Петя а вирус медок

27-го июня, 2017 года новая кибератака поразила множество компьютерных систем в Украине и других странах. Атака была вызвана зловредом, который ESET определял как Diskcoder.C (aka ExPetr, PetrWrap, Petya, или NotPetya).

Эта атака маскировалась под эпидемию обычного шифровальщика — который шифровал данные на диске и требовал 300$ в биткоинах для восстановления данных. Но на самом деле, план был в нанесении ущерба, поэтому автора сделали все что могли, чтобы усложнить расшифровку данных.

В нашем блоге, мы уже отнесли эту атаку к группе TeleBots и раскрыли детали другой похожей цепочки атак против Украины. Эта статья раскрывает детали про первичный вектор распространения, который был использован для DiskCoder.C.

Итак, рассказ о поддельном обновлении.

На своей страничке в фейсбук, Департамент киберполиции в Украине, сообщил, что на начальной фазе распространения зловреда DiskCoder.C, было использовано популярное программное обеспечение бухгалтерского учета M.E.Doc — практически монополист на Украине в области передачи отчетности в фискальные службы. Но до сих пор нет никаких деталей как именно это было проделано.

Во время нашего исследования, мы обнаружили весьма хитро скрытый бэкдор, который был внедрен в один из официальных модулей M.E.Doc. Техническое исполнение выглядит так, что без доступа к исходным кодам M.E.Doc это было бы сделать весьма затруднительно.

Мы изучили все обновления M.E.Doc, которые были выпущены в 2017 году, и обнаружили как минимум три обновления, содержащих зараженный модуль:

01.175-10.01.176, от 14 апреля 2017
01.180-10.01.181, от 15 мая 2017
01.188-10.01.189, от 22 июня 2017

Распространение Win32/Filecoder.AESNI.C началось через три дня после обновления 10.01.180-10.01.181, а распространение DiskCoder.C началось через 5 дней после обновления 10.01.188-10.01.189.

Что интересно, так это то, что четыре обновления с 24 апреля 2017 по 10 мая 2017 года, и семь обновлений с 17 мая по 21 июня, НЕ содержали троянский модуль.

В обновлениях с 15 мая по 17 мая, троянский модуль есть, но после 17 мая их нет, и это вероятно одна из причин, по которой распространение первого зловреда, а именно Win32/Filecoder.AESNI.C было не таким масштабным.

Метаданные файла показывают, что библиотека была скомпилирована скорее всего прямо в день обновления, или возможно на день раньше, в зависимости от часового пояса.

Timestamp показывает, что троянский модуль был создан 15 мая.

Тут мы видим разницу в классах между зараженным и нормальным модулем (мы использовали .NET декомпилятор the ILSpy). Классы зараженного модуля слева.

Каждая зарегистрированная организация в Украине имеет уникальный код ЕДРПОУ. И это очень важно, так как используя бэкдор для указанного ЕДРПОУ, можно проводить целенаправленную атаку против конкретной компании или организации. Работая изнутри, с компьютера где установлен троянский модуль, можно использовать различную тактику, в зависимости от намерений атакующих.

С тех пор, как M.E.Doc получил большую популярность, его можно найти на компьютере практически каждого бухгалтера. Один M.E.Doc может обслуживать сразу несколько организаций, и однажды установленный троян будет знать о всех ЕДРПОУ на этой машине для отправки их злоумышленникам.

Кроме ЕДРПОУ, троян также собирает настройки прокси, почты, включая логины и пароли зараженного приложения M.E.Doc.

Внимание! Рекомендуется сменить пароли для всех прокси и почтовых пользователей, которые пользовались M.E.Doc!!

Также вредоносный код записывает собранную информацию в реестре Windows по адресу HKEY_CURRENT_USER\SOFTWARE\WC, используя имена ключей Cred и Prx. Если на вашем компьютере вы найдете подобную информацию реестре, значит на вашем компьютере как минимум однажды троянский код уже выполнялся, и возможно ваши данные (включая пароли) уже есть у злоумышленников.

И наконец наиболее хитрая часть. Троянский модуль не использовал никаких внешних управляющих серверов или центров. Он пользовался стандартными обновлениями приложения от M.E.Doc с официального сервера upd.me-doc.com[.]ua. Единственное отличие от легальных запросов в том, что троянский код отправлял собранную информацию назад на сервер через cookies.

Мы не проводили судебный анализ M.E.Doc сервера. Мы уже писали в нашем блоге, что есть признаки того, что сервер обновлений был скомпроментирован. Поэтому мы можем только подозревать, что атакующие смогли подпатчить сервер обновлений, чтобы различать запросы от зараженных и не зараженных машин и пользоваться этим.

