У «Ямал СПГ» все пусконаладилось – Газета Коммерсантъ № 92 (7054) от 01.06.2021
По данным “Ъ”, после продолжавшейся более года пусконаладки четвертая линия завода НОВАТЭКа «Ямал СПГ» мощностью 0,95 млн тонн в год вышла на стопроцентную загрузку. Выход линии в промышленную эксплуатацию может добавить к производству НОВАТЭКа до 0,5 млн тонн СПГ во втором полугодии. По оценкам аналитиков, запуск четвертой линии может увеличить выручку компании до конца года на $180–190 млн.
НОВАТЭК вывел на стопроцентную загрузку четвертую технологическую линию СПГ-завода «Ямал СПГ» производительностью 0,95 млн тонн в год, сообщили “Ъ” источники, знакомые с ситуацией. По их данным, линия вышла на стабильное производство сжиженного природного газа, начинаются первые полноценные отгрузки СПГ. До этого линия производила лишь небольшие объемы СПГ в рамках пусконаладочного процесса, поясняют собеседники “Ъ”.
«Ямал СПГ» — флагманский проект НОВАТЭКа по экспорту сжиженного природного газа, где у российской компании 50,1%, другими акционерами являются французская Total (20%), а также китайские CNPC (20%) и SRF (9,9%).
Изначально запуск четвертой линии планировался на конец 2019 года, но сроки несколько раз сдвигались. Несмотря на то что четвертая очередь «Ямал СПГ» — самая маленькая по мощности, проблем с ее запуском возникло больше, чем с крупнотоннажными линиями. Сложность заключается в том, что она полностью построена на российском оборудовании по впервые примененной собственной запатентованной технологии НОВАТЭКа «арктический каскад».
Глава НОВАТЭКа Леонид Михельсон 18 февраля отмечал, что на тот момент все оборудование находилось в работе и подбирался режим эксплуатации. «В составе этой технологической линии имеется целый ряд совершенно новых единиц ключевого оборудования. Российские предприятия специально разработали и произвели их для нас. И поэтому процесс наладки и тестирования этих режимов занял у нас намного больший срок, чем стандартного серийного оборудования»,— пояснял он, выражая надежду, что линию получится запустить на полную мощность через две-три недели.
В НОВАТЭКе на запрос “Ъ” не ответили.
Предполагается, что весь СПГ, произведенный на четвертой линии «Ямал СПГ», будет продаваться на спотовом рынке.
В июне НОВАТЭК планирует начать навигацию по Севморпути в восточном направлении. Учитывая текущую конъюнктуру, вероятно, большая часть грузов «Ямал СПГ» будет напрямую поставляться на азиатские рынки. Сейчас индекс Platts JKM, отражающий стоимость спотовых поставок СПГ в северо-восточную Азию, превышает $10,313 за MBTU ($370 за тыс. кубометров) против $8,9 за MBTU на основном европейском хабе TTF. В среднем доставка груза с «Ямал СПГ» по Севморпути в Азию на 40% быстрее, чем через Суэцкий канал.
По оценке Екатерины Колбиковой из Vygon Consulting, за второе полугодие выручка четвертой очереди «Ямал СПГ» от продаж газа в порту отправления может составить $180–190 млн. При этом, по ее мнению, поставки СПГ в Азию для НОВАТЭКа будут практически равнодоходны экспорту в Европу с учетом ожидаемого дифференциала спотовых цен на этих рынках в $1,5–2 за MBTU до конца 2021 года.
Татьяна Дятел
Крупнейший производитель мяса остановил работу из-за хакерской атаки
О хакерской атаке сообщил The Wall Street Journal. По данным издания, полученным от самой JBS и заместителя пресс-секретаря Белого дома Карин Жан-Пьер, кибератаку организовала неизвестная хакерская группировка. В США предполагают, что она находится на территории России.
«Белый дом напрямую взаимодействует с российскими властями по этому вопросу и даёт понять, что ответственные государства не укрывают преступников-вымогателей», — сказала представитель Белого дома.
На чём основываются подозрения JBS об организаторах атаки, компания раскрывать не стала. По заявлению исполнительного директора JBS в США Андре Ногейра, производитель уже восстанавливает повреждённые системы, так что большинство мясокомбинатов возобновят свою работу в среду.
Как пояснила компания, признаков того, что в результате взлома оказались скомпрометированы данные клиентов, поставщиков или сотрудников, не обнаружено.
Тем не менее в JBS приостановили использование затронутых серверов, что чревато задержками в работе и отгрузках товара.
На современных технологических предприятиях компьютерные системы контролируют большую часть производственного процесса, отмечает издание. Из внутренней переписки сотрудников компании стало известно, что в результате хакерской атаки пришлось остановить работу крупнейших американских мясокомбинатов в штатах Колорадо, Айова, Миннесота, Пенсильвания, Небраска и Техас. Под угрозой также оказались операции JBS в Австралии и Канаде. Деятельность бразильского мясопроизводителя в Мексике и Великобритании не пострадала.
JBS является крупнейшим производителем и переработчиком мяса в мире. Через её комбинаты проходит почти четверть всей говядины и около пятой части свинины в США. Аналитики уже отметили, что остановка заводов даже на день может существенно повлиять на цены, которые и без того в этом году выросли. Впрочем, резкого подорожания эксперты не ожидают: во вторник JBS успела отгрузить продукцию почти со всех своих американских предприятий, а Минсельхоз США уже призвал других производителей увеличить темпы переработки на время сбоя и проверить безопасность собственных технологических систем.
Фото: Pxhere, CC0
Ещё ближе к делу — главные новости и самые интересные истории в нашем Telegram-канале.
Крупнейший производитель мяса JBS остановил работу в некоторых странах после кибератаки. Подозревают хакеров из России
Бразильская компания JBS, которая является крупнейшим производителем свинины и говядины в мире, остановила работу своих мясокомбинатов в США из-за кибератаки. Аналитики прогнозируют рост цен на продукты питания, пишет The Wall Street Journal.
