El director de relaciones públicas de MegaFon, Pyotr Lidov, le dijo a Kommersant que la oficina principal de la compañía fue atacada por un hacker. "Las computadoras se estropearon, obtuvieron una pantalla de bloqueo, donde pidieron $ 300 para desbloquear", dijo. Luego llegó la información de que pasaba lo mismo con los suscriptores de Telefónica y Vodafone en España.
Según Petr Lidov, los especialistas tuvieron que apagar las redes en algún momento para que el virus no se propagara más. “Varias regiones se vieron afectadas, el resto tuvo que apagarse temporalmente de forma preventiva. Esto afectó al comercio minorista y al soporte al cliente, porque los operadores naturalmente usan una PC para acceder a sus bases de datos. Se repararon los centros de llamadas. Esto no afectó las comunicaciones ni las cuentas personales ”, dijo el Sr. Lidov.
Como dijo a Kommersant un investigador de Seguridad Digital, Boris Ryutin, los expertos de MalwareHunterTeam y otros investigadores independientes coinciden en que se trata de un malware de tipo ransomware, es decir, un virus ransomware. "El peligro de infección es que, dependiendo de la implementación, los archivos del usuario pueden perderse irremediablemente", dijo.
"Vemos un ataque y el virus es muy complejo", dijo Solar Security a Kommersant. "Actualmente estamos desarrollando recomendaciones sobre contramedidas". “El virus es muy complejo, y hasta ahora no se puede descartar que sea algo más peligroso que un simple ransomware. Ya es obvio que la velocidad de su propagación es sin precedentes ”, agregó la empresa.
La representante de Microsoft, Kristina Davydova, le dijo a Kommersant que los especialistas agregaron detección y protección contra un nuevo programa malicioso conocido como Ransom: Win32.WannaCrypt. “En marzo, también introdujimos protección adicional contra este tipo de malware, junto con una actualización de seguridad que evita que el malware se propague por la red”, dijo.
MOSCÚ, 19 de mayo - PRIME, Natalia Karnova. El viernes, los suscriptores del operador móvil Megafon enfrentaron problemas de comunicación en varias regiones. La compañía aclaró que se observan problemas con la comunicación de voz en Moscú y varias otras ciudades, "la disminución de la tasa de éxito de marcación" es del 30%. Al mismo tiempo, Internet móvil funciona como de costumbre, las llamadas son posibles a través de mensajería instantánea. El operador planea completar el trabajo de restauración en las próximas horas.
Después de Megafon, los operadores Beeline y Yota informaron fallas en sus redes. Posteriormente, Beeline informó que hubo problemas con una sola estación, y ya fueron eliminados. En el momento de escribir este artículo, las redes MTS y Tele2 funcionaban con normalidad.
Todavía hay más especulaciones que información sobre el desarrollo real de los eventos; quizás la imagen más clara se encuentre ahora entre los que están dentro de la empresa, dice Denis Kuskov, director general de la agencia Telecom Daily. "Solo podemos afirmar que los problemas no están en el hardware de las estaciones base. Si un canal falla, se puede reemplazar con un equipo de respaldo. Parece que estamos hablando de una falla de software, esto indica que los problemas se registran en diferentes regiones. ", - dijo en una entrevista con la agencia Prime.
Según el experto, las razones de tal falla pueden ser tanto internas como externas: una influencia externa o un ataque de virus. "Los piratas informáticos incluso entraron en el Pentágono, y mucho menos en la red del operador, que probablemente no esté tan bien protegida. Nadie es inmune a esto, especialmente en nuestro tiempo cuando el mundo se está volviendo más vulnerable a los ataques informáticos", dijo.
PISTA QUIERO LLORAR
El mensaje de Megafon dice que la falla de la red no está relacionada con el ataque del virus WannaCry, el accidente ocurrió en uno de los elementos del equipo de la red. Al mismo tiempo, un ciberataque a gran escala con programas maliciosos en todo el mundo afectó las redes de Megafon el 15 de mayo. Luego, la empresa informó que había completado la eliminación de las consecuencias del ataque del virus.
"Ya hemos visto que el sistema para la emisión de una licencia de conducir no funcionó en varias regiones durante 24 horas. Una ola del virus", - señala al respecto Kuskov.