И конечно, атакующий должен был добавить способ контроля зараженной машины. Этот код получал бинарные данные с официального сервера обновления M.E.Doc, расшифровывал их алгоритмом Triple Des, распаковывал из GZip, в результате получался XML файл с набором инструкций. Таким образом, этот троян превращался в полномасштабную платформу для кибершпионажа и киберсаботажа.

Таблица возможных команд:

0 – RunCmd Выполнить shell команду (то есть любую команду на удаленном компьютере)
1 – DumpData декодировать Base64 данные и сохранить их в файл (так можно прислать на компьютер любой другой файл, включая исполняемый файл с дополнительным функционалом)
2 – MinInfo Собрать информацию о компьютере — версия ОС, разрядность, текущие привилегии, настройки UAC, настройки прокси и почты (включая логины и пароли)
3 – GetFile Получить файл с зараженного компьютера
4 – Payload Декодировать Base64 данные, сохранить их в исполняемый файл и запустить его.
5 – AutoPayload тоже, что и предыдущее, но файл должен быть сохранен в виде библиотеки и предполагался выполняться через rundll32.exe. Вдобавок он должен попытаться перезаписать конкретную DLL.

Как показывает наш анализ, это была очень тщательно спланированная и хорошо выполненная операция. Мы предполагаем, что атакующие имели доступ к исходным кодам M.E.Doc. Что у них было достаточно времени чтобы изучить его код и внедрить скрытую уязвимость. Полный размер установочного пакета M.E.Doc — около 1.5 гигабайта, и нет никакой возможности оперативно проверить его на другие закладки и уязвимости.

Все еще остаются вопросы. Как долго этот троян использовался? Какие другие команды, кроме отправки зловредов DiskCoder.C и Win32/Filecoder.AESNI.C были запущены через этот канал? Какие другие атаки могли пройти задолго до текущей ситуации, но остались незамеченными? Сколько коммерческих и приватных данных могли утащить злоумышленники, и сейчас эти данные все еще могут быть использованы.

Отдельная благодарность моим коллегам Frédéric Vachon и Thomas Dupuy за их помощь в расследовании.

Indicators of Compromise (IoC)
ESET detection names:
MSIL/TeleDoor.A
Legitimate servers abused by malware authors:
upd.me-doc.com[.]ua
SHA-1 hashes:

7B051E7E7A82F07873FA360958ACC6492E4385DD
7F3B1C56C180369AE7891483675BEC61F3182F27
3567434E2E49358E8210674641A20B147E0BD23C

P.S.
От переводчика:

Данная ситуация показывает, как плохо государство осознает опасность киберпреступлений, насколько плохо то, что методы борьбы с киберпреступниками не обсуждаются со специалистами, и в результате принимаются совершенно бесполезные, неэффективные и даже вредные решения в виде блокировок и запретов.

В стране сотни крупных и десятки крупнейших ИТ компаний, которые пишут отличное ПО мирового уровня. И эти компании неоднократно предлагали государству услуги по созданию государственных ИТ сервисов, со всеми аттрибутами — адекватным тендером и привлечением специалистов с экспертизой.

Даже учитывая вопрос коррупции, тендер может быть организован таким образом, чтобы для исполнения были выбраны несколько крупных компаний, чьи имена уже имеют репутацию. Кто-то как автор, кто-то как независимый аудитор.

Принцип работы Petya

Представляя собой модификацию вируса-шифровальщика WannaCry, от которого в мае пострадало более 200 тысяч пользователей, вирус-вымогатель Petya по версии Forbes, оказался гораздо мощнее хакерского инструмента предыдущей атаки. Обладая способностью извлекать пароли из памяти или локальной файловой системы, Petya с легкостью распространяется на другие системы и в отличие от WannaCry, который внедрялся в более старые версии операционных систем семейства Microsoft, пробивает защиту ОС Windows 10. При этом схема действия Petya не нова: вирус шифрует данные, а для их расшифровки запрашивает 300 долларов в биткоин эквиваленте.

Вот только расшифровка на самом деле не происходит. Именно по этой причине Petya успел приобрести известность псевдовируса-вымогателя, цель которого – портить системы пользователей, мешать инфраструктуре и уничтожать данные.

Во всем виноват M.E.Doc

Источник распространения вымогателя Petya найден. Им стала скомпрометированная бухгалтерская программа M.E.Doc, в обновление которой был добавлен вирус. После запуска такого обновления, вирус распространился на огромное количество компьютеров по всей Украине, затронув компании в странах Европы, Азии и США.