Ключевые факты
- JBS стала жертвой атаки с использованием программ-вымогателей.
- В результате атаки были остановлены крупнейшие мясокомбинаты в США – в Колорадо, Айове, Миннесоте, Пенсильвании, Небраске и Техасе. Также пострадала деятельность JBS в Австралии и Канаде. В то же время производственные комплексы в Мексике и Великобритании от атаки хакеров не потерпели и работают в штатном режиме.
- По словам заместителя пресс-секретаря Белого дома Карин Жан-Пьер, нападение было совершено преступной группировкой, которая, вероятно, базируется в России.
США взаимодействует с российским правительством по этому вопросу. - JBS заявила, что не нашла признаков утечки данных клиентов, поставщиков или сотрудников в результате взлома.
- Компания прекратила использование пораженных серверов и предупредила поставщиков о возможных задержках в работе.
- Исполнительный директор JBS в США Андре Ногейра сообщил, что компания восстанавливает пораженные системы и большинство мясокомбинатов вернутся к работе с сегодняшнего дня.
- Быстрое восстановление серверов ослабит опасения по поводу роста цен на продукты питания, пишет Reuters.
США взаимодействует с российским правительством по этому вопросу.Важные цифры
JBS контролирует около 20% мощностей по убою крупного рогатого скота и свиней в США. В целом, JBS является крупнейшим в мире поставщиком мяса из более 150 заводов в 15 странах, отмечает BBC.
Контекст
Кибератака на JBS случилась всего через месяц после нападения хакеров из России на Colonial Pipeline – крупнейший топливный трубопровод в США.
Это на несколько дней остановило доставку топлива к юго-востоку страны. Как следствие, возник дефицит и выросли цены на топливо. Руководство Colonial Pipeline заплатило хакерам около $5 млн в криптовалюте в течение нескольких часов после нападения. Получив платеж, преступники дали оператору инструмент расшифровки для восстановления его отключенной компьютерной сети. Однако частично восстановить работу трубопровод смог только через несколько дней.
Длительные остановки заводов JBS могут привести к росту цен на мясо для американских потребителей во время летнего сезона гриля и нарушить экспорт мяса в период высокого спроса со стороны Китая. По данным Министерства сельского хозяйства США, цены на куски говядины, поставляемые оптовым покупателям, уже подскочили более чем на 1%.
Материалы по теме
- Категория
- Инновации
- Дата
Криминальный стартап, который взломал Colonial Pipeline.
Как работает хакерская группа DarkSideКасперская назвала возможных исполнителей хакерской атаки на Colonial Pipeline
Президент компании Info Watch Наталья Касперская предполагает, что в хакерской атаке на компанию Colonial Pipeline, случившуюся на прошлой неделе, могли участвовать американские спецслужбы. Об этом она сообщила в рамках международного салона «Комплексная безопасность 2021», сообщает РИА «Новости». Как заявила Касперская, киберпреступники обычно тщательно скрывают любую информацию о себе, поэтому точно установить их происхождение зачастую невозможно. Однако, по данным WikiLeaks, в ЦРУ существует подразделение UMBRAGE, которое специально маскируется под известные хакерские группировки, чтобы впоследствии обвинять их в тех или иных взломах. «[WikiLeaks] были перечислены страны, под чьи хакерские группы эта UMBRAGE маскируется. Это Россия, Северная Корея, Китай, Иран. И поэтому сказать с уверенностью, что атаку произвела хакерская группа из России, или это не было спровоцировано ими самими, или это не было сделано из какой-то другой страны — с уверенностью сказать этого нельзя», — сообщила эксперт.
Атака на Colonial Pipeline случилась 7 мая 2021 года и приостановила работу трубопровода, который обеспечивает топливом 45% населения Восточного побережья США, на пять дней. Это вызвало проблемы с поставками бензина, дизельного топлива, авиационного топлива и других продуктов нефтепереработки в нескольких штатах страны, а также спровоцировало рост цен. Компания была атакована вирусом-вымогателем, ответственность за внедрение которого взяла хакерская группировка DarkSide. В начале текущей недели киберпреступники извинились за атаку на трубопровод, заявив о том, что не хотели провоцировать хаос, а стремились лишь немного подзаработать. «Мы аполитичны, не имеем отношения к геополитике, поэтому не надо связывать нас с конкретным правительством и искать другие скрытые мотивы. Наша цель — заработать денег, а не устраивать людям проблемы. С сегодняшнего дня у нас появятся модераторы, которые будут проверять каждую компанию, чьи системы мы хотим зашифровать, чтобы избежать подобных последствий в будущем», — говорится в сообщении DarkSide, опубликованном на одном из форумов в даркнете.
Bloomberg утверждает, что руководство Colonial Pipeline выплатило преступникам выкуп в размере $5 млн, чтобы восстановить доступ к своим системам. По данным агентства, это случилось еще в первые часы после атаки, и правительство США знало о выплате. 12 мая телеканал CNBC сообщил о том, что DarkSide взломали еще три компании — краткий список данных, которые им удалось получить в ходе атаки, были опубликованы на сайте даркнета DarkSide Leaks. Известно, что жертвами стали организации из США, Бразилии и Шотландии. В общей сложности вымогатели похитили информацию объемом почти два терабайта. Пока нет данных о том, решили ли жертвы заплатить выкуп преступникам. Между тем, сегодня иностранным СМИ стало известно о цели покрупнее — DarkSide также взломали европейское подразделение компании Toshiba, одного из крупнейших японских производителей электроники, комплектующих и ИТ-оборудования. Об атаке сообщает Reuters со ссылкой на телесеть NHK. В Toshiba сообщили о том, что проведут расследование киберинцидента.
