Ukraina - cyberatak na banki, telekomunikację i metro

Ataków dokonano spoza granic kraju i miały one masowy charakter - donoszą ukraińskie media. W serwisach społecznościowych pisze się o problemach z metrem, bankami, lotniskami, rządowymi firmami i telewizją.

Pierwszy o problemie poinformował Narodowy Bank Ukrainy (NBU), który przekazał, że niektóre banki mają problemy z płatnościami i obsługą klientów.

"Bank Narodowy jest przekonany, że ochrona infrastruktury bankowej przed oszustwami w cyberprzestrzeni zorganizowana jest w należyty sposób, a próby ataków komputerowych na systemy informatyczne banków zostaną zneutralizowane" - oświadczył NBU.

Rosyjski koncern naftowy Rosnieft poinformował, że padł ofiara ataku hakerskiego na dużą skalę, ale wydobycie i przetwarzanie ropy nie zostało wstrzymane dzięki przejściu na system rezerwowy.

"Atak hakerski mógł mieć poważne konsekwencje, ale firma przeszła na rezerwowy system przetwarzania i produkcji; ani wydobycie, ani rafinowanie nie zostały wstrzymane" - podała firma w komunikacie zamieszczonym na Twitterze

Hakerzy, którzy zaatakowali system bankowy Ukrainy, unieruchomili także sieci komputerowe rządu oraz szeregu ważnych instytucji państwowych. Zarażono je najprawdopodobniej wirusem o nazwie Pety.A, z którym walczy już ukraińska cyberpolicja. Cybereksperci twierdzą, że nowa mutacja wirusa nosi nazwę Lokibot.

Atak zorganizowały służby specjalne Rosji - oświadczył doradca szefa MSW i deputowany do ukraińskiego parlamentu Anton Heraszczenko. 

"Przeciwko Ukrainie rozpoczęto ogromny cyberatak, który odbywa się pod przykrywką wirusa. Według wstępnych informacji jest to zorganizowany system, swego rodzaju trening ze strony służb specjalnych Federacji Rosyjskiej" - powiedział w jednej ze stacji telewizyjnych.

O awarii komputerów w siedzibie Rady Ministrów w Kijowie poinformował wicepremier Pawło Rozenko. "(...) Nasza sieć też padła. Taki obrazek pokazują wszystkie komputery w KMU (siedzibie rządu)"

Dostawca energii - Ukrenergo - zaprzecza, pomimo podawanym informacjom, aby ich systemy padły ofiarą ataku hakerów. Ile w tym prawdy? Na przełomie 2015 i 2016 roku niemal połowa domów i mieszkań w obwodzie iwanofrankiwskim na Ukrainie (prawie milion mieszkańców) została pozbawiona energii elektrycznej na kilka godzin. Według ukraińskiej agencji informacyjnej TSN, przyczyną awarii zasilania był ,,atak hakerów" na jednego z lokalnych dostawców energii elektrycznej (firmę Prykarpattyaoblenergo). Eksperci, dzięki zebranym danym, poinformowali, że w tym czasie również inne przedsiębiorstwa energetyczne na Ukrainie zostały zaatakowane przez cyberprzestępców. Analiza wykazała, że hakerzy wykorzystywali do ataku zagrożenie BlackEnergy, które zostało wykorzystane do zainstalowania innego złośliwego programu KillDisk.  
 
Eksperci na podstawie zebranych informacji przedstawili, jak najprawdopodobniej wyglądał scenariusz tych ataków. Najpierw pracownik firmy energetycznej otrzymał email, którego nadawca podszywał się pod przedstawiciela ukraińskiego parlamentu. Do wiadomości dodano załącznik w postaci dokumentu pakietu Office, który po otwarciu informował ofiarę, że do prawidłowego działania wymaga włączenia makr. Postąpienie zgodnie z zaleceniem skutkowało zainfekowaniem komputera zagrożeniem BlackEnergy Lite. Następnie zagrożenie to pobierało kolejne złośliwe oprogramowanie KillDisk. W standardowej wersji zagrożenie to potrafi m.in. usunąć wszystkie dane z dysków twardych zaatakowanych komputerów.

W wersji wykrytej w ukraińskich firmach energetycznych zagrożenie KillDisk zostało wyposażone w zestaw nowych funkcji, m.in. możliwość opóźnienia swojego uruchomienia oraz nieodwracalną zmianę w plikach wykonywalnych specjalistycznych systemów przemysłowych, wykorzystywanych m.in. przez elektrownie. W efekcie w wigilię 2015 roku niemal milion mieszkańców ukraińskiego obwodu iwanofrankiwskiego została pozbawiona na kilka godzin prądu. 

Media donoszą, że zablokowane komputery na Ukrainie wyświetlają informację o konieczności uiszczenia okupu wynoszącego 300 dolarów. Szkodniki działające w taki sposób do ransomware. W tym roku cały świat musiał zmierzyć się z jedną z wersji takiego wirusa. WannaCry zaatakował na całym świecie 12 maja. W trakcie kilku godzin systemy ochrony wykorzystywane w rozwiązaniach firmy wykryły przynajmniej 45 000 prób infekcji w 74 krajach. Szkodliwe oprogramowanie zastosowane w ataku wykorzystywało lukę w systemach Windows, która została opisana i usunięta w biuletynie MS17-010  opublikowanym przez firmę Microsoft. Po zainfekowaniu systemu atakujący wirus instalował szkodliwy moduł (rootkit), który pozwalał na pobieranie oprogramowania ransomware szyfrującego dane ofiary. Po zakończeniu szyfrowania wyświetlany był komunikat o konieczności zapłaty równowartości 600 dolarów amerykańskich w walucie Bitcoin za odszyfrowanie danych.

Jak wspomniano na początku materiału, pojawiły się sygnały, że ransomware rozprzestrzeniający się na Ukrainie to Lokibot, nowy wariant Pety.A.