В ходе обновления M.E.Doc запускается цепочка нетиповых запросов, что способствует распространению вируса. Диаграмма ниже иллюстрирует картину происходящего:

Запуск нетиповых запросов при обновлении M.E.Doc

Помимо рассмотренного варианта заражения, Petya проникает в корпоративные сети путем распространения фишинговых писем, содержащих вредоносную ссылку. Перейдя по указанному адресу происходит блокировка компьютера пользователя.

Как бороться с вирусом

Согласно мнению экспертов в области безопасности, для защиты от вируса необходимо полностью обновить ОС и антивирусное ПО, а также не забывать про выполнение регулярного резервного копирования.

Чтобы минимизировать распространение вируса и заражения систем, компания Microsoft выпустила обновления, автоматически распространяемые на бесплатные антивирусные продукты Windows Defender и Microsoft Security Essentials. Кроме того, последнюю версию обновлений можно загрузить вручную, посетив Malware Protection Center. При этом Windows Defender ATP автоматически определяет поведение, вызываемое вирусом-вымогателем и не требует установки каких-либо обновлений.

Помимо озвученного, выполнение нижеописанного ряда действий, позволит минимизировать потенциальные риски заражения:

Используйте функциюAppLocker с помощью которой запретите исполнение файла с названием perfc.dat и заблокируйте запуск утилиты PSExec из пакета Sysinternals.
Отключите протоколSMBv1, используя статью из базы знаний Microsoft Knowledge Base Article 2696547.
Заблокируйте на сетевом оборудовании или в настройках брадмауэра порты 137, 138, 139 и 445, которые Petya использует для распространения в локальных сетях.
Не загружайте подозрительные файлы из электронных писем, а в случае нарушения работы системы, выполните немедленное отключение компьютера от сети.
Выполняйте своевременную установку апдейтов ОС и патчей систем безопасности.
Настройте почтовые фильтры для отсеивания зашифрованных архивов.
Проводите регулярные тренинги по информационной безопасности сотрудникам компании.

Не забывайте о профилактических мерах безопасности и установленных security-политиках. Соблюдение таких элементарных правил позволит уберечься не только от вируса Petya, но и других программ-вымогателей.

Вирус Petya, ставший причиной выхода из строя компьютеров десятков компаний по всему миру, может быть разработкой враждебного государства, а не криминальной группы. К такому выводу пришли эксперты информационной безопасности и сотрудники западных разведывательных служб.

Многие из них на фоне появившихся за прошедшую неделю свидетельств указывают на одно государство – Россию. Тактика, технология и процедура (это киберисследователи называют/сокращают до TTPs) разработчиков Petya похожа на игровую схему/игровой сценарий Кремля.

Вирус-шифровальщик едва окупается

По всей видимости, воздействие кибератаки (Petya повредил системы организаций более чем в 60 странах, от датского судоходного перевозчика Maersk до американской фармацевтической компании Merck) вызывает тревогу у агентств информационной безопасности Европы и США.

Многие опасаются, что это приведет к новой и опасной гонке кибервооружений. Эта атака подчеркивает, насколько враждебные государства, пользуясь своими возможностями, готовятся переступить границы дозволенного несмотря на возможные побочные последствия. К возможностям относятся умение озадачивать и отвлекать внимание, используя традиционные методы работы разведки, в то же время прибегая к технически более оснащенным преступным и криминальным сообществам.

Главный подозреваемый - Россия

Уотерс сообщил, что к такому заключению они пришли, основываясь на различных свидетельствах: технических данных сетевого оборудования, данных сетей, непосредственно запускающих кибератаку Petya, объектах, подвергшихся атаке вируса, на сложности кода и выбранной тактике заражения вирусом в целом.

Как защититься от вируса-шифровальщика

Европейские сотрудники разведки приходят к такому же выводу. В четверг вечером Британский национальный центр кибербезопасности, подразделение GCHQ (Правительственная спецслужба Великобритании), сообщил, что целью кибератаки была дестабилизация, а не вымогательство.

Больше чем вирус

С самого начала было понятно, что вирус Petya - это больше, чем просто вирус-вымогатель. И в отличие от других вымогателей, Petya не только зашифровывает жесткий диск, но и стирает загрузочную запись компьютера. Восстановить удаленную информацию практически невозможно.

Расшифровка системы за денежный выкуп достаточно посредственный/заурядный способ. Поэтому хакеры воспользовались более незаурядным – потребовали прислать деньги на единый электронный адрес, который был заблокирован провайдерами вскоре после начала кибератаки.