После новостей о возможном взломе акции компании упали на 0,2%.«Они сильно бьют»: как DarkSide стала центром атак программ-вымогателей
Работая с хакером по имени Ворис, DarkSide запустил серию атак, направленных на закрытие веб-сайтов издателя, который работает в основном с клиентами в начальной школе, если он откажется заплатить 1 доллар.Требование выкупа 75 миллионов. Он даже пригрозил связаться с клиентами компании, чтобы ложно предупредить их о получении информации, которая, по словам банды, может быть использована педофилами для изготовления поддельных удостоверений личности, которые позволят им входить в школы.
Ворис подумал, что эта последняя уловка была особенно приятной.
«Я до глубины души смеялся над утечкой удостоверений личности, которые, возможно, использовались педофилами для входа в школу», — сказал он по-русски в секретном чате с DarkSide, полученном The New York Times.«Я не думал, что это их так сильно напугает».
Атака DarkSide на владельца трубопровода, базирующуюся в Джорджии компанию Colonial Pipeline, не просто подтолкнула банду к международной арене. Он также пролил свет на быстро развивающуюся преступную индустрию, базирующуюся в основном в России, которая превратилась из специальности, требующей очень сложных хакерских навыков, в процесс, похожий на конвейерную ленту. Теперь даже мелкие преступные синдикаты и хакеры с посредственными компьютерными возможностями могут представлять потенциальную угрозу национальной безопасности.
Если раньше преступникам приходилось играть в психологические игры, чтобы обманом заставить людей передавать пароли банков и обладать техническими ноу-хау для вывода денег с безопасных личных счетов, то теперь практически любой может получить программу-вымогатель с полки и загрузить ее в скомпрометированную компьютерную систему, используя трюки, взятые из руководств YouTube или с помощью таких групп, как DarkSide.
«Теперь любой дурак может стать киберпреступником», — сказал Сергей Павлович, бывший хакер, отсидевший 10 лет в тюрьме в своей родной Беларуси за киберпреступления.«Интеллектуальный барьер для входа стал чрезвычайно низким».
Заглянув в секретные сообщения DarkSide за месяцы, предшествовавшие атаке на Colonial Pipeline, можно увидеть, что преступная операция набирает обороты, ежемесячно собирая выкуп на миллионы долларов.
ТАКЖЕ ПРОЧИТАЙТЕ: Система американских агентств по оказанию помощи, используемая для проведения кибератак со стороны России: Microsoft
DarkSide предлагает так называемую «программу-вымогатель как услугу», при которой разработчик вредоносного ПО взимает плату за пользователя с так называемых аффилированных лиц, таких как Woris, которые могут не обладать техническими навыками для создания программ-вымогателей, но все же способны взломать компьютер жертвы. Компьютерные системы.
Услуги DarkSide включают оказание технической поддержки хакерам, ведение переговоров с такими целями, как издательская компания, обработка платежей и разработка специализированных кампаний давления с помощью шантажа и других средств, таких как вторичные взломы для сбоя веб-сайтов.
Плата за пользование DarkSide действовала по скользящей шкале: от 25 процентов за любой выкуп менее 500 000 долларов до 10 процентов за выкуп свыше 5 миллионов долларов, по данным фирмы FireEye, занимающейся компьютерной безопасностью.
Похоже, что на начальном этапе DarkSide пришлось столкнуться с проблемами роста.В чате с кем-то из службы поддержки группы Ворис пожаловался, что платформу вымогателей сложно использовать, что стоило ему времени и денег, поскольку он работал с DarkSide, вымогая деньги у американской издательской компании.
«Я даже не понимаю, как вести дела на вашей платформе», — пожаловался он в ходе обмена мнениями где-то в марте. «Мы проводим так много времени, когда есть дела. Я понимаю, что тебе плевать. Если не мы, вам будут платить другие.Дело не в качестве, а в количестве ».
The Times получила доступ к внутренней «приборной панели», которую клиенты DarkSide использовали для организации и проведения атак с целью выкупа. Данные для входа в систему The Times были предоставлены киберпреступником через посредника.
The Times не раскрывает название компании, участвовавшей в атаке, чтобы избежать дополнительных репрессалий со стороны хакеров.
Доступ к панели управления DarkSide позволил получить необыкновенное представление о внутренней работе русскоязычной банды, ставшей лицом глобальной киберпреступности.Черно-белая панель управления давала пользователям доступ к списку целей DarkSide, а также к текущему тикеру прибыли и связи с персоналом службы поддержки группы, с которым аффилированные лица могли разрабатывать стратегии по оказанию давления на своих жертв.
Панель управления все еще работала по состоянию на 20 мая, когда в систему вошел репортер Times, хотя за неделю до этого DarkSide опубликовала заявление, в котором говорилось, что она закрывается. Сотрудник службы поддержки клиентов почти сразу же ответил на запрос в чате, отправленный репортером Times из аккаунта Woris.Но когда репортер представился журналистом, аккаунт сразу же заблокировали.
ТАКЖЕ ПРОЧИТАЙТЕ: Российский хакер атакует Apple с помощью вымогателя на сумму 50 миллионов долларов: подробности здесь
Еще до атаки на Colonial Pipeline бизнес DarkSide процветал.
По данным фирмы Elliptic, занимающейся кибербезопасностью, которая изучила биткойн-кошельки DarkSide, с октября 2020 года банда получила около 15,5 миллионов долларов в биткойнах, а еще 75 миллионов долларов были переданы аффилированным лицам.Серьезная прибыль такой молодой преступной группировки — по мнению исследователей компьютерной безопасности — DarkSide была создана только в августе прошлого года — подчеркивает, насколько быстро выросло русскоязычное киберпреступное подполье в последние годы. Этому росту способствовал рост криптовалют, таких как биткойн, которые сделали потребность в денежных мулах старой школы, которым иногда приходилось физически переправлять наличные через границу, практически устарели.
