Мой основной блог ZLONOV.ru (RSS-лента) | Презентации и документы: SlideShare | Ссылка на Twitter: @zlonov

20 июля 2017 г.

Уязвимости в Segway Ninebot miniPRO позволяют получить контроль над гироскутером

Эксперт компании IOActive Томас Килбрайд (Thomas Kilbride) обнаружил ряд серьезных уязвимостей в Segway Ninebot miniPRO, которые позволяют удаленно получить полный контроль над транспортным средством.

Segway Ninebot miniPRO предлагает возможность дистанционного управления через сопутствующее приложение для смартфона. С его помощью пользователи могут обновлять ПО устройства, управлять подсветкой, провести диагностику, установить противоугонную сигнализацию и пр. Вместе с тем, безопасность Segway Ninebot miniPRO оказалась на столь низком уровне, что Килбрайду понадобилось всего 20 секунд на взлом и перехват управления электроскутером.

Одна из уязвимостей, выявленных исследователем, заключается в отсутствии механизмов защиты от взлома, в частности PIN-кода. Используя модифицированную версию приложения Nordic UART злоумышленник может подключиться к Segway Ninebot miniPRO по Bluetooth без необходимости ввода PIN-кода.

Вторая проблема состоит в отсутствии шифрования канала связи между приложением Ninebot и самим скутером. В результате злоумышленник может осуществить атаку «человек посередине» и внедрить вредоносный код.

Также отказалось, что производителем не предусмотрена проверка целостности файла прошивки. Таким образом атакующий может загрузить вредоносное обновление прошивки.

Наконец, GPS функция Rider Nearby в приложении Ninebot раскрывает местоположение скутера потенциальным хакерам и ворам.

Проэксплуатировав вышеописанные проблемы, злоумышленник может изменить настройки, скорость и направление движения скутера. Исследователь проинформировал производителя об уязвимостях, который устранил их в апреле нынешнего года.



Источник: Новости - SecurityLab.ru

19 июля 2017 г.

«Дьявольская» уязвимость ставит под угрозу тысячи IoT-устройств

Исследователи компании Senrio обнаружили уязвимость в библиотеке gSOAP, ставящую под угрозу тысячи устройств «Интернета вещей» (IoT). Уязвимость CVE-2017-9765, получившая название Devil's Ivy, позволяет вызвать переполнение буфера, однако экспертам удалось с ее помощью выполнить код на уязвимой камере безопасности.

Проблема была обнаружена во время анализа прошивки камер безопасности Axis M3004. Когда исследователи уведомили о ней производителя, представители Axis сообщили, что уязвимость затрагивает 249 из 252 выпускаемых компанией моделей камер безопасности. Производитель уже выпустил обновления для своих продуктов. Разработчик библиотеки Genivia исправил уязвимость в версии gSOAP 2.8.48, вышедшей 21 июня текущего года.

По данным, указанным на сайте gSOAP, библиотека была загружена более 1 млн раз. Согласно подсчетам Senrio, Devil's Ivy затрагивает тысячи устройств.

gSOAP – библиотека с двойным лицензированием (бесплатная и коммерческая), широко используемая в разработке прошивки для встроенных устройств. Библиотека разработана компанией Genivia и позволяет производить продукты в соответствии с новейшими промышленными стандартами XML, XML Web services, WSDL и SOAP, REST, JSON, WS-Security, WS-Trust с SAML, WS-ReliableMessaging, WS-Discovery, TR-069, ONVIF, AWS, WCF и пр.


Источник: Новости - SecurityLab.ru

18 июля 2017 г.

ФБР предупредило родителей об опасности IoT-игрушек

В понедельник, 17 июля, ФБР опубликовало уведомление для родителей, чьи дети играют с «умными» игрушками. Бюро рекомендовало внимательно проверить подключенных к интернету кукол, медведей и пр. на предмет угрозы конфиденциальности персональных данных.

Согласно уведомлению, многие игрушки с функционалом, базирующимся на облачных технологиях (например, распознавание речи), «могут представлять угрозу конфиденциальности и безопасности детей в связи с большим объемом персональной информации, которая может быть непреднамеренно раскрыта». Безопасности таких игрушек уделяется недостаточно внимания, поскольку производители прежде всего стремятся сделать их как можно более удобными в использовании и привлекательным для покупателей, считают специалисты ФБР.