И если технология выкупа выглядит как разработка хакеров-любителей, то сама вредоносная программа отнюдь не выглядела дилетантской.

Вирус-вымогатель начал распространяться с Украины

Petya распространялся, скрываясь внутри лицензионного программного обеспечения M.E. Doc. украинской компании, которая занимается бухгалтерским учетом. Обновление отправлялось клиентам автоматически, что помогло избежать брандмауэров. Такой метод распространения вирусов никогда раньше не использовался криминальными сообществами. Для этого необходимо было тщательное планирование взлома программы M.E. Doc.

Если окажется, что вирус Petya – российская разработка, это будет способствовать значительному обострению мирового киберконфликта.

Стремительное распространение вируса Petya и его негативные последствия позволяют предположить, что организаторов атаки не пугает ни критика пострадавших стран, ни возможность введения санкций.

Перевела Елизавета Дикарева

Наши проекты

Контакты

Любое использование материалов допускается только при соблюдении правил перепечатки и при наличии гиперссылки на vedomosti.ru

Новости, аналитика, прогнозы и другие материалы, представленные на данном сайте, не являются офертой или рекомендацией к покупке или продаже каких-либо активов.

Сайт использует IP адреса, cookie и данные геолокации Пользователей сайта, условия использования содержатся в Политике по защите персональных данных

Специальные агенты департамента киберполиции совместно с сотрудниками Службы безопасности Украины и киевской городской прокуратуры прекратили второй этап кибератаки вируса Petya во вторник, 4 июля, сообщил министр внутренних дел Украины Арсен Аваков

"Пик атаки планировался на 16:00. Стартовала атака в 13:40. До 15:00 киберполиция заблокировала рассылку и активацию вируса с серверов информационной системы М.Е.Doc (программное обеспечение для отчетности и документооборота)", — написал он в Facebook.

Благодаря своевременным действиям правоохранителей, атака была остановлена, сервера компании-разработчика программного обеспечения М.Е.Doc "Интеллект-сервис" изъяты "вместе со следами воздействия киберпреступников с очевидными источниками из Российской Федерации".

В офисе "Интеллект-сервис" вчера провели обыски и изъяли программное и аппаратное обеспечение, с помощью которого распространялось вредоносное ПО.

Как сообщил Аваков, обыск и изъятие проводилось с целью немедленного прекращения бесконтрольного распространения Diskcoder.C. Объектами осмотра являются рабочие компьютеры персонала и серверное оборудование, через которое распространялось программное обеспечение.

Кроме этого, правоохранители указывают на бездействие должностных лиц ООО "Интеллект-Сервис", которые, несмотря на неоднократные предупреждения антивирусных компаний и департамента киберполиции, вводили в заблуждение своих пользователей, уверяя их в безопасности M.E.Doc.

Департамент киберполиции настоятельно рекомендует всем пользователям сменить пароли и электронные цифровые подписи, в связи с тем, что эти данные могли быть скомпрометированы.

27 июня 2017 в 10:30 украинские государственные структуры и частные компании из уязвимости ПО M.E.doc. массово попали под удар вируса-шифровальщика (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya).

Как сообщил Арсен Аваков, для локализации масштабной киберугрозы, Нацполицией и СБУ был создан оперативно-технический штаб, в который вошли представители самых известных украинских и иностранных компаний по кибербезопасности.

Экспертами было установлено, что поражение информационных систем украинских компаний произошло через обновление программного обеспечения, предназначенного для отчетности и документооборота M.E.Doc.

Злоумышленники осуществили несанкционированное вмешательство в работу одного из персональных компьютеров компании-разработчика указанного программного обеспечения — ООО "Интеллект-Сервис".

Это подтверждено правоохранительными органами иностранных государств и международными компаниями, осуществляющими деятельность в сфере информационной безопасности.

Получив доступ к исходным кодам, они в одно из обновлений программы встроили бэкдор (backdoor) — программу, которая устанавливала на компьютерах пользователей M.E.Doc несанкционированный удаленный доступ. Такое обновление программного обеспечения, вероятно, произошло еще 15 мая 2017 года.

Представители компании-разработчика M.E.Doc были проинформированы о наличии уязвимостей в их системах антивирусными компаниями, но это было проигнорировано, отметил Аваков.

Компания-производитель отрицает проблемы с безопасностью и назвала это "совпадением".

Вместе с тем установлено, что обнаруженный бэкдор по функционалу имеет возможность собирать коды ЕГРПОУ пораженных компаний и отправлять их на удаленный сервер, загружать файлы, собирать информацию об операционной системе и идентификационные данные пользователей.

