«МегаФон» подвергся хакерской атаке. МВД и «Мегафон» стали жертвами вирусной атаки Признаки того, что ваш телефон заражён

Дата: 22.07.2021

Директор по связям с общественностью «МегаФона» Петр Лидов сообщил «Ъ», что столичный офис компании подвергся хакерской атаке. «Компьютеры вышли из строя - на них появился экран блокировки, где просили $300 за разблокировку»,- рассказал он. Потом пришла информация, что то же самое произошло у абонентов операторов Telefonica и Vodafone в Испании.

По словам Петра Лидова, специалистам пришлось отключить сети на каком-то этапе, чтобы вирус не распространялся дальше. «Ряд регионов задело, остальные превентивно пришлось временно отключить. Это коснулось ритейла и службы поддержки абонентов, потому что операторы, естественно, пользуются ПК для доступа в базы. Колл-центры починили. На связь и личные кабинеты это не повлияло»,- сообщил господин Лидов.

Как рассказал «Ъ» исследователь из Digital Security Борис Рютин, эксперты MalwareHunterTeam и другие независимые исследователи сходятся во мнении, что это вредоносная программа типа ransomware, то есть вирус-вымогатель. «Опасность заражения в том, что в зависимости от реализации, файлы пользователя могут быть безвозвратно утеряны»,- уточнил он.

«Мы видим атаку, и вирус очень сложный,- сообщили «Ъ» в компании Solar Security.- В данный момент мы разрабатываем рекомендации по мерам противодействия». «Вирус очень сложный, и пока нельзя исключать, что он представляет собой нечто более опасное, чем простой шифровальщик. Уже очевидно, что скорость его распространения беспрецедентно высокая»,- добавили в компании.

Представитель Microsoft Кристина Давыдова рассказала «Ъ», что специалисты добавили обнаружение и защиту от новой вредоносной программы, известной как Ransom:Win32.WannaCrypt. «В марте мы также представили дополнительную защиту от вредоносного ПО подобного характера вместе с обновлением безопасности, которое предотвращает распространение вредоносного ПО по сети»,- сообщила она.

Пользователи из Москвы, Нижнего Новгорода, Пензы, Саратова, Самары, Рязани, Уфы и других российских городов заявили о невозможности совершить звонок — сеть оказалась недоступна.

Сначала в официальном твиттере компании появился совет установить тип сети «только 3G» и перезагрузить телефон, а теперь всем пострадавшим клиентам отправляется стандартный ответ: «На текущий момент наблюдаются массовые сложности со связью. Уже исправляем. Приносим извинения за доставленные неудобства». Компания добавила, что не располагает данными о конкретных сроках исправления проблемы.

Неуспешный дозвон

«Мегафон» заявил, что успешность дозвона в Москве и нескольких других городах снизилась на 30%, отметив, что звонки по-прежнему возможны с помощью мессенджеров. К сожалению, это не удовлетворило многих клиентов компании, которые не могут воспользоваться мессенджерами без доступа к Wi-Fi.

Как сообщает пресс-служба «Мегафона» в своем Telegram-канале, причиной сбоя стала авария на одном из элементов сетевого оборудования.

Кроме того, в одном из офисов компании также рассказали, что у них произошла авария, но сроки устранения последствий пока неизвестны. Желающим получить компенсацию сотрудники предлагают писать заявление в офисе компании. На вопрос о причинах сбоя сообщается, что не исключена хакерская атака.

Спустя некоторое время после сообщений о сбоях «Мегафона» в СМИ появилась информация о том, что с проблемами со связью столкнулись и другие мобильные операторы, например «Билайн». В разговоре с «Газетой.Ru» пресс-секретарь компании заявила, что сеть работает в штатном режиме без массовых сбоев, а распространение ложного сообщения о проблемах с сетью оператора связано с ответом сотрудника техподдержки о работе одной базовой станции компании.

О стабильной работе «Газету.Ru» проинформировал и пресс-секретарь : «Сеть МТС работает в штатном режиме».