«Потребители должны найти в интернете информацию обо всех известных проблемах в этих игрушках, обнаруженных исследователями или упомянутых в отзывах покупателей», - говорится в уведомлении. Кроме того, бюро рекомендовало родителям внимательно ознакомиться с положениями о защите конфиденциальных данных, которыми руководствуется производитель.

Напомним , ранее в этом году произошла утечка данных свыше 800 тыс. клиентов компании Spiral Toys, занимающейся производством «умных» плюшевых игрушек. Кроме того, в связи с угрозой безопасности данных в феврале нынешнего года Федеральное сетевое агентство Германии (Bundesnetzagentur) запретило линейку «умных» кукол «Моя подруга Кайла» (My Friend Cayla), назвав игрушку шпионским устройством.


Источник: Новости - SecurityLab.ru

Siemens пропатчила обход аутентификации в SiPass

Siemens выпустила несколько патчей для интегрированного сервера SiPass, в том числе закрыла возможность обхода аутентификации.

Данный продукт предназначен для управления физическим доступом на разных предприятиях, он поддерживает устройства чтения кредитных карт и встраивается в оборудование для видеонаблюдения. Siemens рекомендует использовать SiPass в больницах, аэропортах и на производстве.

В минувший четверг Группа быстрого реагирования на киберинциденты в сфере управления производственными процессами (ICS-CERT) выпустила информационный бюллетень, рекомендуя пользователям незамедлительно обновиться до SiPass v2.70, так как все предыдущие версии уязвимы. «В случае успешной эксплуатации эти уязвимости позволяют без аутентификации воспользоваться сетевым доступом к серверу для выполнения административных функций», – сказано в этом бюллетене.

Баг некорректной аутентификации CVE-2017-9939 оценен в 9,8 балла шкале CVSS (при максимуме 10), остальные три не столь критичны. Уязвимость CVE-2017-9940 возникла из-за неадекватного управления привилегиями и позволяет без соответствующих прав читать и записывать данные в файлах на SiPass-сервере из той же сети. CVE-2017-9941 провоцирует MitM-атаку: если злоумышленник находится в положении между сервером и встроенными клиентами, он сможет перехватывать их коммуникации. CVE-2017-9942 связана с неправильным хранением паролей, что открывает возможность для их восстановления локально.

Две бреши, закрываемые в Android-приложении SIMATIC Sm@rtClient, позволяют удаленно оперировать и управлять HMI-системами SIMATIC. По данным Siemens, эти проблемы актуальны для Android-клиентов SIMATIC WinCC Sm@rtClient и Sm@rtClient Lite выпусков ниже 1.0.2.2. «Успешная эксплуатация этих уязвимостей позволяет атакующему с привилегированным положением в сети читать и модифицировать данные в пределах TLS-сессии», – гласит соответствующий бюллетень ICS-CERT.

Брешь CVE-2017-6870 связана с ошибкой в реализации протокола TLS, грозит MitM-атакой и, согласно ICS-CERT, присутствует лишь в WinCC Sm@rtClient для Android. CVE-2017-6871, свойственная Sm@rtClient Lite, представляет собой обход аутентификации и допускает эксплойт лишь при наличии физического доступа к разлоченному Android-устройству.


Источник: Threatpost | Новости информационной безопасности

Google постепенно отказывается от двухэтапной аутентификации через SMS

Эксперты давно говорят о том, что в современных реалиях SMS-сообщения нельзя считать надежным «вторым фактором» для осуществления двухфакторной аутентификации. В 2016 году Национальный институт стандартов и технологий США (The National Institute of Standards and Technology, NIST) представил документ, согласно которому, использование SMS-сообщений для осуществления двухфакторной аутентификации в будущем поощряться не будет. В документе содержится прямое указание на то, что использование SMS-сообщений для двухфакторной аутентификации будет рассматриваться как «недопустимое» и «небезопасное».

Также ИБ-специалисты уже доказали, что для обхода двухфакторной аутентификации может использоваться и набор сигнальных телефонных протоколов SS7 (или ОКС-7, Система сигнализации № 7), разработанный в далеком 1975 году. Хуже того, примеры таких атак уже были зафиксированы в реальности.

Словом, перехватить SMS-сообщение, содержащее секретный код, можно целым рядом способов, поэтому такую защиту вряд ли можно считать по-настоящему надежной. Похоже, инженеры Google согласны с выводами специалистов, так как в конце прошлой недели  в официальном блоге компании появилась интересная запись.