Также на данный момент известно, что после срабатывания бэкдора, хакерская программа компрометировала учетные записи пользователей, с целью получения полного доступа к сети. Далее получали доступ к сетевому оборудованию с целью выведения его из строя. С помощью IP KVM осуществляли загрузки собственной операционной системы на базе TINY Linux.

Злоумышленники с целью сокрытия удачной кибероперации по массовому поражению компьютеров и несанкционированному сбору с них информации тем же самым способом через последние обновления ПО M.E.Doc распространили модифицированный ransomware Petya.

Удаление и шифрование файлов операционных систем было совершено с целью удаления следов предварительной преступной деятельности (бэкдора) и отвлечения внимания путем имитации вымогательства денежных средств от пострадавших.

"Следствием прорабатывается версия, что настоящими целями были стратегически важные для государства компании, атаки на которые могли дестабилизировать ситуацию в стране", — сообщил министр внутренних дел.

Анализ обстоятельств заражения позволяет предположить, что лица, которые организовали нападения с использованием WannaCry могут быть причастны к вирусной атаки на украинские государственные структуры и частные компании 27 июня, поскольку способы распространения и общее действие подобные вирусу-шифровальщику (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya).

Вирус Petya – уже третья по счету кибератака в Украине за последние два года. И если не изменить подход к информационной безопасности на уровне государства, может стать не последней

Украина до сих пор полностью не оправилась от масштабной хакерской атаки, которая началась во вторник, 27 июня, накануне Дня Конституции. Из-за вируса под названием Petya работа десятков украинских банков, медиаресурсов, сайтов государственных органов и многих негосударственных предприятий оказалась замороженной.

Некоторые предприятия устраняют последствия "заражения" до сих пор. К примеру, отделения "Ощадбанка" только сегодня заработали в обычном режиме после кибератаки. Всего, по официальным данным Microsoft, было заражено почти 13 тысяч компьютеров. СБУ до сих пор работает над локализацией распространения вредоносного программного обеспечения вместе со специалистами из США и Европола.

Спустя неделю после кибератаки "Страна" собрала новые подробности о вирусе, которые парализовал работу многих украинских компаний, и поговорила с экспертами о вызовах и последствиях заражения Petya.

Кто стоит за "Петей"

Специалисты сразу отметили сходство вируса Petya с "шифровальщиком" WannaCry, который в мае заблокировал работу сотен учреждений в Европе и нанес миллиардный ущерб мировой экономике.

Но распространение вируса Petya оказалось быстрее и масштабнее: только в Украине он заразил около 13 тысяч компьютеров на базе Windows. Компьютеры перегружались, а вся информация на них зашифровывалась.

Но стоит отметить, что пострадала от Petya не одна Украина – также Германия, Польша, Румыния, Россия и другие страны мира. Но три четверти всех заражений пришлись именно на нашу страну.

Кто стоит за хакерской атакой и какая цель перед ней стояла, до сих пор доподлинно неизвестно.

Хотя уже в первые часы распространения вируса советник министра МВД Антон Геращенко заявил, что кибератака была организована со стороны спецслужб РФ. Многие украинские политики также предполагают, что за нападением могут стоять российские спецслужбы или близкие к ним хакерские группировки. Позже эту версию объявили и в Службе безопасности Украины.

Впрочем, это не объясняет того факта, что от вируса Petya пострадали и российские компании, в частности, "Роснефть".

Известно, что вирус использовал уязвимость, которой пользовались американские спецслужбы (NSA) в своих интересах. "Но в прошлом году NSA сами стали жертвами утечки данных, и наружу вытекла информация о куче "дырок", которыми они пользовались (от "дырок" в смартфонах до телевизоров). В том числе стала публичной информация об этой конкретной уязвимости в Windows, которую использовал недавно и WannaCry, и этот Petya", — сообщил в интервью "Стране" Дмитрий Дубилет, бывший IT-директор "ПриватБанка", а ныне — координатор проекта iGov и сооснователь Fintech Band.

О том, то вирус Petya был разработан американскими спецслужбами, а потом украден хакерами, написала и "Нью-Йорк Таймс".

Немецкое Федеральное управление по информационной безопасности (BSI) и департамент киберполиции Украины назвали главным источником кибератаки украинскую программу бухгалтерской отчётности M.E.Doc, в обновлениях которой якобы и "спрятался" вирус.