В телефонном разговоре с корреспондентом Лидов сообщил, что в день атаки многие офисные компьютеры «Мегафона» начали перезагружаться и выдавать сообщение о требовании выкупа за расшифровку данных, причем пострадала не только Москва, но и другие города России.

К счастью, распространение атаки удалось замедлить, и буквально спустя пару часов была восстановлена работа всего колл-центра «Мегафона», чтобы абоненты могли общаться со службой поддержки. Представитель компании подчеркнул, что вирус WannaCry никак не отразился на услугах связи, а личные данные клиентов оператора остались в безопасности.

В январе 2017 года пользователи «Мегафона» также жаловались на недоступность некоторых сервисов — «Мультифона», «МегафонТВ», а также неполадки в работе сайта. В компании сбой объяснили аварией в центре обработки данных (ЦОД), вызванной аномальными морозами в регионе.

Спустя некоторое время сервисы заработали в нормальном режиме. Тогда представитель мобильного оператора рассказала «Газете.Ru», что порядок в системе измеряется не наличием сбоев, а умением их оперативно устранять. «Это и было сделано специалистами компании в кратчайшие сроки. Причем в ночное время в праздничный день», — добавила Дорохина.

Внезапно на экране компьютера, работающего под Windows, появляется окно с информацией о том, что пользовательские файлы зашифрованы, и расшифровать их удастся, только заплатив хакерам выкуп в размере 300 долл. Сделать это нужно в течение трех дней, иначе цена вырастет вдвое, а через неделю данные будут удалены безвозвратно. Вернее, физически-то они останутся на диске, но расшифровать их будет невозможно. Для демонстрации того, что данные действительно можно расшифровать, предлагается воспользоваться «бесплатной демо-версией».

Пример сообщения о взломе компьютера

Что такое шифрование

Зашифровать можно любые данные на компьютере. Поскольку все они являются файлами, то есть последовательностями нулей и единиц, то можно записать эти же нули и единицы в другой последовательности. Скажем, если условиться, что вместо каждой последовательности «11001100» мы будем писать «00001111», то потом, увидев в зашифрованном файле «00001111», мы будем знать, что на самом деле это - «11001100», и сможем легко расшифровать данные. Информация о том, что на что меняется, называется ключом шифра, и, увы, ключ в данном случае есть только у хакеров. Он индивидуален для каждой жертвы и высылается только после оплаты «услуг».

Можно ли поймать хакеров

В данном случае выкуп требуется оплатить при помощи биткоинов - электронной криптовалюты. Суть использования биткоинов, если вкратце, заключается в том, что данные о платежах передаются по цепочке серверов таким образом, что каждый промежуточный сервер не знает, кто является изначальным отправителем и получателем платежа. Поэтому, во-первых, конечный «бенифициар» всегда полностью анонимен, а во-вторых, передачу денег нельзя оспорить или отменить, то есть хакер, получая выкуп, не рискует ничем. Возможность быстро и безнаказанно получать большие суммы денег хорошо мотивирует хакеров на поиск новых способов взлома.

Как защититься от взлома

Вообще программы-вымогатели существуют уже лет десять - как правило, прежде это были «троянские кони». То есть программу-шифровальщик устанавливал по собственной глупости сам пользователь, например под видом «кряка» для взлома дорогого офисного пакета или набора новых уровней для популярной игры, скачанных непонятно откуда. От таких троянов защищает элементарная компьютерная гигиена.

Однако сейчас речь идет о вирусной атаке (вирус Wanna Decrypt0r 2.0), использующей уязвимости операционных систем Windows и протоколов передачи файлов по сети (SMB), из-за чего зараженными оказываются все компьютеры в рамках локальной сети. Антивирусы молчат, их разработчики пока не знают, что делать, и лишь изучают ситуацию. Так что единственный способ защиты - это регулярное создание резервных копий важных файлов и хранение их на внешних жестких дисках, отключенных от Сети. А еще можно пользоваться менее уязвимыми операционными системами - Linux или Mac OS.