По словам экспертов по кибербезопасности, всего за пару лет программы-вымогатели превратились в четко организованный и разрозненный бизнес.Есть определенные хакеры, которые взламывают компьютерные системы, и другие, чья работа заключается в том, чтобы взять их под контроль.
Есть специалисты техподдержки и эксперты по отмыванию денег. У многих преступных группировок даже есть официальные представители, которые поддерживают связи со СМИ и проводят информационную работу.
Во многих отношениях организационная структура российской индустрии программ-вымогателей имитирует франшизы, такие как McDonald’s или Hertz, что снижает барьеры для входа и позволяет легко дублировать проверенные бизнес-практики и методы.Доступ к панели управления DarkSide был всем, что требовалось, чтобы открыть магазин как филиал DarkSide и, при желании, загрузить рабочую версию программы-вымогателя, использованной при атаке на Colonial Pipeline.
Хотя The Times не приобрела это программное обеспечение, издательская компания дала понять, каково это быть жертвой атаки программы-вымогателя DarkSide.
Первое, что видит жертва на экране, — это письмо о выкупе с инструкциями и мягкими угрозами.
«Добро пожаловать в DarkSide», — говорится в письме на английском языке, а затем объясняется, что компьютеры и серверы жертвы были зашифрованы, а все резервные копии удалены.
Для расшифровки информации жертвы направляются на веб-сайт, где им необходимо ввести специальный ключ доступа. В письме четко указано, что они могут обратиться в службу технической поддержки, если у них возникнут какие-либо проблемы.
«!!! ОПАСНОСТЬ !!! НЕ МОДИФИРУЙТЕ и НЕ ПЫТАЙТЕСЬ ВОССТАНОВИТЬ какие-либо файлы самостоятельно », — говорится в письме.«Мы НЕ сможем их ВОССТАНОВИТЬ».
Программное обеспечение DarkSide не только блокирует компьютерные системы жертв, но и крадет конфиденциальные данные, позволяя аффилированным лицам требовать оплаты не только за разблокировку систем, но и за отказ от публичного раскрытия конфиденциальной информации компании.
В журнале чата, просмотренном The Times, сотрудник службы поддержки DarkSide хвастался Ворису, что он участвовал в более чем 300 атаках с выкупом, и пытался его успокоить.
«Мы так же заинтересованы в выручке, как и вы», — сказал сотрудник.
Вместе они разработали план по оказанию давления на издательскую компанию, семейный бизнес с почти вековой историей, в котором работает всего несколько сотен сотрудников.
В дополнение к отключению компьютерных систем компании и заявлению о педофилии, служба технической поддержки Woris и DarkSide подготовила письмо с шантажом, которое было отправлено школьным чиновникам и родителям, которые были клиентами компании.
ТАКЖЕ ПРОЧИТАЙТЕ: Каждый второй взрослый человек в Индии стал жертвой киберпреступности за последние 12 месяцев: Отчет
«Уважаемые сотрудники школы и родители, — говорилось в письме, — не имею ничего личного против вас, это всего лишь бизнес». (Представитель компании сказал, что DarkSide никогда не связывался с клиентами, но обращались к нескольким сотрудникам.)
Вдобавок к этому, используя новую услугу, которую DarkSide представила в апреле, они планировали закрыть веб-сайты компании с помощью так называемых DDOS-атак, при которых хакеры перегружают сеть компании поддельными запросами.
По словам представителя компании, переговоры о выкупе с DarkSide длились 22 дня и велись по электронной почте или в блоге банды с хакером или хакерами, которые говорили только на искаженном английском языке.
Где-то в марте переговоры прервались из-за отказа компании выплатить выкуп в размере 1,75 миллиона долларов. DarkSide, похоже, был в ярости и пригрозил передать новости об атаке вымогателя в средства массовой информации.
«Игнорирование — очень плохая стратегия для вас.У вас мало времени », — написала DarkSide в электронном письме. «Через два дня мы опубликуем ваш пост в блоге и разошлем эту новость во все крупные СМИ. И все увидят вашу катастрофическую утечку данных ».
При всей своей силовой тактике DarkSide не был полностью лишен морального компаса. В списке правил, размещенном на панели управления, группа заявила, что любые атаки на образовательные, медицинские или правительственные объекты запрещены.
В своих сообщениях DarkSide старалась быть вежливой, и группа ожидала того же от хакеров, пользующихся ее услугами.В конце концов, группа «очень дорожит нашей репутацией», — говорится в сообщении DarkSide.
«Оскорблять или грубо по отношению к целям без причины запрещено», — сказал DarkSide.
«Мы стремимся зарабатывать деньги с помощью нормального и спокойного диалога».
Еще одно важное правило, принятое DarkSide, наряду с большинством других русскоязычных киберпреступников, подчеркивает реальность современной киберпреступности. Любой, кто живет в Содружестве Независимых Государств, совокупности бывших советских республик, строго запрещен для нападений.
Эксперты по кибербезопасности говорят, что ограничение «не работайте в .ru», отсылка к суффиксу национального домена России, стало обязательным в русскоязычном хакерском сообществе, чтобы избежать путаницы с российскими правоохранительными органами. Российские власти ясно дали понять, что они редко будут преследовать киберпреступников за атаки программ-вымогателей и другие киберпреступления за пределами России.
В результате, по мнению экспертов, Россия превратилась в глобальный центр атак программ-вымогателей.Фирма по кибербезопасности Recorded Future, базирующаяся за пределами Бостона, отслеживает около 25 групп программ-вымогателей, из которых около 15, включая пять крупнейших, предположительно базируются в России или других странах бывшего Советского Союза, сказал эксперт компании по анализу угроз.
Дмитрий Смилянец.
Сам г-н Смилянец — бывший хакер из России, который четыре года провел в федеральном заключении за киберпреступления. По его словам, Россия, в частности, превратилась в «оранжерею» для киберпреступников.
