Unul dintre vorbitorii cheie la Positive Hack Days 9 va fi celebrul cercetător în domeniul securității rețelei GSM Karsten Nohl. În timpul studenției, a fost cunoscut ca membru al comunității Chaos Computer Club, astăzi, Carsten este un expert în domeniul criptării și al securității datelor. Se pune sub semnul întrebării și adesea respinge înțelepciunea convențională despre software-ul proprietar. În activitatea sa se bazează pe sprijin Reliance Jio- compania cu cea mai rapidă creștere din lume.

Karsten și-a făcut cunoscută prezența pentru prima dată în 2009, când a reușit să spargă algoritmul de codificare a datelor în rețele GSM. La Chaos Communication Congress de la Berlin, el a fost primul care a demonstrat public procesul de hacking.

În 2013, a descoperit o vulnerabilitate în cardurile SIM, care era conținută în algoritm Criptare DES(Standard de criptare a datelor) - a fost folosit de mulți producători și acceptat de milioane de carduri SIM. Esența atacului a fost trimiterea la telefon mesaj special, dispozitivul l-a acceptat ca SMS de la operator și a emis o semnătură criptografică în mesajul de răspuns. După ce a primit acest lucru, atacatorul ar putea să asculte cu urechea conversațiile proprietarului telefonului, să intercepteze SMS-urile și să facă plăți. Un atacator ar putea dura doar câteva minute pentru a sparge un telefon.

Împreună cu Jakob Lell, cercetător la Security Research Labs, Carsten a raportat vulnerabilitatea în 2014 dispozitive USB. Cu ajutorul acestuia, atacatorii ar putea sparge microcontrolerul și ar putea obține capacitatea de a controla computerul victimei. Metoda se numește BadUSB. În același an, la Chaos Communication Congress au vorbit despre Carsten Nohl și cercetătorul Tobias Engel vulnerabilități graveîn SS7, care oferă atacatorilor posibilitatea de a intercepta cu ușurință convorbiri telefoniceși mesaje SMS, chiar dacă rețelele celulare cel mai folosit standarde moderne criptare. Toate telefoanele și smartphone-urile sunt vulnerabile, indiferent de sistemul de operare.

Anul trecut, Carsten Nohl și Jakob Lell au împărtășit rezultatele unui studiu de doi ani la conferința Hack In The Box în care au examinat compoziția actualizărilor de securitate lansate de cei mai mari producători de dispozitive Android. A arătat că mulți marii producatori Ele creează doar aspectul unor patch-uri lansate, dar în realitate multe erori rămân neremediate.

La PHDays 9, care va avea loc în perioada 21-22 mai 2019, Karsten Nohl va susține o prezentare „Ce se află sub aisberg: să vorbim despre amenințările cibernetice reale”. O analiză globală a datelor de securitate de la mii de companii din zeci de industrii arată cât de dificil este pentru majoritatea organizațiilor să integreze principiile de bază de securitate. Karsten va discuta cu participanții la forum despre ce ar trebui să-i pese cu adevărat unei societăți care luptă pentru securitatea informațiilor.

Pe baza materialelor media

Pe 27 iunie, lumea a suferit de alta atac de hacker: un virus cu numele batjocoritor de frivol Petya a blocat computerele în multe țări, cerând 300 de dolari pentru a returna accesul la bazele de date ale companiei. După ce a strâns aproximativ 8 mii, „Petya” s-a calmat, lăsând, totuși, o mulțime de întrebări.

Cel mai presant, desigur, este cine, de unde? Potrivit revistei Fortune, o publicație foarte autorizată, „Petya” a venit la noi din Ucraina. Poliția cibernetică germană este înclinată spre același punct de vedere și, în mod caracteristic, și cea ucraineană. „Petya” a ieșit înăuntru Lumea mare din măruntaiele companiei ucrainene „Intellect-Service” - un dezvoltator personalizat al unei game largi de software.

În special, cel mai mare client al companiei este operatorul ucrainean comunicatii celulare Vodafone, mai cunoscut sub numele de „MTS Ukraine” - așa a fost numit până în 2015. În general, MTS este un activ cheie al corporației AFK Sistema, deținută de binecunoscutul Vladimir Yevtushenkov. Omul de afaceri nu a avut o mână de ajutor în dezvoltarea și lansarea Petit?

Potrivit lui Versiya, acest lucru este mai mult decât probabil. „Petya” s-a dus la „ drum mare„Chiar în ajunul ședinței Curții de Arbitraj din Bașkiria, unde au fost luate în considerare pretențiile lui Rosneft împotriva AFK Sistema, fostul proprietar al Bashneft, care a fost transferată la dispoziția celei mai mari companii petroliere naționale. Potrivit lui Rosneft, cu conducerea lor, Yevtushenkov și conducerea sa de vârf i-au cauzat lui Bashneft pierderi de 170 de miliarde de ruble, despăgubiri pentru care cer în instanță.