Google предлагает пользователям Android и iOS альтернативу SMS-сообщениям с 2016 года: тогда компания впервые представила двухэтапную аутентификацию через мобильные уведомления. В феврале текущего года эта система была улучшена, на экране уведомления стала отображаться дополнительная информация, к примеру, данные о местоположении и устройстве, с которого осуществлялась попытка входа в аккаунт Google.

Начиная с этой недели, Google будет предлагать всем, кто уже пользуется двухэтапной верификацей посредством SMS, перейти на использование уведомлений, что, как утверждают разработчики, будет не только безопаснее, но и удобнее. Тогда как для использования уведомлений пользователям Android не придется совершать каких-либо дополнительных действий, пользователям iOS, которые пожелают воспользоваться новой функцией, придется установить приложение Google Search.

Разумеется, пока речь не идет об отказе от использования SMS-сообщений вообще. У пользователей будет возможность отказаться от предложения и продолжить использовать тестовые сообщения с одноразовыми кодами. Однако разработчики Google пишут, что через полгода отказавшимся пользователям будут вновь разосланы сообщения с предложением перейти на более прогрессивный метод аутентификации.


Источник: «Хакер»

Связанные с РФ хакеры атаковали энергосети Великобритании

Хакеры, предположительно поддерживаемые правительством РФ, осуществили кибератаки на энергетические сети в составе национальной энергосистемы Великобритании. Злоумышленники атаковали ирландское Управление по поставкам электроэнергии (Ireland’s Electricity Supply Board, ESB) с целью получить контроль над системами управления сетями. Об этом сообщила британская газета The Times.

По информации издания, в июне нынешнего года ведущие инженеры ESB получили вредоносные электронные письма от киберпреступников, которые, по всей видимости, были связаны с Главным управлением Генштаба ВС РФ.

С помощью электронных писем предполагалось заразить компьютерные системы вредоносным ПО и установить наблюдение за ESB. Задача хакеров заключалась в том, чтобы получить доступ к системам управления компании и вывести из строя часть систем, обеспечивающих электроэнергией Северную Ирландию.

Издание отмечает, что сбоев в работе энергосетей зафиксировано не было, но, как полагают эксперты, хакеры могли похитить пароли к системам безопасности, отвечающим за поддержание работы британского энергосектора.

Тем временем, диппредставительство РФ в Лондоне заявило, что считает бездоказательным материал The Times. «Журналистика избавляется от старых концепций, таких как доказательства. Она прибегает к памфлетам», - отмечается в сообщении на официальной странице посольства в Twitter.

Напомним, в конце июня текущего года британский парламент подвергся кибератаке. Неизвестные киберпреступники атаковали учетные записи электронной почты парламентариев. Им удалось скомпрометировать порядка 90 почтовых ящиков с ненадежными паролями. В числе главных подозреваемы х британские спецслужбы называют РФ.


Источник: Новости - SecurityLab.ru

13 июля 2017 г.

[ZLONOV.ru] [майндкарта] Детальная диаграмма связей ФЗ о безопасности КИИ

ZLONOV.ru
Пост [майндкарта] Детальная диаграмма связей ФЗ о безопасности КИИ опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

11 июля 2017 г.

[ZLONOV.ru] Как я свой сайт сканером PT BlackBox Scanner проверял

ZLONOV.ru
Пост Как я свой сайт сканером PT BlackBox Scanner проверял опубликован на сайте ZLONOV.ru


Вы можете подписаться на обновления напрямую: RSS-лента
Презентации и документы: SlideShare
Ссылка на Twitter: @zlonov

10 июля 2017 г.

РФ подозревается во взломе десятка электростанций в США

Работающие на иностранное правительство хакеры взломали по крайней мере десяток американских электростанций. Об этом в четверг, 6 июля, заявило издание Bloomberg со ссылкой на бывших и действующих должностных лиц США.

По мнению американских властей, вражеские государства могут быть заинтересованы в отключении электроснабжения на территории США. В связи с этим, на прошлой неделе компаниям электроэнергетического сектора были разосланы соответствующие уведомления.

Опасения властей небезосновательны. Как сообщает Bloomberg, недавно хакерам удалось проникнуть в сети одного из производителей АСУ ТП для предприятий электроэнергетического сектора (название компании не уточняется). По словам троих источников, близких к расследованию атак, главным подозреваемым в их осуществлении является Россия. В частности в числе жертв хакеров значится электростанция Wolf Creek в Канзасе, принадлежащая компаниям Westar Energy, Great Plains Energy и Kansas Electric Power Cooperative.