«В России создана атмосфера, в которой киберпреступники прекрасно себя чувствуют и могут процветать», — сказал г-н Смилянец. «Когда кто-то чувствует себя комфортно и уверен, что его не арестуют на следующий день, он начинает действовать более свободно и нагло».
Президент России Владимир Путин совершенно ясно изложил правила. Когда в интервью 2018 года американская журналистка Мегин Келли настаивала на том, почему Россия не арестовывает хакеров, которые, как считается, вмешивались в американские выборы, он ответил, что их не за что арестовывать.
«Если они не нарушили российский закон, им не за что возбуждать уголовное дело», — сказал г-н Путин. «Вы должны наконец осознать, что люди в России живут по российским законам, а не по американским».
После колониальной атаки президент Байден заявил, что у сотрудников разведки есть доказательства того, что хакеры были из России, но им еще предстоит найти какие-либо связи с правительством.
«Пока что нет доказательств, основанных на наших разведывательных службах, что Россия причастна, хотя есть доказательства того, что действующие лица, вымогатели, находятся в России», — сказал он, добавив, что российские власти «несут определенную ответственность. это.”
В этом месяце сотрудники службы поддержки DarkSide изо всех сил пытались отреагировать на отключение частей системы, которые группа без доказательств приписывала давлению со стороны Соединенных Штатов. В сообщении от 8 мая, на следующий день после того, как колониальная атака стала достоянием общественности, сотрудники DarkSide, похоже, надеялись на сочувствие со стороны своих филиалов.
«Теперь есть возможность оставить чаевые в службу поддержки в разделе« Платежи »», — говорится в сообщении.
«Это необязательно, но служба поддержки будет рада :).”
Через несколько дней после того, как ФБР публично назвал DarkSide виновником, Ворис, который еще не получил платеж от издательской компании, обратился в службу поддержки клиентов, очевидно обеспокоенный.
«Привет, как дела», — написал он. «Они сильно бьют».
Это было последнее общение Вориса с DarkSide.
Несколько дней спустя на панели управления появилось сообщение о том, что группа не закрывается, как говорилось, а продает свою инфраструктуру, чтобы другие хакеры могли продолжить прибыльный бизнес с программами-вымогателями.
«Цена договорная, — пишет DarkSide. «Запустив полностью аналогичную партнерскую программу, можно получать прибыль в размере 5 миллионов долларов в месяц».
Попробуйте этот странный трюк, который ненавидят русские хакеры — Krebs on Security
В ходе обсуждения Twitter на прошлой неделе, посвященного атакам программ-вымогателей, KrebsOnSecurity отметил, что практически все штаммы программ-вымогателей имеют встроенную защиту от сбоев, предназначенную для защиты от вредоносных программ: они просто не будут установлены на компьютер Microsoft Windows , который уже установлен один из многих типов виртуальных клавиатур — например, русская или украинская.
У стольких читателей возникли вопросы в ответ на твит, что я подумал, что стоит написать в блоге эту странную уловку киберзащиты.
Содружество Независимых Государств (СНГ) более или менее соответствует списку исключений для огромного количества вредоносных программ, поступающих из Восточной Европы.
В Твиттере возникла дискуссия об атаке программ-вымогателей на Colonial Pipeline, которая в начале этого месяца перекрыла 5 500 миль топливопровода почти на неделю, что привело к перебоям в поставках на АЗС по всей стране и росту цен.ФБР заявило, что атака была произведена DarkSide , новым программным обеспечением-вымогателем как услугой, в котором говорится, что оно нацелено только на крупные корпорации.
DarkSide и другие русскоязычные партнерские программы для зарабатывания денег уже давно запрещают своим преступным сообщникам устанавливать вредоносное ПО на компьютеры во многих странах Восточной Европы, включая Украину и Россию. Этот запрет восходит к самым ранним дням организованной киберпреступности и призван свести к минимуму контроль и вмешательство со стороны местных властей.
В России, например, власти, как правило, не инициируют расследование киберпреступлений в отношении одного из них, если только компания или физическое лицо в пределах страны не подает официальную жалобу в качестве жертвы. Обеспечение того, чтобы никакие филиалы не могли производить жертв в своих странах, — это самый простой способ для этих преступников остаться вне поля зрения национальных правоохранительных органов.
Возможно, почувствовав жар от упоминания в Указе президента Байдена о кибербезопасности на прошлой неделе, группа DarkSide стремилась дистанцироваться от своей атаки на Colonial Pipeline.В сообщении, опубликованном в блоге, посвященном позору жертв, DarkSide попытался сказать, что он «аполитичен» и что он не желает участвовать в геополитике.
«Наша цель — зарабатывать деньги, а не создавать проблемы для общества», — написали на прошлой неделе преступники DarkSide. «С сегодняшнего дня мы вводим модерацию и проверяем каждую компанию, которую наши партнеры хотят зашифровать, чтобы избежать социальных последствий в будущем».
Но вот в чем дело: Банды цифровых вымогателей, такие как DarkSide, очень стараются сделать все свои платформы геополитическими, потому что их вредоносное ПО спроектировано для работы только в определенных частях мира.
DarkSide, как и многие другие вредоносные программы, имеет жестко запрограммированный список стран, которые нельзя устанавливать, которые являются основными членами Содружества Независимых Государств (СНГ) — бывших советских сателлитов, которые в основном имеют благоприятные отношения с Кремлем. . Полный список исключений в DarkSide (опубликован Cybereason ) ниже:
Изображение: Cybereason.
Проще говоря, бесчисленные штаммы вредоносных программ будут проверять наличие одного из этих языков в системе, и, если они будут обнаружены, вредоносное ПО выйдет и не установится.
[Примечание. Многие эксперты по безопасности указывали на связи между группами вымогателей DarkSide и REvil (также известными как «Sodinokibi»).
