докладчиков Positive Hack Days 9 станет знаменитый исследователь безопасности сетей GSM Карстен Ноль (Karsten Nohl). В студенческие годы его знали как члена сообщества Chaos Computer Club, сегодня Карстен специалист в области шифрования и безопасности данных. Подвергает сомнению и часто опровергает общепринятые идеи о проприетарном программном обеспечении. В своей работе опирается на поддержку Reliance Jio - самой быстрорастущей компании в мире.

Впервые Карстен заявил о себе в 2009 году, когда ему удалось взломать алгоритм кодирования данных в сетях GSM. На конференции Chaos Communication Congress в Берлине он первым публично продемонстрировал процесс взлома.

В 2013 году он обнаружил уязвимость в SIM-картах, которая содержалась в алгоритме шифрования DES (Data Encryption Standard) - он использовался множеством производителей и поддерживался миллионами SIM-карт. Суть атаки заключалась в отправке на телефон специального сообщения, аппарат принимал его за SMS от оператора и выдавал в ответном сообщении криптографическую подпись. Получив это, злоумышленник мог подслушивать разговоры владельца телефона, перехватывать SMS и совершать платежи. На взлом телефона у атакующего могло уйти всего пара минут.

Вместе с Якобом Леллем (Jakob Lell), исследователем компании Security Research Labs, Карстен в 2014 году сообщил об уязвимости устройств USB. С ее помощью злоумышленники могли взломать микроконтроллер и получить возможность управлять компьютером жертвы. Способ получил название BadUSB. В том же году на конференции Chaos Communication Congress Карстен Ноль и исследователь Тобиас Энгель (Tobias Engel) рассказали о серьезных уязвимостях в SS7, которые дают атакующим возможность легко перехватывать телефонные разговоры и SMS-сообщения, даже если в сотовых сетях используются самые современные стандарты шифрования. Уязвимы все телефоны и смартфоны, независимо от операционной системы.

В прошлом году Карстен Ноль и Якоб Лелль на конференции Hack In The Box поделились результатами двухлетнего исследования, в ходе которого они изучили состав обновлений безопасности, выпускаемых крупнейшими производителями устройств на базе Android . Оно показало, что многие крупные производители лишь создают видимость выхода патчей, а на деле многие баги остаются неисправленными.

На PHDays 9, который состоится 21–22 мая 2019 года, Карстен Ноль выступит с докладом «Что там у айсберга под водой: поговорим о реальных киберугрозах». Глобальный анализ данных об уровне защищенности тысяч компаний из десятков отраслей показывает, как непросто бывает большинству организаций интегрировать базовые принципы безопасности. Карстен обсудит с участниками форума, чтó действительно должно волновать общество, стремящееся к информационной безопасности.

По материалам СМИ

27 июня мир пострадал от очередной хакерской атаки: вирус с издевательски-легкомысленным именем Petya заблокировал компьютеры во множестве стран, потребовав за возврат доступа к базам данных компаний по 300 долларов. Собрав около 8 тысяч, «Петя» угомонился, оставив, впрочем, массу вопросов.

Самый животрепещущий, конечно - кто, откуда? По версии журнала Fortune - издания весьма авторитетного - «Петя» пришел к нам с Украины. К этой же точке зрения склоняется германская киберполиция, и, что характерно, украинская тоже. «Петя» вышел в большой мир из недр украинской фирмы «Интеллект-Сервис» - разработчика на заказ самого разнообразного программного обеспечения.

В частности, крупнейшим заказчиком компании является украинский оператор сотовой связи Vodafone, более известный как «МТС Украина» - так он и назывался до 2015 года. А вообще же МТС является ключевым активом корпорации АФК «Система», владеет которой небезызвестный Владимир Евтушенков. Уж не приложил ли бизнесмен руку к разработке и запуску «Пети»?