Тот факт, что к атакам может быть причастна Россия, вызывает большие опасения у властей. По их словам РФ уже доказала свою способность выводить из строя некоторое оборудование электростанций, когда атаковала электроэнергетические компании Украины. Напомним , ранее «русские хакеры» также обвинялись в атаках на электростанции в Прибалтике. Вероятно, сейчас они тестируют мощные инструменты для выведения из строя сетей энергоснабжения, полагают эксперты.


Источник: Новости - SecurityLab.ru

Комитет Госдумы одобрил поправки в законопроект о безопасности КИИ

Комитет Госдумы по информационной политике, информационным технологиям и связи рекомендовал принять во втором чтении законопроект о безопасности критической информационной инфраструктуры РФ (КИИ) с учетом 17 рекомендованных к принятию поправок из предложенных 26.

В первом чтении законопроект, подготовленный в рамках Доктрины информационной безопасности, был одобрен в январе 2017 года. Документ предлагает установить основные принципы обеспечения безопасности КИИ, полномочия госорганов в данной области, права и обязанности владельцев объектов КИИ, а также операторов связи и информационных систем, обеспечивающих взаимодействие объектов.

Кроме прочего, рекомендованные к принятию поправки предусматривают, что собственниками или арендаторами объектов КИИ могут быть только российские юрлица или индивидуальные предприниматели.

Каждому объекту КИИ будет присвоена категория значимости, а сами они включены в специальный реестр. В новой редакции проекта закона уточняется перечень данных, предоставляемых в реестр. В случае нарушения правил субъекту КИИ уполномоченным органом будет направлено требование о необходимости соблюдения норм закона.

Перечень объектов критической информационной среды был дополнен организациями в сфере науки. В первоначальной версии документа к объектам критической инфраструктуры относились инфосистемы и телекоммуникационные сети госорганов, автоматизированные системы управления технологическими процессами в оборонной промышленности, области здравоохранения, транспорта, связи, кредитно-финансовой сферы, энергетики, топливной, атомной и других видов промышленности.

Также уточняется, что в случае реагирования на компьютерные инциденты в банковской и финансовой сферах потребуется согласование с Центробанком РФ.

Кроме того, комитет предложил уточнить, что к информации, составляющей государственную тайну, относятся сведения о мерах по обеспечению безопасности КИИ РФ и о степени ее защищенности от кибератак.

Если закон будет принят, он вступит в силу 1 января 2018 года. Поправка о переносе срока вступления закона в силу на 1 января 2019 года была отклонена. Ее сочли «неприемлемой в сложившихся условиях необходимости укрепления информационной безопасности государства».


Источник: Новости - SecurityLab.ru

Госдума одобрила во втором чтении пакет законопроектов о безопасности критической инфраструктуры

Законопроекты были подготовлены ФСБ и внесены в Госдуму 6 декабря 2016 года. В первом чтении пакет был принят 27 января 2017 года. Он предлагает установить основные принципы обеспечения безопасности КИИ, полномочия госорганов в этой области, а также права, обязанности и ответственность лиц, владеющих объектами КИИ, операторов связи и информационных систем, обеспечивающих взаимодействие этих объектов. Владельцы объектов КИИ должны будут информировать власти о компьютерных инцидентах, предотвращать неправомерные попытки доступа к информации, обеспечивать возможность восстановления объекта за счет создания резервных копий информации.

Из 26 поправок, подготовленных ко второму чтению, думский комитет по информационной политике, информационным технологиям и связи рекомендовал к принятию 17.

В частности, не было учтено предложение Российской ассоциации электронных коммуникаций о введении уголовной ответственности за DDoS-атаки. Рассмотрение проекта продолжалось десять минут, он был одобрен единогласно, пишет «Коммерсант».

В поправках устанавливается, что быть собственниками или использовать объекты критической инфраструктуры на праве аренды (или на другом законном основании) могут только российские юрлица или индивидуальные предприниматели, сообщает пресс-служба комитета. Также во втором чтении уточнён перечень сведений, предоставляемых субъектами критической информационной инфраструктуры в Реестр значимых объектов критической информационной инфраструктуры

Кроме того, комитет рекомендовал принять во втором чтении документ-спутник, вносящий изменения в законы «О государственной тайне», «О связи» и «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», а также к УК РФ — с учетом пяти поправок из поступивших шести. Поправки, внесенные ко второму чтению, уточняют, что к сведениям, составляющим гостайну, относится информация о мерах обеспечения безопасности КИИ и о состоянии ее защищенности от компьютерных атак.