REvil ранее назывался GandCrab, и одна из многих общих черт GandCrab и REvil заключалась в том, что обе программы запрещали аффилированным лицам заражать жертв в Сирии. Как видно из диаграммы выше, Сирия также не подвержена заражению программой-вымогателем DarkSide. И сама DarkSide доказала свою связь с REvil на прошлой неделе, объявив о закрытии магазина после того, как были конфискованы его серверы и средства в биткойнах.]
CAVEAT EMPTOR
Будет ли установка одного из этих языков обезопасить ваш компьютер с Windows от всех вредоносных программ? Точно нет. Существует множество вредоносных программ, которым все равно, в какой точке мира вы находитесь. И ничто не заменит принятия позы глубокоэшелонированной защиты и избегания рискованного поведения в сети.
Но есть ли на самом деле обратная сторона этого простого, бесплатного профилактического подхода? Ничего подобного, кроме, пожалуй, слабого чувства капитуляции. Худшее, что может случиться, это то, что вы случайно переключите языковые настройки, и все ваши пункты меню будут на русском.
Если это произойдет (а в первый раз это может вызвать неприятные ощущения), нажмите одновременно клавишу Windows и пробел; если у вас установлено более одного языка, вы увидите возможность быстро переключаться с одного языка на другой. Маленькая коробка, которая появляется при нажатии на комбинацию клавиш, выглядит так:
Киберпреступники, как известно, быстро реагируют на защиту, которая снижает их прибыльность, так почему бы плохим парням просто не изменить ситуацию и не начать игнорировать проверку языка? Что ж, они, безусловно, могут и, возможно, даже будут это делать (последняя версия DarkSide, проанализированная Mandiant, не выполняла проверку языка системы , а не ).
Но это увеличивает риск для их личной безопасности и состояния на некоторую нетривиальную сумму, говорит Эллисон Никсон , главный исследователь нью-йоркской фирмы кибер-расследований Unit221B.
Никсон сказал, что из-за уникальной правовой культуры России хакеры-преступники в этой стране используют эти проверки, чтобы гарантировать, что они атакуют только жертв за пределами страны.
«Это сделано для их правовой защиты», — сказал Никсон. «Установка кириллической клавиатуры или изменение определенной записи реестра на« RU »и т. Д. Может быть достаточным, чтобы убедить вредоносное ПО в том, что вы русский и не входите в систему.Технически это можно использовать в качестве «вакцины» против российского вредоносного ПО ».
Никсон сказал, что если достаточное количество людей будет делать это в большом количестве, это может в краткосрочной перспективе защитить некоторых людей, но, что более важно, в долгосрочной перспективе, это заставит российских хакеров сделать выбор: рисковать потерять юридическую защиту или рисковать потерять доход.
«По сути, российские хакеры в конечном итоге столкнутся с той же проблемой, с которой должны столкнуться защитники на Западе — с тем фактом, что очень трудно отличить отечественную машину от иностранной машины, маскирующейся под отечественную», — сказала она.
KrebsOnSecurity спросил коллегу Никсона из Unit221B — основателя Лэнса Джеймса — что он думает об эффективности другого подхода к борьбе с вредоносными программами, предложенного последователями Twitter, которые участвовали в обсуждении на прошлой неделе: Добавление записей в реестр Windows, которые указывают, что система работает как виртуальная машина (ВМ).
Чтобы помешать анализу антивирусных и охранных компаний, некоторые авторы вредоносных программ традиционно настраивают свое вредоносное ПО так, чтобы оно прекращало установку, если обнаруживает, что оно работает в виртуальной среде.
Но Джеймс сказал, что этот запрет уже не так распространен, особенно с учетом того, что многие организации перешли на виртуальные среды для повседневного использования.
«Виртуальная машина не останавливает вредоносное ПО, как раньше, — сказал Джеймс. «Фактически, многие программы-вымогатели, которые мы наблюдаем сейчас, работают на виртуальных машинах».
Но Джеймс говорит, что ему настолько нравится идея, что каждый добавляет язык из списка стран СНГ, что он создал свой собственный интерактивный двухстрочный пакетный скрипт Windows, который добавляет ссылку на русский язык в определенные разделы реестра Windows, которые проверяются вредоносными программами.Скрипт позволяет компьютеру с Windows выглядеть так, как будто на нем установлена русская клавиатура, без фактического скачивания дополнительных библиотек скриптов из Microsoft.
Чтобы установить другой язык клавиатуры на компьютер с Windows 10 по старинке, нажмите одновременно клавиши Windows и X, затем выберите «Настройки», а затем «Время и язык». Выберите Язык, а затем прокрутите вниз, и вы должны увидеть вариант установки другого набора символов. Выберите один, и язык будет установлен при следующей перезагрузке.Опять же, если по какой-то причине вам нужно переключаться между языками, Windows + пробел — ваш друг.
ФБР заявляет, что связанная с Россией группа взломала крупнейшего в мире поставщика мяса — Arise News
Российская киберпреступная группировка стояла за атакой программы-вымогателя, нацеленной на крупнейшую в мире мясоперерабатывающую компанию, сообщило ФБР.
ФБР заявило, что будет работать, чтобы привлечь к ответственности группу REvil за взлом JBS.
Кибер-взлом в минувшие выходные закрыл некоторые операции JBS в США, Канаде и Австралии.
REvil, также известный как Sodinokobi, — один из самых плодовитых и прибыльных киберпреступных картелей в мире.
«Мы приписали атаку JBS REvil и Sodinokibi и прилагаем все усилия, чтобы привлечь виновных к ответственности», — говорится в заявлении ФБР.
«Мы продолжаем концентрировать наши усилия на создании рисков и последствий и привлечении к ответственности ответственных кибер-субъектов».
Белый дом заявил в среду, что президент США Джо Байден поднимет вопрос о кибератаках, когда встретится с президентом России Владимиром Путиным через две недели.