Instanța, de altfel, este înclinată să-l creadă pe noul proprietar, deoarece a sechestrat deja 185 de miliarde de ruble aparținând celui vechi, inclusiv, de altfel, 31,76% din acțiunile MTS. În consecință, starea lui Yevtushenkov „a dispărut” la aproape jumătate, iar nervii omului de afaceri au început să cedeze din ce în ce mai des. Care este valoarea unui fals acord de soluționare care a ajuns la instanță de nicăieri - reclamantul, după cum s-a dovedit, nu l-a văzut niciodată, cu atât mai puțin l-a semnat.

Dacă scrisorile anonime nu au funcționat, atunci următorul pas logic este ascunderea dovezilor faptelor dubioase ale inculpatului incriminate împotriva sa. Și aceste dovezi sunt stocate în computerele lui Bashneft, care au fost transferate împreună cu toate celelalte proprietăți ale sale către Rosneft. Așa că nu ar trebui să râzi de „Petya” - creatorii săi nu au vrut să „face bani cu ușurință”, ci să curețe punctele libere.

Și, în general, calculul nu a fost rău. Iar compania ucraineană nu a fost aleasă întâmplător - unde, dacă nu în Ucraina, se vor bloca toate anchetele oficiale, iar strângerea probelor va ajunge într-o fundătură? ȘI sistem informatic Rosneft a suferit un atac de hacker, dar datorită sistemului Rezervă copie, încă a supraviețuit, orice ar fi Fost proprietar nu putea conta pe nimic - probabil că se aștepta ca sistemul de apărare cibernetică al adversarului să fie plin de găuri, așa cum a fost în Bashneft pe vremea AFK Sistema.

De aceea, probabil, autorii atacului s-au grăbit să răspândească zvonuri că Rosneft a trebuit să suspende producția. Nu, producția nu s-a oprit, dar aceste zvonuri indică încă o dată că creatorii „Petit” au fost foarte interesați de acest lucru. Și astăzi, discreditarea lui Rosneft este primul punct de pe ordinea de zi a structurilor lui Vladimir Yevtushenkov.

Detalii

A închide

Cel mai interesant lucru despre inițiativa Gărzii Ruse de a înăspri pedepsele pentru activitățile ilegale de securitate privată nu sunt sancțiunile propuse, ci definite clar de către cei mai tineri. Serviciul rus de informații obiectul aplicării forţei. De fapt, se plănuiește declararea unui adevărat război asupra diversei armate de paznici și administratori.

Compania Rosneft a fost supusă unui atac puternic de hackeri, după cum a raportat pe Twitter.

„Un atac puternic al hackerilor a fost efectuat pe serverele companiei. Sperăm că acest lucru nu are nimic de-a face cu procedurile legale în curs”, se arată în comunicat. Site-ul web Rosneft nu era disponibil la momentul publicării notei.

Compania petrolieră a raportat că a contactat agențiile de aplicare a legiiîn legătură cu incidentul. Din cauza actiuni operationale serviciile de securitate, activitatea Rosneft nu a fost întreruptă și continuă în mod normal.

„Un atac de hacker ar fi putut duce la consecințe grave, dar datorită faptului că compania a trecut la sistem de rezervă management Procese de producție, nici producția, nici prepararea uleiului nu a fost oprită”, au declarat reprezentanții companiei unui corespondent Gazeta.Ru.

Aceștia au avertizat că oricine răspândește informații false „va fi considerat complici ai organizatorilor atacului și va fi tras la răspundere împreună cu aceștia”.

În plus, computerele companiei Bashneft au fost infectate, au informat aceștia "Vedomosti". Virusul ransomware, precum infamul WannaCry, a blocat toate datele computerului și cere ca o răscumpărare în bitcoini echivalentă cu 300 USD să fie transferată criminalilor.

Din păcate, acestea nu sunt singurele victime ale unui atac pe scară largă a hackerilor - canalul Cybersecurity and Co. Telegram. raportează un hack cibernetic al Mondelez International (mărcile Alpen Gold și Milka), Oschadbank, Mars, Nova Poshta, Nivea, TESA și alte companii.

Autorul canalului, Alexander Litreyev, a spus că virusul se numește Petya.A și că este într-adevăr similar cu WannaCry, care a infectat peste 300 de mii de computere din întreaga lume în luna mai a acestui an. Petya.A este uimitor HDDși criptează tabelul de fișiere master (MFT). Potrivit Litreev, virusul a fost distribuit în e-mailuri de phishing cu atașamente infectate.