Los atacantes utilizan WannaCry para cifrar archivos con el fin de extorsionar dinero para recuperar datos cifrados. Anteriormente, el director de Europol, Rob Wainwright, dijo que un ciberataque a gran escala en todo el mundo desde el 12 de mayo ha afectado a más de 200 mil usuarios en 150 países. Los desarrolladores de antivirus Avast informaron 57 mil ataques de piratas informáticos utilizando el virus WanaCrypt0r 2.0. Según la compañía, el virus se propaga principalmente en Rusia, Ucrania y Taiwán. Kaspersky Lab informó el viernes 45.000 intentos de ataques de piratas informáticos en 74 países de todo el mundo, con el mayor número de intentos de infección en Rusia.
El viernes, el servicio de prensa del Banco de Rusia anunció la identificación de casos aislados de compromiso de los recursos de las entidades de crédito que utilizan el virus WannaCry, cuyas consecuencias se eliminaron rápidamente. En abril, el Banco de Rusia envió a los bancos información sobre métodos para detectar y contrarrestar software malicioso, como el ransomware, enviado por correo. En particular, los bancos recibieron recomendaciones para instalar paquetes de actualizaciones de seguridad para Windows que sean capaces de resistir el virus WannaCry.
SIN CONSECUENCIAS SIGNIFICATIVAS
Las instalaciones sociales y estratégicas no sufrieron los problemas de Megafon, aunque inicialmente se informó que la falla de los teléfonos e Internet afectó al Servicio Federal Antimonopolio. Posteriormente se supo que la falla se produjo debido a un corte de energía en el edificio de departamentos y no estuvo relacionada con los problemas de Megafon. Estos servicios no se vieron afectados.
Las fallas de Megafon no afectaron el sistema de control y comunicación del Ministerio de Situaciones de Emergencia de RF de ninguna manera. La red departamental de comunicación y control digital con la integración de varios servicios está funcionando de manera constante de manera regular, dijo el ministerio. Según el representante del Ministerio de Situaciones de Emergencia, en paralelo con el sistema principal, los sistemas de control y comunicación de respaldo también están operando en modo normal. Por lo tanto, las fallas en la red Megafon no afectaron la eficiencia y el funcionamiento del ministerio. “Solo los empleados del Ministerio de Situaciones de Emergencia, que son suscriptores de la red celular Megafon, sintieron el inconveniente”, concluyó el Ministerio de Situaciones de Emergencia.
En cuanto a las posibles consecuencias para las instalaciones estratégicas, hasta ahora solo podemos asumir con confianza que algunos de los empleados del Ministerio de Defensa se quedaron sin conexión celular, coincide Kuskov. En cuanto a los objetos secretos en sí, allí se utilizan otras opciones de comunicación y protección de datos, y es poco probable que los problemas con la comunicación celular sean críticos. Sin embargo, en el futuro, nadie podrá dar una garantía del 100 o incluso del 50 por ciento de que la próxima avería se limitará solo a las comunicaciones celulares y no afectará instalaciones sociales como el Fondo de Pensiones, agregó.
¡Esto nunca ha sucedido en la historia de las telecomunicaciones rusas!Hoy, en toda la parte europea de Rusia, hubo enormes problemas de comunicación para los suscriptores de Megafon. Entre las víctimas está tu humilde servidor. Los SMS llegaron a través de uno, Internet se arrastró una cucharadita por hora, la mayoría de las llamadas no llegaron a ninguna parte.
Pero, ¿qué tiene eso de especial? Bueno, hay interrupciones ...
No, esta vez la situación es fundamentalmente nueva. El hecho es que, ahora ya podemos hablar de esto con confianza, el resultado de las interrupciones no fueron fallas técnicas, sino un ataque a uno de los operadores celulares más grandes de Rusia. El ataque fue planeado, bien pensado y coordinado.
Hoy, dos nodos HLR de Megafon (esto es, para decirlo simplemente, una base de datos de suscriptores de la red), Moscú (central) y Rostov (responsable de todo el sur de la parte europea de Rusia), se estropearon en el Mismo tiempo. La red dejó de "ver" números e identificarlos con tarjetas SIM específicas. Ahora los técnicos de Megafon hablan de "fallas técnicas", pero esto es una mentira poco convincente: el desglose simultáneo de los dos elementos de infraestructura más importantes a la vez es comparable a la pérdida de "cero" en la ruleta treinta veces seguidas.
Otra explicación es mucho más probable: lo que sucedió fue el resultado de un ataque de piratas informáticos, similar a los DDO en el caso de los sitios de Internet, una gran cantidad de solicitudes, muchas veces excediendo la capacidad de los nodos.
Un ataque de este tipo cuesta mucho dinero, por lo que alguien muy poderoso quería molestar a Megafon (por ejemplo, otros operadores celulares no aceptarían esto). ¿Quién es y por qué "castiga" a los suscriptores inocentes? ¿O no se trata de ellos? ¿Y por qué se niega en el propio Megafon?
La mayoría de los usuarios de Internet son como peces de acuario: no se guardan noticias en su memoria durante más de un día. No seamos peces y recordemos qué eventos han sacudido el campo de la información últimamente? Oh sí, Alisher Usmanov, ofendido por la calumnia en su contra, demandó a Alexei Navalny y se volvió hacia él con un mensaje de video abierto, ya robado por los blogueros por citas ("¡eres un criminal de los dos!" Y "¡uf!" , por ejemplo).
Ahora solo piense: el jueves, Usmanov públicamente le arroja un guante a la cara de Navalny. Y el viernes hay un ataque sin precedentes a Megafon ... que en realidad pertenece a Usmanov. Un hombre que se pronunció abiertamente contra el "favorito de Estados Unidos", un protegido del Departamento de Estado Navalny. Tales coincidencias son incluso menos probables: se puede comparar con el hecho de que después de 30 "cero" seguidos, la bola voló repentinamente y quedó suspendida en el aire sobre la rueda de la ruleta.
Sí, como dijo Holmes, si descartamos todo lo imposible, la única respuesta verdadera seguirá siendo, por increíble que parezca. ¡Los amigos de Alexey en el extranjero tenían un motivo y una oportunidad para atacar el negocio de Usmanov! Ya podemos decir con seguridad que las interrupciones de las comunicaciones de hoy fueron una "venganza" por el hecho de que Usmanov apoyó contra el muro a un político popular de la oposición. Los intereses de los rusos comunes son insignificantes para las fuerzas detrás de Navalny.
Los técnicos de Megafon, por supuesto, continuarán hablando sobre problemas técnicos; después de todo, desde un punto de vista comercial, no hay nada bueno para que la gente sepa que se está llevando a cabo un ataque de un enemigo tan serio contra los activos de Usmanov. Y sí, Usmanov está orgulloso: no se permitirá admitir que sus empleados no pudieron repeler este ataque. Pero los hechos, lamentablemente, hablan precisamente de eso.
Creo que este no es el final. Me atrevería a sugerir que habrá problemas para otras estructuras asociadas con Usmanov, por ejemplo, el “Arsenal” de Londres, que está luchando por un lugar en la Liga de Campeones, ahora claramente no es un éxito.
Sin embargo, es interesante cuál será la respuesta de Usmanov. No creo que retroceda. Es un hombre orgulloso y no cederá a la presión. Más bien, lo contrario es cierto: ahora Navalny tendrá problemas aún mayores.
- 12 de mayo de 2017, 19:43 Los sistemas informáticos del Ministerio del Interior y Megafon sufrieron un ataque de virus
El sistema informático interno del Ministerio del Interior de Rusia fue afectado por un virus, informa "Varlamov.ru" con referencia a varias fuentes familiarizadas con la situación.
La fuente de Mediazona en el Ministerio del Interior confirmó la infección de las computadoras departamentales. Según él, estamos hablando de departamentos en varias regiones.
Anteriormente, apareció información sobre una posible infección por virus en el sitio web de Pikabu y en el foro de Kaspersky. Según algunos usuarios, esto es un virus. WCry(también conocido como Quiero llorar o WannaCryptor) - cifra los archivos del usuario, cambia su extensión y requiere la compra de un descifrador especial para bitcoins; de lo contrario, los archivos se eliminarán.
Según los usuarios del foro de Kaspersky, el virus apareció por primera vez en febrero de 2017, pero "se ha actualizado y ahora se ve diferente a las versiones anteriores".
El servicio de prensa de "Kaspersky" no pudo comentar de inmediato sobre el incidente, pero prometió publicar un comunicado en un futuro próximo.
Miembro de la empresa Avast Jakub Kroustek informó Tuiteó que al menos 36 mil computadoras en Rusia, Ucrania y Taiwán estaban infectadas.
El sitio web de Varlamov señala que también apareció información sobre la infección de computadoras en hospitales públicos en varias regiones del Reino Unido y un ataque a una empresa de telecomunicaciones española. Telefonica... En ambos casos, el virus también solicita pago.
La compañía señaló que en la actualización de marzo, ya se proporcionó protección adicional contra dichos virus.
“Los usuarios de nuestro antivirus gratuito y la versión actualizada de Windows están protegidos. Estamos trabajando con los usuarios para brindarles asistencia adicional ”, agregó la compañía.
Anteriormente, "Kaspersky Lab" "Mediazone" que el virus WannaCrypt explota una vulnerabilidad de la red de Windows, cerrada por los especialistas de Microsoft en marzo.
El Ministerio del Interior confirmó los ataques de piratas informáticos en sus computadoras
El Ministerio del Interior ha confirmado ataques de piratas informáticos en sus computadoras, informa RIA Novosti.
Según la secretaria de prensa del Ministerio del Interior, Irina Volk, el departamento de tecnología de la información, comunicaciones y protección de la información del ministerio registró un ataque de virus en las computadoras del Ministerio del Interior con el sistema operativo Windows.
“Gracias a las oportunas medidas tomadas, se bloquearon cerca de mil equipos infectados, que es menos del 1%”, dijo Volk, agregando que los recursos del servidor del Ministerio del Interior no estaban infectados, ya que funcionan en otros sistemas operativos.
"Por el momento, el virus se ha localizado, se están realizando trabajos técnicos para destruirlo y actualizar la protección antivirus", dijo una portavoz del ministerio.
Más de $ 6,000 transferidos a billeteras bitcoin de piratas informáticos que propagan el virus WannaCry
Se transfirieron al menos 3,5 bitcoins a los piratas informáticos que difundieron el virus ransomware WannaCry, escribe Meduza. Según el tipo de cambio de $ 1,740 por un bitcoin a las 22:00 hora de Moscú, esta cantidad es $ 6090.
Meduza llegó a esta conclusión basándose en el historial de transacciones en carteras bitcoin, a las que el virus exigía transferir dinero. Las direcciones de billetera se publicaron en un informe de Kaspersky Lab.
En tres billeteras, se llevaron a cabo 20 transacciones el 12 de mayo. Básicamente, les transfirieron 0.16-0.17 bitcoins, que son aproximadamente $ 300. Los piratas informáticos exigieron pagar esta cantidad en una ventana emergente en los equipos infectados.
Avast contó 75 mil ataques en 99 países
Empresa de TI Avast informó que el virus WanaCrypt0r 2.0 infectó 75 mil computadoras en 99 países, según el sitio web de la organización.
La mayoría de las computadoras están infectadas en Rusia, Ucrania y Taiwán.
Hace 13 horas, el blog del especialista en seguridad informática Brian Krebs publicó una entrada sobre la transferencia de bitcoins a piratas informáticos por un monto total de 26 mil dólares estadounidenses.
Europol: 200 mil ordenadores en 150 países sufrieron un ataque de virus
Infección vírica Quiero llorar En tres días, ya se han sometido más de 200 mil computadoras en 150 países, dijo en una entrevista con un canal de televisión británico. ITV Director del Servicio de Policía Europea Europol Rob Wainwright. Sus palabras son citadas Sky News.
“La propagación del virus por todo el mundo no tiene precedentes. Según las últimas estimaciones, hay 200.000 víctimas en al menos 150 países, y estas víctimas incluyen empresas, incluidas grandes corporaciones ”, dijo Wainwright.
Sugirió que es probable que la cantidad de computadoras infectadas aumente significativamente cuando las personas regresen a trabajar en sus computadoras el lunes. Al mismo tiempo, Wainwright señaló que hasta ahora la gente ha transferido "sorprendentemente poco" dinero a los distribuidores del virus.
En China, el virus atacó computadoras de 29 mil instituciones
Virus Quiero llorar computadoras atacadas de más de 29 mil instituciones, el número de computadoras afectadas asciende a cientos de miles, la agencia de noticias Xinhua cita los datos del centro de evaluación de amenazas informáticas Qihoo 360.
Según los investigadores, fueron atacadas computadoras en más de 4.340 universidades y otras instituciones educativas. Además, se observaron infecciones en las computadoras de las estaciones de tren, organizaciones postales, hospitales, centros comerciales y agencias gubernamentales.
“No hubo un daño significativo para nosotros, para nuestras instituciones, ni para los bancos, ni para el sistema de salud, ni para otros”, dijo.
“En cuanto a la fuente de estas amenazas, entonces, en mi opinión, el liderazgo de Microsoft declaró esto directamente, dijo que la fuente principal de este virus son los servicios de inteligencia de Estados Unidos, Rusia no tiene absolutamente nada que ver con eso. Es extraño para mí escuchar algo diferente en estas condiciones ”, agregó el mandatario.