«Ответственные государства не укрывают преступников-вымогателей», — заявила пресс-секретарь Джен Псаки.
JBS заявила, что в четверг возобновит операции по упаковке мяса в США, где расположены пять крупнейших заводов по производству говядины.
Компания, которая идентифицировала атаку вымогателя в воскресенье, не раскрывает, заплатила ли она хакерам.
Программа-вымогатель — одна из самых распространенных форм кибератак. Обычно хакеры получают доступ к компьютерной сети и либо шифруют файлы, либо блокируют доступ пользователей к своим системам до тех пор, пока не будет уплачен выкуп.
В 2019 году REvil был связан с скоординированной атакой на почти два десятка местных органов власти в Техасе.
В прошлом месяце поставка топлива на юго-восток США была остановлена на несколько дней после атаки программы-вымогателя, нацеленной на Colonial Pipeline.
Следователи утверждают, что атака была связана с другой группировкой, DarkSide, связанной с Россией.
Colonial Pipeline подтвердила, что заплатила выкуп в размере 4,4 миллиона долларов (3,1 миллиона фунтов стерлингов) преступной группировке.
В прошлом правительство США рекомендовало компаниям не платить преступникам за атаки программ-вымогателей на случай, если они предложат дальнейшие взломы в будущем.
Всего через несколько дней после атаки на Colonial Pipeline другая группа киберпреступников заразила национальную систему здравоохранения Ирландии программой-вымогателем.
Почему санкции против Путина и его союзников не работают
«Актом авиационного пиратства» глава Ryanair Майкл О’Лири описал насильственное заземление одного из своих самолетов в Минске белорусскими властями с целью ареста диссидента, находившегося на борту.
«Шокирующее нападение на гражданскую авиацию и нарушение международного права», — сказал министр иностранных дел Великобритании Доминик Рааб. Мишель Мартин, направлявшийся в Брюссель на экстренное совещание, призвал глав государств ЕС дать «очень твердый и решительный ответ» президенту Беларуси Александру Лукашенко. Но какой ответ может на самом деле дать Запад, чтобы положить конец беззаконию Лукашенко — и, что более важно, его временного союзника Владимира Путина? Куда ударить, где действительно больно?
Первой реакцией ЕС было начало приостановления действия лицензии национальной авиакомпании Беларуси, Белавиа, и призыв к запрету на все полеты из Европы в Минск.В качестве первого кадра это на первый взгляд кажется достаточно пропорциональным. Вот только пострадают не Лукашенко и не его начальники службы безопасности. Около 60 высокопоставленных белорусских чиновников, включая самого Лукашенко, уже подверглись личным санкциям после жестокого подавления инакомыслия прошлым летом, и им уже запрещено путешествовать или владеть активами в Европе.
Белорусские граждане, которые больше всего пострадают от нового запрета на полеты, вероятно, будут самыми международными и образованными.И Лукашенко, и Путин в настоящее время запрещают сотням тысяч своих граждан (в основном сотрудников служб безопасности) выезжать на Запад, поэтому запрет ЕС просто завершит работу, изолируя обычных граждан от разлагающего влияния зарубежных поездок.
«Если вы действительно хотите наказать Луку [шенко], дайте каждому молодому [белорусу] билет на самолет и шенгенскую визу», — написал анонимный пользователь мессенджера Telegram, где арестованный активист Роман Протасевич работал на двух влиятельных новостных каналах. .«Не сажайте нас в этот сумасшедший дом!»
Санкции? Запад пытается это сделать с 2012 года, начиная с замораживания активов и запрета на поездки должностных лиц, причастных к убийству в 2007 году разоблачителя московского адвоката Сергея Магнитского. С тех пор силы Путина вторглись в Крым; сбил гражданский авиалайнер; взломал Национальный комитет Демократической партии США и машины для голосования; и использовал запрещенное химическое оружие при покушении на перебежчика Сергея Скрипаля в Солсбери.
Не говоря уже о хакерских атаках на ключевые части западной инфраструктуры электросетей и нефтепроводов.
На каждое новое возмущение приходился ответный раунд санкций. Активы сотен российских чиновников были заморожены, российским государственным компаниям было запрещено привлекать международное финансирование, а западным компаниям угрожали санкциями, если они участвовали в крупных поддерживаемых Кремлем инфраструктурных проектах, таких как газопровод Северный поток — 2. . Никто ни на йоту не изменил поведение Путина.И такие меры также вряд ли подействуют на Лукашенко (который, для протокола, был осужден за «безответственный» угон самолета подконтрольными Кремлю российскими СМИ). Напротив, санкции позволили Путину обвинить в проблемах России враждебно настроенных иностранцев и выдать себя за защитника родины от иностранной агрессии.
Когда после вторжения в Крым в 2014 году курс российского рубля упал более чем на 50 процентов (в основном из-за падения цен на нефть, а не санкций), Путин в ответ запретил импорт всех продуктов питания в ЕС, что положило начало внутреннему производству.
и оградить свой народ от падающей покупательной способности их денег в твердой валюте.
Когда ЕС и Великобритания начали оказывать давление на иностранные активы, принадлежащие высокопоставленным кремлевским чиновникам, Путин объявил амнистию на все деньги, находящиеся за рубежом у российской элиты. Эта «деофшоризация» помогает Путину держать денежные средства его приближенных под рукой — и при этом оставаться уязвимыми. Более того, нахождение под санкциями США стало чем-то вроде знака чести среди российской элиты. «Что, вы все еще можете путешествовать?» — пошутил один из российских парламентариев своему коллеге на вечеринке на даче под Москвой, которую я посетил в ноябре прошлого года.«Какой ты патриот, мужик?»
Доминик Рааб, в то время как все еще выступал в роли защитника, был одним из самых видных сторонников Британского приказа о необъяснимом благосостоянии — радикальной с юридической точки зрения меры, которая эффективно снимает бремя доказывания по общему праву и заставляет людей доказывать, что их активы были приобретены на законных основаниях.