«Сегодня наши специалисты добавили обновление - обнаружение и защиту от новой вредоносной программы, известной как Ransom: Win32.WannaCrypt. В марте мы также добавили обновление безопасности, которое обеспечивает дополнительную защиту от потенциальной атаки. Пользователи нашего бесплатного антивируса и обновленной версии Windows защищены. Мы работаем с пользователями, чтобы предоставить дополнительную помощь».
Кристина Давыдова
пресс-секретарь Microsoft Russia

Как спасти файлы

Если файлы уже зашифрованы, а резервной копии нет, то, увы, придется платить. При этом нет гарантии, что хакеры не зашифруют их снова.

К каким-то глобальным катаклизмам взломы не приведут: без локальных бухгалтерских актов или отчетов, конечно, тяжело, но электрички ездят, и сеть «МегаФона» работает без сбоев - критически важные данные никто не доверяет обычным офисным ПК на базе Windows, а серверы либо имеют многоступенчатую защиту от взлома (вплоть до аппаратной на уровне маршрутизаторов), либо вообще полностью изолированы от Интернета и локальных сетей, к которым подключены компьютеры сотрудников. Кстати, именно на случай кибератак важные данные госструктур хранятся на серверах, работающих на специальных криптографических стойких сборках Linux, имеющих соответствующую сертификацию, а у МВД эти серверы работают еще и на российских процессорах «Эльбрус», под архитектуру которых у злоумышленников точно нет скомпилированного кода вируса.

Что будет дальше

Чем больше людей пострадают от вируса, тем, как ни парадоксально, будет лучше: это станет хорошим уроком кибербезопасности и напоминаем о необходимости постоянного резервного копирования данных. Ведь они могут быть не только уничтожены хакерами (еще 1000 и 1 способом), но и потеряны при физической утрате носителя, на котором они хранились, и тогда винить останется только себя. Вы и рады будете заплатить и 300, и 600 долл. за труды всей своей жизни, да будет некому!

Помимо телекоммуникационных компаний, жертвами атак хакеров, по словам источников РБК, а также «Газеты.Ru» и «Медиазоны», стали силовые ведомства России — МВД и Следственный комитет.

Собеседник РБК в МВД рассказал об атаке на внутренние сети ведомства. По его словам, атаке подверглись в основном региональные управления министерства. Он уточнил, что вирус поразил компьютеры как минимум в трех областях европейской части России. Источник добавил, что на работе МВД эта атака не должна отразиться. Другой собеседник РБК в министерстве рассказал, что хакеры могли получить доступ к базам МВД, но неизвестно, успели ли они скачать оттуда информацию. Атака на МВД затронула только те компьютеры, на которых давно не обновлялась операционная система, рассказал собеседник в ведомстве. Работа министерства не парализована хакерами, но сильно затруднена.

В Германии хакеры сервисы компании Deutsche Bahn, которая является основным железнодорожным оператором страны. Об этом сообщил телеканал ZDF со ссылкой на МВД страны.

Министерство национальной безопасности США партнерам техническую поддержку и помощь в борьбе с «программой-вымогателем» WannaCry.

Что за вирус?

Согласно сообщению «Лаборатории Касперского» , вирус, о котором идет речь, — программа-шифровальщик WannaCry. «Как показал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010. Затем на зараженную систему устанавливался руткит, используя который, злоумышленники запускали программу-шифровальщик», — рассказали в компании.

«Все решения «Лаборатории Касперского» детектируют данный руткит как MEM: Trojan.Win64.EquationDrug.gen. Также наши решения детектируют программы-шифровальщики, которые использовались в этой атаке, следующими вердиктами: Trojan-Ransom.Win32.Scatter.uf, Trojan-Ransom.Win32.Fury.fr, PDM: Trojan.Win32.Generic (для детектирования данного зловреда компонент System Watcher должен быть включен)», — отметили в компании.