По мнению «Версии» , это более чем вероятно. «Петя» отправился на свою «большую дорогу» как раз накануне заседания Арбитражного суда Башкирии, где рассматривались претензии «Роснефти» к АФК» Система» - бывшему владельцу «Башнефти», перешедшей в распоряжение крупнейшей национальной нефтяной компании. По мнению «Роснефти», своим управлением Евтушенков и его топ-менеджмент нанесли «Башнефти» убытков на 170 миллиардов рублей, возмещения которых и требует по суду.

Суд, кстати, склонен поверить новому владельцу, потому что уже наложил арест на 185 миллиардов рублей, принадлежащих старому, в т.ч., кстати, и на 31,76% акций МТС. В результате состояние Евтушенкова «исхудало» почти вполовину, а нервы самого бизнесмена стали сдавать все чаще. Чего только стоит фальшивое мировое соглашение, неизвестно откуда поступившее в суд - истец его, как выяснилось, в глаза не видел, не то, что подписывать.

Если с подметными письмами не вышло, то следующий логичный шаг - скрыть доказательства сомнительных деяний ответчика, инкриминируемых ему. А доказательства эти хранятся в компьютерах «Башнефти», перешедших вместе со всем остальным ее имуществом к «Роснефти». Так что не стоит смеяться над «Петей» - его создатели не «денег по-легкому срубить» хотели, а концы подчистить.

И, в общем-то, расчет был неплохой. И украинская компания была выбрана не случайно - где, как не на Украине, завязнут все официальные запросы, и сбор доказательств зайдет в тупик? И компьютерная система «Роснефти» пошатнулась под хакерской атакой, но, благодаря системе резервного копирования, все-таки выстояла, на что бывший владелец никак не мог рассчитывать - он, наверное, ожидал, что в системе киберзащиты его оппонента полно прорех, как это было в «Башнефти» времен АФК «Система».

Поэтому, наверное, и поспешили авторы атаки распустить слухи о том, что «Роснефти» пришлось приостановить производство. Нет, производство не встало, но эти слухи лишний раз свидетельствуют о том, что создатели «Пети» были весьма в этом заинтересованы. А на сегодняшний день дискредитация «Роснефти» является пунктом первым в повестке дня структур Владимира Евтушенкова.

Подробно

Крупным планом

В инициативе Росгвардии по ужесточению наказания за незаконную частную охранную деятельность самое интересное - не предлагаемые санкции, а четко определенный самой молодой российской спецслужбой объект приложения силы. Фактически, планируется объявить настоящую войну многоликой армии вахтеров и администраторов.

Компания «Роснефть» подверглась мощной хакерской атаке, о чем сообщила в своем твиттере.

«На серверы компании осуществлена мощная хакерская атака. Мы надеемся, что это никак не связано с текущими судебными процедурами», — говорится в сообщении. Сайт «Роснефти» на момент публикации заметки был недоступен.

Нефтяная компания сообщила, что обратилась в правоохранительные органы в связи с инцидентом. Из-за оперативных действий службы безопасности работа «Роснефти» не нарушилась и продолжается в штатном режиме.

«Хакерская атака могла привести к серьезным последствиям, однако благодаря тому, что компания перешла на резервную систему управления производственными процессами, ни добыча, ни подготовка нефти не остановлены», — сообщили представители компании корреспонденту «Газеты.Ru».

Они предупредили, что все, кто будут распространять недостоверные данные, «будут рассматриваться как сообщники организаторов атаки и вместе с ними нести ответственность.»

Кроме того, были заражены компьютеры компании «Башнефть», сообщили «Ведомости» . Вирус-шифровальщик, как и печально известный WannaCry, заблокировал все данные компьютера и требует перевести преступникам выкуп в биткоинах, эквивалентный $300.

К сожалению, это не единственные пострадавшие от масштабной хакерской атаки — Telegram-канал «Сайберсекьюрити и Ко.» сообщает о кибервзломе Mondelez International (бренды Alpen Gold и Milka), Ощадбанка, Mars, Новой Почты, Nivea, TESA и других компаний.

Автор канала Александр Литреев заявил, что вирус носит название Petya.A и что он действительно похож на WannaCry, поразивший более 300 тыс. компьютеров по всему миру в мае этого года. Petya.A поражает жесткий диск и шифрует главную таблицу файлов (MFT). По данным Литреева, вирус распространялся в фишинговых письмах с зараженными вложениями.