ÎN blog Kaspersky Lab a publicat o publicație cu informații despre cum se produce infecția. Potrivit autorului, virusul se răspândește în principal prin managerii de resurse umane, deoarece scrisorile sunt deghizate ca mesaj de la un candidat pentru o anumită funcție.

„Un specialist în resurse umane primește un e-mail fals cu un link către Dropbox, care se presupune că vă permite să accesați și să descărcați un „cv”. Dar fișierul de la link nu este inofensiv document text, ci o arhivă autoextractabilă cu extensia .EXE”, spune expertul.

După deschiderea fișierului, utilizatorul vede „ ecran albastru moarte”, după care Petya.A blochează sistemul.

Specialiștii Group-IB au declarat pentru Gazeta.Ru că criptatorul Petya a fost folosit recent de grupul Cobalt pentru a ascunde urmele unui atac țintit asupra institutii financiare.

Din nou hackeri ruși

Ucraina a fost lovită cel mai greu de virusul Petya.A. Printre victime se numără Zaporozhyeoblenergo, Dneproenergo, Metroul Kiev, operatorii ucraineni de telefonie mobilă Kyivstar, LifeCell și Ukrtelecom, magazinul Auchan, Privatbank, aeroportul Boryspil și alte organizații și structuri.

În total, peste 80 de companii din Rusia și Ucraina au fost atacate.

Un membru al Radei Ucrainene de la Frontul Popular, membru al consiliului de administrație al Ministerului Afacerilor Interne, Anton Gerașcenko, a spus că serviciile speciale ruse sunt de vină pentru atacul cibernetic.

„Conform informațiilor preliminare, aceasta sistem organizat de la serviciile ruse de informații. Țintele acestui atac cibernetic sunt băncile, mass-media, Ukrzaliznytsia, Ukrtelecom. Virusul a apărut pe computere timp de câteva zile, chiar săptămâni, sub formă diferite feluri mesaje prin e-mail, utilizatorii care au deschis aceste mesaje au permis virusului să se răspândească pe toate computerele. Acesta este un alt exemplu de utilizare a atacurilor cibernetice într-un război hibrid împotriva țării noastre”, a spus Gerașcenko.

Atacul ransomware WannaCry a avut loc la mijlocul lui mai 2017 și a paralizat munca mai multor companii internationale La nivel mondial. Prejudiciul cauzat comunității globale pe scară largă Virusul WannaCry, evaluat la 1 miliard de dolari.

Malware-ul a exploatat o vulnerabilitate în sala de operație sistem Windows, a blocat computerul și a cerut o răscumpărare. Răspândirea virusului a fost oprită accidental de un programator britanic - s-a înregistrat Numele domeniului, pe care programul l-a accesat.

În ciuda faptului că atacul cibernetic WannaCry a avut o amploare planetară, în total au fost înregistrate doar 302 cazuri de plăți de răscumpărare, în urma cărora hackerii au reușit să câștige 116 mii de dolari.

Compania Rosneft s-a plâns de un atac puternic al hackerilor asupra serverelor sale. Compania a anunțat acest lucru în documentul său Stare de nervozitate. „Un atac puternic al hackerilor a fost efectuat pe serverele companiei. Sperăm că acest lucru nu are nicio legătură cu procedurile legale actuale”, se arată în mesaj.

„Compania a contactat agențiile de aplicare a legii cu privire la atacul cibernetic”, - se spuneîn mesaj. Compania a subliniat că un atac de hacker ar putea duce la consecințe grave, însă, „mulțumită faptului că compania a trecut la un sistem de control al procesului de producție de rezervă, nici producția de petrol, nici pregătirea uleiului nu au fost oprite”. Un interlocutor al ziarului Vedomosti, apropiat de una dintre structurile companiei, indică faptul că toate calculatoarele de la rafinăria Bashneft, Bashneft-Dobyche și conducerea Bashneft „s-au repornit imediat, după care au descărcat un necunoscut. softwareși a afișat ecranul de splash al virusului WannaCry.”

Ecranul le-a cerut utilizatorilor să transfere 300 USD în bitcoini către adresa specificată, după care se presupune că utilizatorilor li se va trimite o cheie pentru a-și debloca computerele prin e-mail. Virusul, judecând după descriere, a criptat toate datele de pe computerele utilizatorilor.