"Источник и главное направление кибератаки, по всей видимости, находятся в Украине, хотя нападение и приобрело глобальные масштабы", — говорится в заявлении BSI, опубликованном на официальном сайте организации.

Глава комитета по электронной коммерции интернет-ассоциации Украины, президент компании "Интернет инвест" Александр Ольшанский также уверен, что вирус распространился главным образом через M.E.Doc. "Но важно понимать, что любая программа, которая установлена у большого количества людей и апдейтится (обновляется) – это потенциальная угроза", – говорит "Стране" эксперт.

"Исходный код программы "M.E.Doc" не содержит команды запуска приложения Windows rundll32.exe, на который, как на причину атаки, ссылается Microsoft TechNet. Таким образом, в данной статье отсутствует обвинение программы "M.E.Doc" как источника заражения. Единственное, о чем говорит статья - это иллюстрация того, что программа "M.E.Doc" запущена на ранее зараженном компьютере и, соответственно, сама подверглась заражению", – говорится в пресс-релизе на официальном сайте компании.

Впрочем, известно, что в мае этого года через систему обновления M.E.Doc распространялся аналогичный вирус-вымогатель XData.

Однако эксперты отмечают, что обновления M.E.Doc были лишь одним из аккумуляторов заражения. "Вирус мог проникнуть в систему, если кто-то из сотрудников открыл сообщения на электронной почте с исполнительными файлами, но это могли быть и другие программы, не только M.E.Doc. Пока что изучение путей проникновения Petya.A продолжается, и однозначно сказать, кто виноват и кто за этим стоит, сложно", – комментирует "Стране" директор ИнАУ Александр Федиенко.

Страшный сон бухгалтера

В сложной ситуации оказался украинский бизнес. Ведь до 30 июня компании должны были зарегистрировать налоговые накладные в Государственной фискальной службе. Ровно за три дня до дедлайна украинские предприятия пострадали от кибератаки вируса Petyа.А, который заблокировал все документы на компьютерах. В результате многие украинские предприятия не смогли подготовить накладные в срок.

"Случилась правовая коллизия. С одной стороны, у нас проблема национального масштаба, и все понимают, что это форс-мажор. А с другой стороны – непоколебимая Госфискальная служба, которая обязывает всех подавать отчетности вовремя. ГФС ситуацию с вирусом не признает чрезвычайной, да и полномочий на это у нее фактически нет. Так что те компании, которые просрочат дедлайн, обязаны будут выплатить штраф. Бизнес стал заложником ситуации", – объясняет Александр Федиенко.

От кибератаки пострадало огромное количество предприятий. По официальным данным Microsoft было заражено 12 500 компьютеров. 1508 юридических и физических лиц подали жалобы в киберполиции по поводу атаки вируса Petya. К каждой из этих компаний в ГФС будут претензии, даже если они пострадали от вируса. И законных оснований для защиты бизнеса в данной ситуации нет.

Штраф за просрочку регистрации налоговых накладных – от 10 до 40% от суммы НДС, указанной в накладной, в зависимости от срока просрочки. За непредставление отчетов (если нарушили впервые), штраф 170 гривен, если повторно в течение года – 1020 гривен.

"По-хорошему, в данной ситуации Фискальная служба должна была бы пойти навстречу компаниям и продлить на три дня период подачи отчетности. Мне кажется, это можно было бы сделать", – отмечает Александр Ольшанский.

В ГФС вроде как и готовы сделать исключение, однако утверждают, что для переноса срока подачи накладных нужно "системное решение". Что это значит?

"Единственный законный путь для освобождения налогоплательщиков от штрафов в связи с Petya - принятие решения на уровне Верховной Рады. Его нет", – говорится в блоге для "Opendatabot" Натальи Радченко, партнера практики налогового права в Jusсutum, и Александра Федиенко. – Киберполиции, как и ДФС, также могут обратиться в Кабинет Министров и Министерство Финансов для инициирования нормативного документа, который сможет урегулировать ситуацию. Для этого нужно, чтобы явление стало массовым, но никто не знает, что это значит".

Обжаловать санкции ГФС можно будет только в судебном порядке. В таком случае, компаниям понадобятся две справки: от киберполиции (о последствиях вирусной атаки), и от Торгово-промышленной палаты (о том, что последствия вирусной атаки для компании считаются форс-мажором).

"Проверьте остатки по депозитам"

Изначально хакеры требовали выкуп за ключ разблокировки зараженных компьютеров в размере $300 в биткоинах. Отметим, что те компании, которые перечислили вымогателям деньги, ключа от них так и не получили.