Идея заключалась в том, чтобы изменить статус Лондона как избранного хранилища миллиардов, украденных клептократами по всему миру. Но хотя с 2018 года в отношении россиян были выданы сотни бесповоротных акций, до сих пор ни один видный деятель, связанный с Кремлем, не видел конфискации значительных активов.«У них есть хорошие бухгалтеры, вот и все», — объясняет один из бывших чиновников Белого дома, который работал с Бараком Обамой над персональными санкциями в 2012 году. «Они не просто на шаг впереди казначейства… Они». Re вроде, 50.
И хотя большое количество детей из ближайшего окружения Кремля — в том числе, какое-то время, дочерей Путина и его пресс-секретаря Дмитрия Пескова — живут на Западе, идея коллективного наказания членов семьи вызывает беспокойство с этической точки зрения. .Таким образом, даже несмотря на то, что растущему списку названных лиц запрещается выезжать на Запад, их супруги, дети, члены семьи и деньги продолжают свободно циркулировать. Личные санкции работают не лучше экономических.
Что наиболее важно, Запад позволил фатальной путанице закрасться в их послание о санкциях. Некоторые санкции применялись за явно преступное поведение — например, сбитие самолета Mh27 авиакомпании Malaysian Airlines российской ракетой «Бук» в 2014 году или отравление Скрипаля.Другие были связаны с инцидентами, которые до сих пор не были окончательно доказаны как прямая работа Кремля — например, вмешательство в выборы в США в 2020 году и недавняя атака таинственной хакерской группы под названием DarkSide, которая остановила систему колониального трубопровода США. И несколько раундов санкций были за действия, которые можно было бы с полным основанием считать внутренними делами, например, жестокое подавление Лукашенко продемократических участников кампании. Эта скользящая шкала причинно-следственной связи позволила российским и белорусским пропагандистам списать все санкции как неоправданное вмешательство в политику своих стран.
«Ни Китай, ни Россия не могут более четко заявить о своем отказе позволить западное вмешательство в то, что они считают своими внутренними делами», — утверждает сэр Энтони Брентон, посол Великобритании в Москве во время первого президентского срока Путина.
«Санкции превратились в разновидность современной травли медведя; они просто усиливают гнев и непокорность медведя, предлагая при этом удовлетворение и публичное одобрение причинения боли ».
Так что будет работать? Россия, хотя в экономическом отношении меньше Южной Кореи, по-прежнему привязана к международным финансовым и банковским системам.Если бы он захотел, президент Джо Байден мог бы прекратить торговлю российскими казначейскими векселями и публично торгуемыми активами российских государственных компаний, таких как нефть Роснефти. Это вызовет немедленную и катастрофическую экономическую боль, вынудив Путина искать долговое финансирование у Китая со всей сопутствующей стратегической зависимостью, которая это принесет. Международная банковская клиринговая система SWIFT находится в Бельгии. Отключение российских коммерческих банков немедленно приведет к краху межбанковской торговли. Миллионы российских карт Visa (штаб-квартира: Фостер-Сити, Калифорния) и Mastercards (Покупка, Нью-Йорк) могут немедленно стать бесполезными.
Даже российский интернет-домен .ru контролируется Интернет-корпорацией по присвоению имен и номеров или ICANN, американской некоммерческой организацией, базирующейся в Калифорнии. И последнее, но не менее важное: Европейский союз на сегодняшний день является крупнейшим потребителем российского природного газа, на который приходится около 25% бюджета Путина.
Но может ли обрушение банковской системы России, прекращение всех ее связей с международными финансами и источниками доходов и изоляция ее от всемирной паутины наказанием для Путина? Или вместо этого он загонит его в отчаянный угол и объединит простых людей вокруг своего лидера?
Есть еще одна проблема: кто на самом деле заказал отравления, взломы и посадку на землю рейса Ryanair? Сокращенно использовать слова «Путин» или «Лукашенко» несложно.Но на самом деле эти вопиющие действия являются результатом махинаций спецслужб (в случае с Беларусью, которую до сих пор с ностальгией называют КГБ). Санкции якобы направлены на смену политики лидеров.
Но что, если лидеры не полностью контролируют службы безопасности, действующие от их имени?
И Байден, и Европа предпочли оставить в игре кнут и пряник. В 2019 году, после атаки Скрипаля, администрация Трампа дала понять, что российские казначейские векселя могут стать мишенью путем введения ограничений на торговлю ими американцами — сигнал, что Байден в своем последнем раунде санкций, связанных с хакерскими атаками, повторно заявил воздерживаясь от фактического поворота винта.Ангела Меркель постоянно отказывалась подчиняться требованиям США о закрытии финансируемого Россией трубопровода «Северный поток-2» по дну Балтийского моря, который должен начать перекачку газа непосредственно в Германию в конце этого года. Но отношение меняется даже среди немецкой элиты, традиционно «понимающей Путина» — не в последнюю очередь после того, как критик Кремля Алексей Навальный в течение месяца лечился от отравления Новичком в берлинской больнице и его посетила Меркель.
Путин и Лукашенко, тем временем, сумели пройти по тонкой грани — временами вести себя как лидеры стран-изгоев, сохраняя при этом достаточное международное доверие, чтобы, например, провести будущий саммит с участием Байдена.
Оба делают ставку на то, что Западу есть что потерять в открытой конфронтации. Запад, со своей стороны, по-прежнему надеется, что растущие экономические ожидания будут способствовать стремлению к свободе и переменам среди молодежи России и Беларуси — и не хотят угасать эти надежды, сокрушая свою экономику и вызывая уродливую националистическую реакцию. Это хрупкий баланс, и каждый акт отравления, взлома и международного пиратства приближает этот последний сезон разрядки к опасному краху в полномасштабную новую холодную войну.