Для снижения рисков заражения специалисты «Лаборатории Касперского» советуют пользователям установить официальный патч от Microsoft, который закрывает используемую в атаке уязвимость, а для предупреждения подобных инцидентов использовать сервисы информирования об угрозах, чтобы своевременно получать данные о наиболее опасных атаках и возможных заражениях.

Хакерскую атаку прокомментировали и в Microsoft . «Сегодня наши специалисты добавили обнаружение и защиту от новой вредоносной программы, известной как Ransom: Win32.WannaCrypt. В марте мы также представили дополнительную защиту от вредоносного ПО подобного характера вместе с обновлением безопасности, которое предотвращает распространение вредоносного ПО по сети. Пользователи нашего бесплатного антивируса и обновленной версии Windows защищены. Мы работаем с пользователями, чтобы предоставить дополнительную помощь», — говорится в заявлении представителя Microsoft в России, поступившем в РБК.

Представитель Solar Security заявил РБК, что компания видит атаку и в настоящий момент исследует образец вируса. «Сейчас мы не готовы делиться деталями, но зловред явно написан профессионалами. Пока нельзя исключать, что он представляет собой нечто более опасное, чем шифровальщик. Уже очевидно, что скорость его распространения беспрецедентно высокая», — сказал собеседник. По его словам, ущерб от вируса «огромен», он задел крупные организации в 40 странах мира, но точную оценку пока дать невозможно, поскольку возможности зловреда еще не до конца изучены и атака сейчас находится в развитии.

Генеральный директор Group-IB Илья Сачков рассказал РБК, что программы-шифровальщики, аналогичные той, что использовалась при нынешней атаке, — это нарастающий тренд. В 2016 году количество таких атак увеличилось более чем в сто раз по сравнению с предыдущим годом, уточнил он.

Сачков отметил, что, как правило, заражение устройства в таком случае происходит через электронную почту. Говоря о WannaCry, эксперт отметил, что у этой программы-шифровальщика есть две особенности. «Во-первых, она использует эксплоит ETERNALBLUE, который был выложен в открытый доступ хакерами Shadow Brokers. Патч, закрывающий эту уязвимость, для ОС Windows Vista и старше, стал доступен 9 марта в составе бюллетеня MS17-010. При этом патча для старых ОС вроде Windows XP и Windows server 2003 не будет, так как они выведены из-под поддержки», — рассказал он.

«Во-вторых, помимо шифрования файлов она осуществляет сканирование интернета на предмет уязвимых хостов. То есть, если зараженный компьютер попал в какую-то другую сеть, вредоносное ПО распространится и в ней тоже, — отсюда и лавинообразный характер заражений», — добавил Сачков.

Защиту от подобных атак, по словам Сачкова, можно обеспечить, используя решения класса «песочница», которые устанавливаются в сеть организации и проверяют все файлы, приходящие на почту сотрудникам или скачиваемые ими из интернета. Кроме того, напомнил эксперт, важно проводить с сотрудниками разъяснительные беседы об основах «цифровой гигиены» — не устанавливать программы из непроверенных источников, не вставлять в компьютер неизвестные флэшки и не переходить по сомнительным ссылкам, а также вовремя обновлять ПО и не использовать ОС, которые не поддерживаются производителем.

Кто виноват

Кто стоит за масштабной кибератакой, пока не ясно. Экс-сотрудник АНБ Эдвард Сноуден , что при глобальной хакерской атаке, случившейся 12 мая, мог быть использован вирус, разработанный АНБ. О такой возможности ранее заявил WikiLeaks.

В свою очередь власти Румынии , что за попыткой атаки может стоять организация, «связанная с группировкой киберпреступности APT28/Fancy Bear», которую традиционно причисляют к «русским хакерам».

The Telegraph предполагает , что за атакой может стоять группировка Shadow Brokers, связанная с Россией. Они связывают это с заявлениями хакеров, прозвучавшими в апреле, что они якобы украли «кибероружие» разведывательного сообщества США, что дает им доступ ко всем компьютерам с ОС Windows.