При этом из-за колебаний курса биткоина вымогатели потеряли часть выкупа. Если еще утром 29 июня их прибыль составляла $12 тысяч, то уже к вечеру – чуть больше $10 тысяч.

Впрочем, эксперты делают вывод, что деньги и не были основным мотивом инициаторов глобальной кибератаки. К технической стороне вопроса вымогатели подошли грамотно, а вот к финансовой – подозрительно халатно.

"Следователи до сих пор не могут установить инициаторов последней глобальной кибератаки, но стратегия нападающих указывает, что не деньги были основным мотивом их действий", – говорится в сообщении главы Глобальной программы Организации Объединенных Наций (ООН) по киберпреступности Нил Уолш.

Программное обеспечение, использованное во время атаки, было значительно сложнее, чем то, которое использовалось в предыдущих атаках с применением вируса WannaCry. Но, по мнению Нила Улоша, инициаторы новой атаки не опытны в вопросе сбора выкупа от жертв в обмен на разблокирование их компьютеров. Это, по его словам, позволило 28 июня заблокировать учетную запись и сделать невозможным получение денег.

По мнению IT-экспертов, с которыми поговорила "Страна", так как вирус поразил не единичные компании и не ограничился банковскими учреждениями, хакеры намерены были нанести ущерб всей экономике Украины.

"Чего хотят добиться хакеры – это скорее вопрос к психологам. Я не знаю. Но сейчас они уже добились того, что в экономике страны случился коллапс. Все застыло. Эта атака, я считаю, была сделала из экономических побуждений, нанести ущерб целой стране, а не отдельным компаниям. Скорее всего, эта атака приведет к большим экономическим убыткам. Это элемент терроризма. Кибер-терроризм", – заявил Александр Федиенко.

Пока доподлинно неизвестно, сколько денег потеряла экономика Украины за время вирусной атаки, когда вышли из строя компьютерные системы многих компаний.

Но эксперты отмечают, что пострадать от хакерской атаки незаметно для самих себя могли и рядовые граждане Украины. По их словам, "падением" компьютерных систем хакеры могли отвлечь внимание от незаконного проникновения в различные госреестры.

"Поскольку вся система в тот день (27 июня – Прим.ред.) подверглась атаке и долгое время была недоступна нотариусам, такой лазейкой могли воспользоваться злоумышленники. Советую людям, у которых есть недвижимость и другое ценное имущество, проверить свои документы", — передает слова адвоката Ивана Либермана "Вести".

А Олег Гороховский, экс-первый замглавы правления "ПриватБанка" (который от вируса Petya.A не пострадал), посоветовал украинцам на всякий случай проверить свои остатки на банковских счетах.

"Когда я слышу, что некоторые банки останавливались, а теперь "постепенно восстанавливаются" у меня сомнения, что все клиентские счета восстановлены корректно. Советую просто проверить свои остатки по картам, кредитам и депозитам. Результаты могут вас удивить. А банкам рекомендую всерьез заняться ИТ. Банк 21-го века не может зависеть от того, в отпуске или нет сотрудник аутсорсинговой компании из России", – написал на своей странице в Фейсбук Олег Гороховский.

По мнению же Сергея Креймера, президента Association of Troubleshooters, целью вируса было не уничтожение данных, не завладение имуществом и не деньги – шпионство. По словам эксперта, злоумышленники получили контроль над всеми зараженными компьютерами и даже после возобновления работы могут ими управлять.

"Основная версия всех экспертов сводится к тому, что в последней вирусной атаке главным было поразить как можно больше компьютеров вредоносным кодом вируса-вымогателя. Однако даже после очистки компьютера от вируса-шифровальщика и возобновления работы, все равно на компьютерах остался вредоносный код типа Троян с функцией проверки открытых портов для обмена данными", – утверждает специалист, сотрудничающий с пострадавшими от вируса компаниями.

"Доподлинно известно лишь то, что при подключении очищенного компьютера к сети происходит попытка соединения с одним из интернет-сайтов, которого не существует в природе. Проблема заключается в том, что в случае активации данного интернет-адреса и загрузки туда вредоносного кода злоумышленники опять получают полный контроль над компьютером жертвы. На самом деле основная функция данного вируса шпионская. Более подробно о его назначении мы узнаем через несколько недель, когда получим протокол испытаний от наших немецких коллег-специалистов по компьютерной безопасности", – говорит Сергей Креймер.

Пока что эта информация официально нигде не подтверждалась. Но если так, сложно даже представить, к каким последствиям это может привести – ведь конечный план злоумышленников никому не известен.