Планируется, что в третьем чтении законопроекты будут рассмотрены 12 июля. В случае принятия закон вступит в силу с 1 января 2018 года. [rspectr.com, kommersant.ru]


Источник: Цифровая подстанция

3 июля 2017 г.

Обнаружена связь между NotPetya и атаками на энергосеть Украины

Недавняя кампания по распространению вымогательского ПО NotPetya (также известного как Petya.A) и атаки на энергосеть Украины в декабре 2015 года могут быть делом рук одной и той же хакерской группировки. О возможной связи между этими операциями сообщили специалисты компаний ESET и «Лаборатория Касперского».

Группа, ответственная за данные атаки, активна с 2007 года и известна под именами Sandworm, BlackEnergy, TeleBots, Electrum, TEMP.Noble и Quedagh. Несмотря на то, что группировка приобрела известность в 2014 году после атак на НАТО и правительственные организации, в ходе которых эксплуатировалась уязвимость нулевого дня (CVE-2014-4114) в Windows, в основном она знаменита атаками на промышленную инфраструктуру (в частности Украины).

Обычно целью хакеров являются SCADA-системы, в атаках используется вредоносное ПО BlackEnergy. Еще одним вредоносным инструментом, который ассоциируется с деятельностью группировки, является KillDisk - программа, предназначенная для промышленного саботажа или используемая для сокрытия следов кибератаки. Группировка уже довольно долгое время применяет данный инструмент в атаках на различные объекты, однако в минувшую зиму эксперты зафиксировали рост вредоносных кампаний с использованием KillDisk. В частности в декабре прошлого года были выявлены новые версии вредоносного ПО с функциональностью шифровальщика. Позже появился вариант KillDisk для Linux. В основном атаки были направлены на украинские банки и компании, предоставляющие услуги по морским перевозкам.

По словам специалиста ESET Антона Черепанова, выявлены свидетельства, указывающие на причастность TeleBots/BlackEnergy/Sandworm к кампаниям по распространению вымогательского ПО Win32/Filecoder.NKH (март 2017), XData (май 2017) и NotPetya (июнь 2017). По словам Черепанова, все три вредоносные кампании, включая недавние атаки NotPetya, были направлены на объекты в Украине и являются частью крупной кампании по саботажу украинского бизнес-сектора. Эксперты «Лаборатории Касперского» также указали на связь между прошлыми атаками TeleBots/BlackEnergy/Sandworm и кампанией NotPetya. При этом они отметили, что их находки пока нельзя назвать четкими доказательствами.

Ранее правительство США предупредило промышленные предприятия о киберпреступной кампании, направленной против представителей электроэнергетического и ядерного комплекса. Согласно докладу Министерства внутренней безопасности США и ФБР, с мая текущего года с помощью фишинга злоумышленники похищают учетные данные для доступа к сетям интересующих их компаний.

Напомним, 27 июня украинские банки, энергетические компании, государственные интернет-ресурсы и локальные сети, украинские медиа и ряд других крупных предприятий подверглись крупнейшей атаке с использованием шифровальщика NotPetya.


Источник: Новости - SecurityLab.ru

Власти США предупредили о кибератаках на АЭС

Правительство США предупредило промышленные предприятия о киберпреступной кампании, направленной против представителей электроэнергетического и ядреного комплекса. Как сообщает Reuters со ссылкой на отчет Министерства внутренней безопасности США и ФБР, с мая текущего года с помощью фишинга злоумышленники похищают учетные данные для доступа к сетям интересующих их предприятий.

В отчете, датированном 28 июня 2017 года, сказано, что некоторые атаки были успешными, однако кто именно стал их жертвой, не уточняется. «Как сложилось исторически, киберпреступники атакуют предприятия энергетического сектора с различными целями, начиная от кибершпионажа и заканчивая возможностью отключить энергетические системы в случае конфликта», - говорится в отчете.

Публикация документа совпадает с появлением на новостном сайте E&E News, освещающем события в сфере электроэнергетики, информации о проводящемся расследовании попыток взлома целого ряда ядерных реакторов. Согласно статье на E&E News, никаких свидетельств того, что попытки хакеров увенчались успехом, обнаружено не было. Тем не менее, журналистам Reuters не удалось подтвердить эту информацию.