Group-IB, care previne și investighează infracțiunile cibernetice și frauda, ​​a identificat un virus care a infectat companie petroliera, a declarat compania pentru Forbes. Este despre despre virusul de criptare Petya, care a atacat nu numai Rosneft. Specialiștii grupului IB. a aflat că aproximativ 80 de companii din Rusia și Ucraina au fost atacate: rețelele Bashneft, Rosneft, companiile ucrainene Zaporozhyeoblenergo, Dneproenergo și Sistemul de energie electrică a Niprului, Mondelēz International, Oschadbank, Mars ". Nova Poshta”, Nivea, TESA și alții. Metroul din Kiev a fost, de asemenea, supus unui atac de hacker. Calculatoare guvernamentale ucrainene, magazine Auchan, Operatori ucraineni(Kyivstar, LifeCell, UkrTeleCom), PrivatBank. Aeroportul Boryspil a fost, de asemenea, supus unui atac de hacker.

Virusul se răspândește fie ca dorință, fie prin liste de corespondență - angajații companiei au deschis atașamente rău intenționate în e-mailuri E-mail. Drept urmare, computerul victimei a fost blocat, iar MFT (tabelul de fișiere NTFS) a fost criptat în siguranță, explică un reprezentant Group-IB. În același timp, numele programului ransomware nu este indicat pe ecranul de blocare, ceea ce complică procesul de răspuns la situație. De asemenea, merită remarcat faptul că Petya folosește un algoritm de criptare puternic și nu are capacitatea de a crea un instrument de decriptare. Ransomware-ul cere 300 USD în bitcoins. Victimele au început deja să transfere bani în portofelul atacatorilor.

Specialiștii Grupului IB au constatat că recent versiune modificată Ransomware-ul Petya „PetrWrap” a fost folosit de grupul Cobalt pentru a ascunde urmele unui atac țintit asupra instituțiilor financiare. Gruparea criminală Cobalt este cunoscută pentru că a atacat cu succes bănci din întreaga lume - Rusia, Marea Britanie, Țările de Jos, Spania, România, Belarus, Polonia, Estonia, Bulgaria, Georgia, Moldova, Kârgâzstan, Armenia, Taiwan și Malaezia. Această structură este specializată în atacuri fără contact (logice) asupra bancomatelor. Pe lângă sistemele de control ATM, infractorii cibernetici încearcă să obțină acces la sistemele de transfer interbancare (SWIFT), la gateway-uri de plată și la procesarea cardurilor.

Așa că acum a apărut un nou virus.

Ce fel de virus este și ar trebui să vă fie frică de el?

Așa arată pe un computer infectat

Un virus numit mbr locker 256 (care se numește Petya pe monitor) a atacat serverele companiilor rusești și ucrainene.

Blocează fișierele de pe computer și le criptează. Hackerii cer 300 USD în bitcoini pentru deblocare.

MBR– acesta este principalul înregistrarea de pornire, codul necesar pentru încărcarea ulterioară a sistemului de operare. Este situat în primul sector al dispozitivului.

După pornirea alimentării computerului, procedura POST trece prin testare Hardware, iar după aceasta BIOS-ul încarcă MBR-ul în RAM la adresa 0x7C00 și îi transferă controlul.

Astfel, virusul intră în computer și infectează sistemul. Există multe modificări ale malware-ului.

El lucrează sub Control Windows, la fel ca malware-ul anterior.

Care a suferit deja

ucraineană şi companiile rusești. Iată o parte din întreaga listă:

Multe companii au respins rapid atacul, dar nu toate au reușit să facă acest lucru. Din această cauză, unele servere nu funcționează.

Băncile nu pot efectua un număr de tranzactii monetare. Aeroporturile amână sau întârzie zborurile. Metroul ucrainean nu a acceptat plăți contactless până la ora 15:00.

Cu privire la Echipamente de birou, computere, nu funcționează. În același timp, nu există probleme cu sistemul energetic sau cu alimentarea cu energie. Acest lucru a afectat doar calculatoare de birou(lucrează pentru Platforma Windows). Ni s-a dat comanda să oprim computerele. - Ukrenergo

Operatorii se plâng că și ei au avut de suferit. Dar, în același timp, încearcă să lucreze pentru abonați ca de obicei.

Cum să te protejezi de Petya.A

Pentru a vă proteja împotriva acesteia, trebuie să închideți porturile TCP 1024-1035, 135 și 445 de pe computer. Acest lucru este destul de simplu:

Pasul 1. Deschide firewall-ul.

Pasul 2. În partea stângă a ecranului, accesați „Reguli pentru conexiunile de intrare”.

Pasul 3. Selectați „Creați regulă” -> „Pentru port” -> „ Protocolul TCP" -> "Porturi locale specifice".

Pasul 4. Scriem „1024-1035, 135, 445”, selectăm toate profilurile, facem clic pe „Blocați conexiunea” și „Următorul” peste tot.

Pasul 5. Repetăm ​​pașii pentru conexiunile de ieșire.

Ei bine, în al doilea rând, actualizează-ți antivirusul. Experții raportează că actualizările necesare au apărut deja în bazele de date cu software antivirus.