У WIRED опублікували уривок з книги Енді Гріньерга про NotPetya.
Кібератаку NotPetya називають найдорожчою в історії.
Першими глобальний збій в системі помітили в штаб-квартирі компанії A.P. Møller-Maersk, що знаходиться поруч з гаванню Копенгагена. Тоді на екранах співробітників компанії зявилися написи такого змісту: “Відновлення файлової системи на C:” із суворим попередженням не вимикати комп’ютер, або ж “На жаль, ваші важливі файли зашифровані” з вимогою виплатити біткоіни на $300 за їх розшифровку.
Тим часом в центральному ІТ-департаменті компанії намагалися відновити програмне забезпечення для близько 80 тисяч співробітників.
В результаті глобального збою виникли проблеми в 574 офісах компанії в 130 країнах.
В цей же час на околиці київського Подолу в штаб-квартирі Linkos Group, невеликого сімейного українського бізнесу з розробки ПЗ, сталася аналогічна ситуація. Ця компанія пропонувала програмне забезпечення і забезпечувала роботу практично всіх, хто реєструє податки або веде бізнес.
Як виявилося, навесні 2017 року російські військові хакери непомітно зламали сервери оновлень української Linkos Group, щоб розмістити потайний бекдор на тисячі комп’ютерів по всій країні і світу, на яких встановлено M.E.Doc. Потім, в червні 2017 року, диверсанти скористалися бекдором, щоб активізувати шкідливе ПЗ під назвою NotPetya, – власну кіберзброю.
Шкідливий код поширювався з України хаотично і швидко.
“На сьогоднішній день це була найбільш швидко розповсюджена атака шкідливого ПЗ, яку ми коли-небудь бачили. До моменту, коли його знайшли, дата-центр вже зник”, – пояснив Крейг Вільямс, PR-директор Cisco Talos, однієї з перших компаній по забезпеченню безпеки, яка проаналізувала NotPetya.
Експерти заявляють, що метою кібератаки була саме Україна, але радіусом дії – весь світ.
Назва кіберзброї, NotPetya, з’явилая, як подібна до Petya. Ще з 2016 року Petya вимагав у жертв гроші за ключ, що може розблокувати потрібні файли.
Унікальність NotPetya була в тому, що викуп не давав змоги викупити необхідну інформацію, яку з’їв код.
Серед найбільш відомих компаній і корпорацій, що їх вразив NotPetya, фармацевтичний гігант Merck, європейське дочірнє підприємство FedEx TNT Express, французька будівельна компанія Saint-Gobain, виробник продуктів харчування Mondelēz і виробник презервативів Durex – Reckitt Benckiser. Зникла інформація в кожній із зазначених компаній оцінювалася в мільйони доларів.
До речі, вірус повернувся назад до Росії і встиг вразити державну нафтову компанію “Роснафта”.
Тільки в Україні NotPetya вразив як мінімум чотири лікарні в Києві, шість енергетичних компаній, два аеропорти, понад 22 банки, банкомати та системи карткових платежів в роздрібній торгівлі та в сфері логістики, а також практично всі держагентства.
Атака навіть відключила комп’ютери, якими користувалися вчені в районі Чорнобильської зони. А один високопоставлений чиновник українського уряду підрахував, що інформація з 10% всіх комп’ютерів в країні була стерта.
В результаті загальні збитки склали більше $ 10 млрд, згідно оцінці Білого дому.
У лютому 20018 року американські спецслужби підтвердили, що російські військові були відповідальні за запуск шкідливого коду.
У підсумку, судноплавна компанія компанії A.P. Møller-Maersk змогла більш-менш відновити свою роботу тільки через кілька тижнів, завдяки тому, що після атаки “вижив” один з контрольних серверів.
Фармацевтична компанія Merck через атаки втратила $870 млн. Поштова компанія FedEx втратила 400 млн доларів, а на повне відновлення роботи пішли кілька місяців. Британський виробник презервативів Durex втратив $129 млн.
До цього часу експерти з кібербезпеки не прийшли до єдиного висновку щодо того, якими були справжні наміри хакерів. Київські співробітники фірми ISSP стверджують, що атака була призначена не тільки для знищення, а й для очищення. Передбачається, що NotPetya знищив докази шпигунства і навіть дані розвідки для майбутнього саботажу.
Практично кожен, хто вивчав NotPetya, погоджується з одним: що це може статися знову або навіть повторитися в більш широкому масштабі.