Как сообщили американские компании ядерного сектора PSEG, SCANA Corp и Entergy Corp, недавние кибератаки их не затронули. Тем не менее, в прошлый четверг принадлежащая SCANA атомная электростанция «Ви-Си Саммер» в Южной Каролине остановила работу. Согласно заявлению пресс-службы компании, проблема была связана с работой клапана, незадействованного в процессе производства атомной электроэнергии. Остальные предприятия отказались комментировать вопрос кибербезопасности.


Источник: Новости - SecurityLab.ru

Siemens начала исправлять опасную уязвимость в Intel AMT

Не надо быть «правительственным хакером», чтобы взломать АСУ ТП на предприятии. Достаточно лишь проэксплуатировать уязвимость в Intel AMT (CVE-2017-5689), о которой стало известно в мае текущего года, и которую Siemens начала исправлять в своих продуктах на прошлой неделе. Проблема затрагивает чипы, выпускаемые Intel с 2010 года, и позволяет злоупотреблять функциями Intel AMT с помощью пустой строки логина.

«Чипсеты Intel Core i5, Intel Core i7 и Intel XEON содержат уязвимость, позволяющую удаленно выполнить код (CVE-2017-5689). Поскольку технология Intel используется в нескольких продуктах Siemens промышленного класса, они также уязвимы», - говорится в уведомлении Siemens.

В случае с Siemens уязвимые процессоры используются в 38 сериях продуктов, в том числе в промышленных ПК SIMATIC, панелях управления SINUMERIK и ПК SIMOTION P320 (полный список уязвимых продуктов доступен здесь). Производитель уже выпустил обновления безопасности для SIMATIC и работает над обновлениями для панелей управления.

Intel Active Management Technology(Intel AMT) – аппаратная технология, предоставляющая удаленный, и внеполосный (по независимому вспомогательному каналу TCP/IP) доступ для управления настройками и безопасностью компьютера независимо от состояния питания (удаленное включение / выключение компьютера) и состояния ОС.


Источник: Новости - SecurityLab.ru

27 июня 2017 г.

Атака WannaCry захлестнула российские и украинские компании энергетического сектора

Во вторник, 27 июня, компания «Роснефть» подверглась мощной хакерской атаке. Представители компании сделали соответствующее заявление в Twitter и выразили надежду на то, что инцидент не связан с текущими судебными процедурами.

«Роснефть» не уточняет характер атаки. Как сообщил источник, близкий к одной из структур «Роснефти», в какой-то момент все компьютеры на нефтеперерабатывающем заводе «Башнефть», а также в «Башнефть-добыче» и управлении «Башнефти» перезагрузились и скачали неизвестное ПО, после чего на экранах появилось уведомление с требованием выкупа.

Согласно уведомлению, вредонос зашифровал всю хранящуюся на серверах компании информацию, и для ее восстановления на указанный биткойн-кошелек нужно перевести $300.

В прошлом месяце «Роснефть» и «Башнефть» подали в суд на АФК «Система» за убыток, причиненный действиями АФК «Система» по реорганизации компании три года назад. Сегодня, 27 июня, в Арбитражном суде Башкирии проходит основное судебное заседание по данному делу. Размер компенсации, требуемой нефтяной компанией, составляет 170,6 млрд. руб.

Помимо российской нефтяной компании, 27 июня кибератаке с использованием вымогателя подвергся ряд украинских компаний электроэнергетического сектора. Атака на сети «Укрэнерго» и ДТЭК была осуществлена точно таким же образом, как и на «Роснефть» - компьютеры одновременно перезагрузились, проверили жесткий диск и вывели на экран требование выкупа.

Из строя в Украине вышли компьютерная сеть кабинета министров, ПО в аэропорту "Борисполь", Украпочта, Киевский метрополитен, некоторые банки, включая "Ощадбанк". Также прекратил работу сайт МВД Украины.

От вымогателя также пострадала Киберполиция Украины, банки ТАСкомбанк, Пивденый, ОТП, прекратило вещение "Радио 10", сеть магазинов "Эпицентр", сеть заправок ТНК и много-много других предприятий и организаций.

По информации Group-IB речь идет о вымогателе Petya.A, недавно оснащенным функционалом эксплоита ETERNALBLUE - точно таким же, какой использовал вымогатель WannaCry.

Источник: Новости - SecurityLab.ru