Впрочем, пока что, пожалуй, главный ущерб, который нанес вирус Petya.A Украине – имиджевый. Государственные органы и компании нашей страны де-факто оказалась незащищенными и не готовыми к такой масштабной кибератаке – причем не от самого сложного вируса.

Какие выводы надо сделать?

Очевидно, что украинским компаниям (в первую очередь, государственным) стоит более серьезно отнестись к информационной безопасности.

"Департаменты информационной безопасности в госструктурах должны сделать для себя выводы. Возможно, придется глобально перестроить компьютерные сети на предприятиях, чтобы их сегментировать и минимизировать дальнейшее распространение вирусов", – отмечает Александр Федиенко.

Это тем более важно, что пренебрежение правилами кибербезопасности не в первый раз поставило под угрозу работу стратегически важных объектов инфраструктуры в Украине. Вирус Petya – уже третья по счету кибератака в Украине за последние два года, хоть и первая столь масштабная. И может стать не последней.

Так, в декабре 2016 года хакерской атаке подверглись учреждения Минфина, коммерческие банки, объекты "Укрэнерго" и инфраструктуры. Из-за этого в Киеве на несколько часов исчезла электроэнергия. Последствия прошлого взлома государственные специалисты по кибербезопасности устраняли несколько недель, хотя заражение тогда также происходило довольно примитивным методом – через макросы в документах, которые рассылались по электронной почте.

Аналогичный случай произошел годом ранее, в декабре 2015-го: парализовав объекты "Укрэнерго", вирус Black Energy вызвал отключения электроэнергии. Теперь Украина столкнулась с вирусом Petya, который поразил уже сотни украинских предприятий, некоторые из которых до сих пор устраняют последствия заражения.

Некоторые специалисты усматривают в этих атаках своеобразную проверку на прочность украинских стратегических ресурсов.

"Главный вывод, который должны сделать для себя компании – не экономить на компьютерной безопасности. Это должно стать первоочередным вопросом для компаний любого уровня. Потому что мы все находимся в едином интернет-пространстве, и если даже маленькая компания пострадает от любого вируса, она может быть подрядчиком другой, средней компании, а та, в свою очередь, подрядчиком компании крупной. И по этой цепочке может произойти заражение на всех уровнях", – утверждает Александр Федиенко.

Эксперты рекомендуют, как минимум, следовать рекомендациям СБУ по защите от вируса-вымогателя. А как максимум – нанять на постоянной основе отдельного специалиста или отдел специалистов, который будет отслеживать виртуальные угрозы и работать на опережение.

"Конкретно в случае с этим вирусом самый простой рецепт не подцепить его — пользоваться не Windows, а другой операционной системой, — сообщил в интервью "Стране" Дмитрий Дубилет. — "В "Привате", например, почти все наши станции работали на [операционной системе] Linux (наша версия Ubuntu). И дело не в том, больше Windows защищен или меньше по сравнению с другими ОС, а в том, что он — самая массовая ОС, потому вирусы обычно создают именно под него".

Эксперты прогнозируют, что украинские разработчики всерьез займутся совершенствованием программного обеспечения и антивирусной защиты. Пока что главный совет специалистов – создавать резервные копии, пользоваться облачными сервисами, а самые важные файлы хранить на съемных носителях.

"На самом деле, ничего кардинально нового не произошло – нам просто наступили на больной мозоль, – считает Александр Ольшанский. – А по большому счету, никаких глобальных изменений в компьютерном мире этот вирус не принес. Нам просто не повезло в связи с тем, как именно вирус распространялся, на какие компании и как быстро. Но главный вывод от вирусной атаки должно для себя сделать государство".

После недавней атаки вируса Petya Минобороны решило создать кибервойска: министр обороны Украины Степан Полторак отметил, что Украина будет перенимать опыт Литвы в борьбе с киберпреступностью, а помогать ей в этом будет НАТО. Правда, результаты расследования декабрьских атак 2016 года до сих пор не обнародованы ни СБУ, ни киберполицией.

Дмитрий Дубилет утверждает: "Если мы говорим о государственных органах, то кибербезопасность — это частный вопрос более широкого вопроса IТ. С IТ в нашем государстве, по моей оценке, все грустно. И вопрос вообще не в бюджетах на IТ (бюджеты как раз, по моей оценке, в Украине слишком раздутые), а в том, что, к сожалению, у нас катастрофически мало компетентных управленцев, которые хоть что-то понимают в IТ".

Эксперты настаивают: если ничего в плане информационной безопасности в Украине не изменится, не исключено, что страна может столкнуться с повторной хакерской атакой.

Читайте также: