Atak hakerski uderzył w firmy w Polsce. Premier Beata Szydło zwołuje Zespół Zarządzania Kryzysowego

Atak wirusa ransomware o nazwie Petya w nocy rozlał się na Stany Zjednoczone i Azję. Według doniesień medialnych nie ominął też Polski. Sprawą zajmuje się dziś Zespół Zarządzania Kryzysowego.

O planowanym dziś na godzinę 11 spotkaniu Rządowego Zespołu Zarządzania Kryzysowego poinformował wczoraj wieczorem rzecznik rządu Rafał Bochenek.

Do spotkania w sprawie ataku odniósł się też rano w TVN24 szef MSWiA. - To będą meldunki złożone przez szefów służb, informacje złożone przez ministrów. Służby nie raportują bezpośredniego zagrożenia, ale żyjemy w takim świecie, w jakim żyjemy – powiedział Mariusz Błaszczak.

Spotkanie odbywa się za zamkniętymi drzwiami.

- Zwołałam [spotkanie] w związku z kolejnym w ciągu kilku tygodni atakiem teleinformatycznym na dużą skalę, atakiem, który dotknął również polskie podmioty. Zdarzenie, które wczoraj obserwowaliśmy głównie na Ukrainie, mogło niestety w niedalekiej przyszłości dotyczyć naszego kraju. Poprosiłam o to spotkanie, żebyśmy ocenili informacje i żebyśmy również przedstawili sobie wzajemnie informacje, jak jesteśmy przygotowani i co powinniśmy uczynić, aby ten wzrost bezpieczeństwa był jeszcze większy - mówiła podczas rozpoczęcia posiedzenia premier Beata Szydło.

- Stan na dzisiaj na godzinę 10:00 jest taki, że od kilkunastu godzin obserwujemy kolejną kampanię o zmasowanej skali - tak zaczęła swoje wystąpienie minister cyfryzacji Anna Streżyńska, zanim z sali wyproszono dziennikarzy.

Firmy w Polsce wśród ofiar hakerów

Kaspersky Lab, firma zajmująca się cyberbezpieczeństwem podała, że według jej danych Polska jest w czołówce krajów dotkniętych atakiem.

Problemy w naszym kraju miała między innymi firma InterCars - giełdowa spółka, która zajmuje się między innymi sprzedażą części zamiennych do samochodów i produkcją przyczep i naczep. We wtorek w nocy na profilu na Facebooku (strona internetowa firmy wciąż nie działa) pojawił się następujący komunikat w tej sprawie:

Informujemy, że w dniu dzisiejszym w wyniku zakłócenia funkcjonowania systemów teleinformatycznych Grupy Kapitałowej Inter Cars S.A. nastąpiła przerwa w działaniu systemów sprzedażowych Spółki i jej podmiotów zależnych. Aktualnie trwają prace zmierzające do ustalenia zakresu problemu oraz przywrócenia funkcjonalności systemów.
Przerwa w działaniu systemów teleinformatycznych Grupy Kapitałowej Inter Cars S.A. została najprawdopodobniej spowodowana międzynarodowym atakiem hakerskim, o którym informowały dzisiaj rządy niektórych państw oraz światowe środki masowego przekazu. Spółka poinformowała o sprawie polskie organy ścigania.

Hakerzy mieli też zaatakować oddział globalnej firmy Mendelez we Wrocławiu, który zajmuje się produkcją słodyczy - poinformowała wrocławska "Gazeta Wyborcza".  Wcześniej pojawiły się informacje, że zaatakowano oddziały Monelez także w Hiszpanii.

Z kolei firma transportowa Raben podała, że na wszelki wypadek wstrzymuje działania. "Bezpieczeństwo naszych klientów jest dla nas najważniejsze. Dlatego, w związku z międzynarodowym zagrożeniem wirusowym, wstrzymujemy wszystkie operacje transportowe i logistyczne do czasu wyjaśnienia sytuacji" - pisze Raben.

Najpierw Ukraina, potem Europa i świat

Globalny atak hakerski zaczął się wczoraj na wschodzie - od Ukrainy, która ucierpiała najbardziej, bo zablokowano tam systemy komputerowe banków, wielkich państwowych firm energetycznych, metra, lotniska, a nawet rządowe. W Rosji ucierpiał między innymi Rosnieft. Na zachodzie Europy o problemach informował duński Maersk, francuska firma produkcyjna Saint-Gobain czy brytyjska grupa reklamowa WPP Plc. W nocy atak rozlał się na USA i Azję oraz Australię.

Tak wygląda komputer dotknięty atakiem hakerskim na UkrainieTak wygląda komputer dotknięty atakiem hakerskim na Ukrainie Oleg Reshetnyak / AP / AP

Ekspert: "W tym ataku nie chodziło o pieniądze"

Zdaniem Michała Jarskiego, eksperta ds. cyberbezpieczeństwa oraz VP EMEAA w firmie Wheel Systems, atakujący nie kierowali się pobudkami finansowymi.

Chodziło raczej o wywołanie efektu psychologicznego i uderzenie w system teleinformatyczny całego państwa. Wszystko wskazuje na to, że głównym celem ataku była Ukraina. Później infekcja rozprzestrzeniła się na inne państwa

- podkreśla ekspert.

Kto stoi za atakiem? Zdaniem Michała Jarskiego może to być ta sama grupa, która stworzyła WannaCry. Petya jest jednak zdecydowanie bardziej groźnym wirusem.

Skala ataku, kombinacja wielu technik oraz znajomość środowiska wskazują na to, że mamy do czynienie z profesjonalistami. Niewykluczone, że WannaCry był jedynie testem.

- zaznacza Jarski.

Fakt, że celem ataku były ukraińskie instytucje państwowe każe przypuszczać, że mogą za nim stać Rosjanie. Oczywiście, jak w przypadku wielu podobnych cyberataków – te przypuszczenia trudno jednak poprzeć jakimikolwiek twardymi dowodami.

Ofiary bezradne

Wirus jest typu ransomware - blokuje komputery i szyfruje dane, a następnie żąda 300 dolarów okupu w kryptowalucie - bitcoinach.

W teorii właściciele zainfekowanych komputerów powinni mieć możliwość odzyskania plików po zapłaceniu okupu. Niestety, w przypadku Petyi nie jest to już możliwe. Wszystko przez dostawcę usług pocztowych, który zablokował twórcom wirusa dostęp do ich skrzynki.Teraz nie mogą oni nawet wysłać ofiarom klucza deszyfrującego pliki na zainfekowanych komputerach, więc opłacenie okupu nie ma sensu.

Co mogą więc zrobić w tym momencie ofiary? Niestety, nie mamy dobrych wiadomości. Pozostaje czekać i liczyć, że komuś uda się złamać szyfrowanie Petyi lub zdobyć klucz deszyfrujący pliki. Nie ma jednak żadnej gwarancji, że tak właśnie się stanie.

Jak wygląda mechanizm szyfrowania plików przez Petyę?

Michał Jarski podkreśla, że istnieje sposób, aby nie dopuścić do zaszyfrowania naszych plików przez Petyę. Mamy jednak na to tylko jedną szansę i musimy działać szybko.

Po zainfekowaniu naszego komputera z systemem Windows wirus doprowadza do awarii i zresetowania naszego systemu (tzw. Blue Screen). Następnie Windows uruchamia się ponownie. Wówczas uruchamia się mechanizm szyfrowania plików, który dla użytkownika wygląda jednak, jak mechanizm sprawdzania błędów na dysku.

Najprostszą metodą jest po prostu niedopuszczenie do wykonania tej operacji. Musimy więc natychmiast wyłączyć komputer

- podkreśla ekspert.

Jeśli zrobimy to w odpowiednim momencie, to nasze dane nie zostaną zainfekowane i będziemy mogli je później odzyskać - podłączając dysk do innego urządzenia.

Dlaczego Petya jest tak groźna?

Sam mechanizm szyfrowania plików przez Petyę wygląda więc podobnie, jak w przypadku innych popularnych ransomware - np. WannaCry. To co wyróżnia ten wirus, to jednak skala i tempo jego rozprzestrzeniania się.

Wszystko wskazuje na to, że pierwotnym źródłem ataku była aplikacja M.E.Doc, bardzo popularne na Ukrainie narzędzie do zarządzania dokumentacją. Z programu korzysta większość instytucji rządowych w tym kraju, jak również wiele firm komercyjnych.

Prawdopodobnie hakerzy zdobyli dostęp do serwerów M.E.Doc, a następnie wypuścili zainfekowaną aktualizację aplikacji, która została automatycznie zainstalowana na wielu rządowych i firmowych komputerach.

W jaki sposób wirus wydostał się poza Ukrainę? Zainfekowane komputery wysyłały złośliwe załączniki poprzez pocztę elektroniczną do wszystkich kontaktów znajdujących się w ich systemie. Instytucje państwowe często korespondują z ukraińskimi oraz międzynarodowymi firmami, co pozwoliło Petyi rozprzestrzenić się na cały świat.

Problem z Petyą polega również na tym, że wirus nie szyfruje natychmiast komputera ofiary. Wcześniej szuka sposobu na to, aby zainfekować inne urządzenia.

Wystarczy, że ktoś przyniesie do firmy zainfekowany komputer. Taki komputer po podłączeniu do sieci natychmiast będzie szukać sposobu, aby jak najszybciej rozprzestrzenić się w sieci

- podkreśla Michał Jarski.

Zmasowany atak hakerski na Ukrainie. Nie pracują banki, media i strona rządowa