Putin también pidió una discusión sobre el problema de la ciberseguridad "a un nivel político serio" con otros países. Destacó que es necesario "desarrollar un sistema de protección contra tales manifestaciones".
El virus Quiero llorar aparecieron clones
El virus Quiero llorar hubo dos modificaciones, escribe Vedomosti con referencia a Kaspersky Lab. La compañía cree que ambos clones fueron creados no por los autores del ransomware original, sino por otros piratas informáticos que intentan aprovecharse de la situación.
La primera modificación del virus comenzó a extenderse en la mañana del 14 de mayo. Kaspersky Lab detectó tres equipos infectados en Rusia y Brasil. El segundo clon aprendió a eludir el código que detuvo la primera ola de infecciones, señaló la compañía.
También escribe sobre clones del virus. Bloomberg... Fundador de la empresa Tecnologías Comae El especialista en ciberseguridad Matt Suish dijo que unas 10.000 computadoras estaban infectadas con la segunda modificación del virus.
Según Kaspersky Lab, hoy se infectaron seis veces menos computadoras que el viernes 12 de mayo.
Virus Quiero llorar puede haber sido creado por un grupo de piratas informáticos de Corea del Norte Lázaro
Virus ransomware Quiero llorar podría haber sido creado por piratas informáticos del grupo norcoreano Lazarus, según un sitio web especializado de "Kaspersky Lab".
Los especialistas de la empresa llamaron la atención sobre el tuit del analista Google Neil Mehta. Como se concluye en "Kaspersky Lab", el mensaje indica la similitud entre las dos muestras: tienen un código común. El tweet presenta una muestra criptográfica Quiero llorar de febrero de 2017 y grupo de muestra Lázaro con fecha de febrero de 2015.
"El detective se retuerce cada vez más y ahora se encuentra el mismo código en # Quiero llorar y en troyanos de Lázaro», -
El investigador de seguridad de la información w0rm anunció que había llevado a cabo con éxito un ataque de piratas informáticos contra el operador móvil ruso Megafon. Según el pirata informático, obtuvo acceso al sistema de archivos de varios sitios de operadores. Además, el intruso obtuvo los datos de servicio de los empleados de la empresa.
Según el hacker, tuvo la oportunidad de acceder a los datos de los clientes de Megafon, pero no lo hizo, guiándose por consideraciones éticas. El hacker presentó varias capturas de pantalla como prueba que muestran la estructura de archivos de uno de los sitios pirateados y el panel de control del nombre de dominio megafon.mobi.
El pirata afirma que cambió la contraseña para ingresar a su cuenta personal. Al cambiar la contraseña, resultó que la contraseña consta de solo 6 dígitos, y solo se puede cambiar a la misma contraseña de seis dígitos. Por lo tanto, una contraseña de 6 dígitos se puede adivinar fácilmente en ausencia de mecanismos de bloqueo por fuerza bruta. El papel de dicho mecanismo en el sitio web de Megafon lo realiza un captcha.
Esta protección se superó con la ayuda del widget Yandex obsoleto, que no necesita ingresar un captcha. Según el pirata, de 20 a 30 minutos son suficientes para obtener una contraseña para acceder a una cuenta personal arbitraria mediante el número de teléfono del suscriptor y estudiar los detalles de las llamadas, los SMS, el nombre completo y los datos de pago.
Este éxito masivo llevó al pirata informático a auditar algunos de los otros dominios que posee la empresa. Como resultado, pudo obtener un archivo con una copia de seguridad del sistema de gestión de proyectos de Jira desde principios de 2015. Usando las credenciales de los empleados de Megafon, que estaban contenidas en el archivo, el pirata informático obtuvo acceso al correo corporativo y algunos recursos del servicio.
Los representantes de Megafon dicen que no se ha encontrado evidencia de una penetración exitosa en el sistema. La compañía ahora está llevando a cabo controles adicionales sobre los hechos de las publicaciones en las redes sociales.
En mayo de este año, w0rm ya llevó a cabo un exitoso ataque al sitio de entretenimiento "Sprashivay.ru". Luego, el investigador publicó un archivo con las contraseñas de los usuarios del servicio en el dominio público. Antes de eso, llevó a cabo ataques exitosos en sitios de medios extranjeros como The Wall Street Journal y Vice.
UPD (15/05/2017):Megafon se ha convertido en víctima de un nuevo incidente de seguridad de la información. El operador móvil ruso, junto con decenas de empresas y organizaciones de todo el mundo, fueron víctimas de la actividad del ransomware Wannacry..
Los detalles se pueden encontrar en el nuevo de SecureNews.