В блоге «Лаборатории Касперского» появилась публикация с информацией о том, как происходит заражение. По словам автора, вирус распространяется в основном через HR-менеджеров, так как письма маскируются под сообщение от кандидата на ту или иную должность.

«HR-специалист получает фальшивое письмо со ссылкой на Dropbox, по которой якобы можно перейти и скачать «резюме». Вот только файл по ссылке является не безобидным текстовым документом, а самораспаковывающимся архивом с расширением.EXE», — рассказывает эксперт.

После открытия файла пользователь видит «синий экран смерти», после которого Petya.A блокирует систему.

Специалисты компании Group-IB рассказали «Газете.Ru», что недавно шифровальщик Petya использовала группа Cobalt для сокрытия следов целевой атаки на финансовые учреждения.

Снова русские хакеры

Наиболее сильно от вируса Petya.A пострадала Украина. Среди пострадавших — «Запорожьеоблэнерго», «Днепроэнерго», Киевский метрополитен, украинские мобильные операторы «Киевстар», LifeCell и «Укртелеком», магазин «Ашан», Приватбанк, аэропорт Борисполь и другие организации и структуры.

Всего в общей сложности были атакованы свыше 80 компаний в России и на Украине.

Депутат украинской Рады от «Народного фронта», член коллегии МВД Антон Геращенко заявил, что в кибератаке виноваты российские спецслужбы.

«По предварительной информации, это организованная система со стороны спецслужб РФ. Целью данной кибератаки являются банки, СМИ, «Укрзализниця», «Укртелеком». Вирус попадал на компьютеры несколько дней, даже недель в виде разного рода сообщений на почту, пользователи, которые открывали это сообщения, позволяли вирусу разойтись по всем компьютерам. Это еще один пример использования кибератак в гибридной войне против нашей страны», — сообщил Геращенко.

Атака вирусом-вымогателем WannaCry случилась в середине мая 2017 года и парализовала работу нескольких международных компаний по всему миру. Ущерб, нанесенный мировому сообществу масштабным вирусом WannaCry, оценили в $1 млрд.

Зловред использовал уязвимость в операционной системе Windows, блокировал компьютер и требовал выкуп. Распространение вируса было остановлено случайно одним британским программистом — он зарегистрировал доменное имя, к которому обращалась программа.

Несмотря на то что кибератака WannaCry имела планетарный масштаб, всего было зафиксировано только 302 случая уплаты выкупа, в результате чего хакеры смогли заработать $116 тыс.

Компания «Роснефть» пожаловалась на мощную хакерскую атаку на свои сервера. Об этом компания сообщила в своем Twitter . «На серверы компании осуществлена мощная хакерская атака. Мы надеемся, что это никак не связано с текущими судебными процедурами», - указывается в сообщении.

«По факту кибератаки компания обратилась в правоохранительные органы», - говорится в сообщении. В компании подчеркнули, что хакерская атака могла привести к серьезным последствиям, однако «благодаря тому, что компания перешла на резервную систему управления производственными процессами, ни добыча, ни подготовка нефти не остановлены». Собеседник газеты «Ведомости», близкий к одной из структур компании, указывает , что все компьютеры в НПЗ «Башнефти», «Башнефть-Добыче» и управлении «Башнефти» «единомоментно перезагрузились, после чего скачали неустановленное программное обеспечение и вывели на экран заставку вируса WannaCry».

На экране пользователям было предложено перевести $300 в биткоинах по указанному адресу, после чего пользователям якобы будет выслан ключ для разблокировки компьютеров на e-mail. Вирус, судя из описания, зашифровал все данные на пользовательских компьютерах.