Вредоносное программное обеспечение — наименование для всех программных продуктов, целью которых заведомо является нанесение ущерба конечному пользователю.

Злоумышленники придумывают все новые хитрые способы распространения вредоносных программ, большинство из которых разработаны под операционную систему Android. При этом вирус можно «подцепить» не только на каком-нибудь сомнительном сайте, но и получив сообщение со ссылкой от известного вам человека (друга, родственника, коллеги).

Одна из модификаций вредоносного ПО для смартфонов и планшетов на базе операционной системе Android, попав в ваше мобильное устройство, первым делом разошлёт ссылку с дружелюбным сообщением «Зацени ссылку!» или «Моё фото для тебя» по всему списку контактов. Каждый, кто перейдет по ссылке, получит вирус уже на свой смартфон.

Но чаще всего преступники выдают троянов за полезные приложения.

Чем грозит вирус?

Полученная троянская программа может не только рассылать SMS вашим друзьям, но и опустошить ваш счёт. Банковские троянцы - одни из самых опасных. Пострадать могут все владельцы гаджетов, использующие банковские приложения. Больше всего рискуют пользователи Android-смартфонов - 98% мобильных банковских троянов созданы для этой операционной системы.

При запуске банковского приложения троян выводит собственный интерфейс поверх интерфейса настоящего мобильного банка. И таким образом ворует все данные, которые вводит пользователь. Наиболее продвинутые зловреды умеют подделывать интерфейсы десятков различных мобильных банков, платёжных систем и даже систем обмена сообщениями.

Другой важный этап при краже денег - это перехват SMS с одноразовыми паролями для осуществления платежей и переводов. Поэтому троянам обычно нужны права доступа к SMS, и именно поэтому стоит быть особенно осторожными с приложениями, которые такие права запрашивают.

Признаки того, что ваш телефон заражён

Есть несколько признаков того, что ваш телефон заражён вредоносным программным обеспечением:

Скрытая отправка SMS по списку контактов — к вам начинают обращаться друзья, знакомые и коллеги, получившие сомнительные сообщения;
Быстрое расходование денежных средств — средства с Лицевого счёта списываются быстрее, чем обычно;
Несанкционированные списания с банковской карты;
Отсутствие SMS из банка – при подключённой услуге «SMS-информирование» вы перестали получать SMS-уведомления о списании средств со счёта;
Быстрее разряжается аккумулятор.

Как защитить себя?

Регулярно следите за выпуском обновлений безопасности операционной системы вашего мобильного устройства и своевременно их устанавливайте;
Установите антивирусное ПО на свой смартфон, планшет, после установки обновите его и проверьте мобильное устройство;
Используйте антивирусное ПО, осуществляющее защиту в режиме on-line, и регулярно обновляйте его;
Скачивайте и запускайте приложения только из официальных магазинов - Play Store, App Store, Google Play и так далее;
Будьте внимательны при выдаче прав приложениям - особенно подозрительного отношения заслуживают программы, которые просят права доступа на обработку SMS-сообщений;
Думайте перед тем, как переходить по ссылке. Не теряйте бдительность, не открывайте ссылки из писем или SMS, или сообщений в социальных сетях, если не уверены в том, что послание пришло от известного вам адресата и безопасно;
Если вам пришло подозрительное SMS со ссылкой от вашего друга, позвоните ему, чтобы уточнить, отправлял ли он сообщение. Если нет, предупредите, что его смартфон или планшет заражён вирусом;
Будьте осторожны в общедоступных сетях Wi-Fi, и при соединении с сетью удостоверьтесь, что она легитимна;
Используйте сложные пароли;
В меню «Настройки» нажмите «Data Usage» (Использованием данных), в разделе «Wireless & Networks» (Беспроводная связь) можно увидеть, как много данных каждое приложение использует, и установить лимит на работу с данными;
Подключите «SMS-информирование» о списании средств со счёта - не все трояны перехватывают SMS.

Что делать, если украли деньги?

Первое, что нужно сделать - как можно быстрее обратиться в банк.