Вірус Petya міг стартувати в Бахмуті, а його мета - не гроші, а стирання даних і хаос

Останню глобальну кібератаку в світі міг влаштувати як хлопець, який сидить у підвалі, так і фахівці на рівні держави. Такі невтішні дані надали в ООН.

За словами глави Глобальної програми ООН з кіберзлочинності Ніла Волша, ініціатори нової атаки не досвідчені в питанні збору викупу від жертв в обмін на розблокування їхніх комп'ютерів. Це, за його інформацією, дозволило 28 червня заблокувати обліковий запис, а також унеможливити отримання коштів. Однак хакери цього разу використовували набагато більш складне програмне забезпечення, ніж те, яке застосовувалося в попередніх атаках із застосуванням вірусу WannaCry (WCry). Таким чином виходить, що з'явилася глобальна вразливість мережі, і поки неясно, як з нею боротися.

Експерти відзначають, що вірус Petya тільки маскується під вимагача, однак основна його мета - безповоротно видаляти всі дані з ураженого комп'ютера. Як заявив у блозі засновник фірми з кібербезпеки Comae Метт Суіче, проведені дослідження показали, що поточна версія вірусу Petya переписана, і тепер він працює на знищення даних, а не на шифрування для подальшої вимоги викупу. Суіче розповів, що вірус Petya 2016 року і 2017 року разюче відрізняються один від одного. Так, версія вірусу 2016 року коректно зчитує кожен секторний блок диска і оборотно кодує їх, в той час як нова модифікація вірусу навмисно перезаписує сектори, які згодом не читаються і ніде не зберігаються.

З думкою Метта Суіче згоден ще один експерт з кібербезпеки, головний науковий співробітник F-Secure Мікко Хайппенен. У своєму мікроблозі Twitter  він продемонстрував фото з комп'ютера віце-прем'єр-міністра України Павла Розенка і підкреслив, що от як виглядає вірус Petya, коли він шифрує жорсткий диск. За словами Хайппенена, у всіх жертв вірус вимагав $300 і давав одну й ту ж адресу для перерахування. Семеро людей встигли перерахувати кошти до того, як адресу електронної пошти було знищено кіберполіцією. Разом з тим, ніхто з жертв, які відправили гроші, не отримав свої файли назад

Хайппенен також повідомив у Twitter, що румунський антихакер, провідний експерт з безпеки «Лабораторії Касперського» в регіоні ЕЕМЕА Костін Райю підтвердив, що початком ініціалізації вірусу Petya стала домашня сторінка в місті Бахмуті Донецької області в Україні. Як припустив Костін Райю, вірус поширювався географічно вибірково. «Можливо, він націлений на відвідувачів географічно (моя здогадка, тільки UA)», - додав експерт. 

Деякі експерти висловили думку, що атака була замаскована для відволікання уваги від нападу на Україну, організованого Кремлем в рамках гібридної війни. До цієї ж версії схиляються і вищі чиновники не тільки в Україні, але і в країнах Євросоюзу. Зокрема, міністр національної оборони Польщі Антоній Мацеревич заявив, що не варто виключати можливу причетність Росії до останньої кібератаки в Україні та Європі.

«Це - серйозна атака, яка має схожі характерні ознаки тієї, що сталася місяць тому. Зараз вона сконцентрувалася на одній країні - Україні, хоча і вразила майже всю Західну Європу і деякі інші країни, інститути та організації, пов'язані з Україною», - сказав Мацеревич.

Відзначимо, що в департаменті кіберполіції Національної поліції України з'ясували, що вірус Petya поширювався за допомогою бухгалтерського програмного забезпечення M.E.Doc, розробленого в Україні. Розробника поки ні в чому не підозрюють, тим більше що він сам звернувся в кіберполіцію і максимально сприяє розслідуванню атаки. Ці відомості підтвердили і в компанії Microsoft. За їхніми даними, існують переконливі докази, що процес зараження комп'ютерів почався з встановлення оновлення M.E.Doc. В Україні від атаки вірусу постраждали 12 500 комп'ютерів. У Microsoft також підкреслили, що вірус після України поширився в 64 інших країнах.

За вірусом стежать також і в Європолі. Як підкреслив у коментарі «Громадському» директор Європолу Роб Вайнрайт, користувачам, чиї комп'ютери заражені вірусом, в жодному разі не варто платити хакерам. Він зазначив, що вірус схожий на WannaCry, що заразив комп'ютери десятків компаній у травні 2017 року, але при цьому є більш складним. «Це демонстрація того, як кіберзлочинність розвивається в масштабах і знову-таки нагадує підприємствам про важливість прийняття відповідальних заходів з кібербезпеки», - сказав він.

Для України ця атака стала важливим поштовхом і приводом потурбуватися щодо того, що війна з Росією йде не тільки на Донбасі, але вже і всередині країни. Звичайний вірус на кілька годин паралізував роботу Кабміну, банків і найбільших компаній. Ніхто зараз не може сказати, звідки прийде наступний удар, але з огляду на втрати від попереднього, в тому, що він повториться, сумнівів практично немає, адже війна все ще триває.

Читайте також: Думка соцмереж, які після вірусу-здирника Petya констатують наявність «вірусів» Vitalya і Skotyniaka