Group-IB, занимающаяся предотвращением и расследованием киберпреступлений и мошенничеств, идентифицировала вирус, поразивший нефтяную компанию, сообщили Forbes в компании. Речь идет о вирусе-шифровальщике Petya, который атаковал не только «Роснефть». Специалисты Group-IB. выяснили, что атакованы около 80 компаний России и Украины: сети «Башнефти», «Роснефти», украинских компаний «Запорожьеоблэнерго», «Днепроэнерго» и Днепровской электроэнергетической системы, Mondelēz International, «Ощадбанк», Mars, «Новая Почта», Nivea, TESA и другие. Киевский метрополитен также подвергся хакерской атаке. Атакованы правительственные компьютеры Украины, магазины Ашан, украинские операторы (Киевстар, LifeCell, УкрТелеКом), ПриватБанк. Аэропорт «Борисполь», предположительно, также подвергся хакерской атаке.

Вирус распространяется или как wannacry, или через рассылку - сотрудники компаний открывали вредоносные вложения в письмах электронной почты. В результате компьютер жертвы блокировался и MFT (файловая таблица NTFS) надежно шифровалась, объясняет представитель Group-IB. При этом на экране блокировки не указано название программы-шифровальщика, что осложняет процесс реагирования на ситуацию. Также стоит отметить, что в Petya используется стойкий алгоритм шифрования и нет возможности создать инструмент расшифровки. Шифровальщик требует $300 в биткоинах. Потерпевшие начали уже переводить деньги на кошелек злоумышленников.

Специалисты Group-IB установили, что недавно модифицированную версию шифровальщика Petya - «PetrWrap» использовала группа Cobalt для сокрытия следов целевой атаки на финансовые учреждения. Преступная группа Cobalt известна тем, что успешно атаковала банки по всему миру - России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польши, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении, Тайване и Малайзии. Эта структура специализируется на бесконтактных (логических) атаках на банкоматы. Кроме систем управления банкоматами, киберпреступники стараются получить доступ к системам межбанковских переводов (SWIFT), платежным шлюзам и карточному процессингу.

Так теперь появился новый вирус.

Что за вирус и стоит ли его бояться

Вот так он выглядит на зараженном компьютере

Вирус под названием mbr locker 256 (который на мониторе именует себя Petya) атаковал сервера российских и украинских компаний.

Он блокирует Файлы на компьютере и шифрует их. За разблокировку хакеры требуют $300 в биткоинах.

MBR – это главная загрузочная запись, код, необходимый для последующей загрузки ОС. Он расположен в первом секторе устройства.

После включения питания компьютера проходит процедура POST, тестирующая аппаратное обеспечение, а после неё BIOS загружает MBR в оперативную память по адресу 0x7C00 и передает ему управление.

Таким образом вирус попадает в компьютер и поражает систему. Модификаций зловреда существует много.

Работает он под управлением Windows, как и прежний зловред.

Кто уже пострадал

Украинские и российские компании. Вот часть из всего списка:

Многие компании оперативно отразили атаку, но не все это сделать смогли. Из-за него не работает часть серверов.

Банки не могут осуществить из-за «Пети» ряд денежных операций. Аэропорты откладывают или задерживают рейсы. Метрополитен Украины не принимал бесконтактные платежи до 15:00.

Что касается офисной техники, компьютеров, они не работают. При этом с энергосистемой, с энергообеспечением никаких проблем нет. Это коснулось только офисных компьютеров (работают на платформе Windows). Нам дали команду отключить компьютеры. - Укрэнерго

Операторы жалуются на то, что тоже пострадали. Но при этом стараются работать для абонентов в штатном режиме.

Как защититься от Petya.A

Для защиты от него нужно закрыть на компьютере TCP-порты 1024-1035, 135 и 445. Это сделать достаточно просто:

Шаг 1 . Открываем брэндмауэр.

Шаг 2 . В левой части экрана переходим в «Правила для входящих подключений».

Шаг 3 . Выбираем «Создать правило» -> «Для порта» -> «Протокол TCP» -> «Определенные локальные порты».

Шаг 4 . Пишем «1024-1035, 135, 445», выбираем все профили, щелкаем «Блокировать подключение» и везде «Далее».

Шаг 5 . Повторяем действия для исходящих подключений.

Ну и второе - обновить антивирус. Эксперты сообщают, что необходимые обновления уже появились в базах антивирусного ПО.