среда, 5 июля 2017 г.

Попытка второй атаки вируса Petya снова произошла через М.Е.Doc: в компании провели обыски



Специальные агенты департамента киберполиции совместно с сотрудниками Службы безопасности Украины и киевской городской прокуратуры прекратили второй этап кибератаки вируса Petya во вторник, 4 июля, сообщил министр внутренних дел Украины Арсен Аваков

Пик атаки планировался на 16:00. Стартовала атака в 13:40. До 15:00 киберполиция заблокировала рассылку и активацию вируса с серверов информационной системы М.Е.Doc (программное обеспечение для отчетности и документооборота)", — написал он в Facebook.


Благодаря своевременным действиям правоохранителей, атака была остановлена, сервера компании-разработчика программного обеспечения М.Е.Doc "Интеллект-сервис" изъяты "вместе со следами воздействия киберпреступников с очевидными источниками из Российской Федерации".

В офисе "Интеллект-сервис" вчера провели обыски и изъяли программное и аппаратное обеспечение, с помощью которого распространялось вредоносное ПО.

Как сообщил Аваков, обыск и изъятие проводилось с целью немедленного прекращения бесконтрольного распространения Diskcoder.C. Объектами осмотра являются рабочие компьютеры персонала и серверное оборудование, через которое распространялось программное обеспечение.

Кроме этого, правоохранители указывают на бездействие должностных лиц ООО "Интеллект-Сервис", которые, несмотря на неоднократные предупреждения антивирусных компаний и департамента киберполиции, вводили в заблуждение своих пользователей, уверяя их в безопасности M.E.Doc.

Департамент киберполиции настоятельно рекомендует всем пользователям сменить пароли и электронные цифровые подписи, в связи с тем, что эти данные могли быть скомпрометированы.

Как готовилась крупнейшая хакерская атака на Украину — версия Авакова

27 июня 2017 в 10:30 украинские государственные структуры и частные компании из уязвимости ПО M.E.doc. массово попали под удар вируса-шифровальщика (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya).

Как сообщил Арсен Аваков, для локализации масштабной киберугрозы, Нацполицией и СБУ был создан оперативно-технический штаб, в который вошли представители самых известных украинских и иностранных компаний по кибербезопасности.

Экспертами было установлено, что поражение информационных систем украинских компаний произошло через обновление программного обеспечения, предназначенного для отчетности и документооборота M.E.Doc.

Злоумышленники осуществили несанкционированное вмешательство в работу одного из персональных компьютеров компании-разработчика указанного программного обеспечения — ООО "Интеллект-Сервис".

Это подтверждено правоохранительными органами иностранных государств и международными компаниями, осуществляющими деятельность в сфере информационной безопасности.

Получив доступ к исходным кодам, они в одно из обновлений программы встроили бэкдор (backdoor) — программу, которая устанавливала на компьютерах пользователей M.E.Doc несанкционированный удаленный доступ. Такое обновление программного обеспечения, вероятно, произошло еще 15 мая 2017 года.

Представители компании-разработчика M.E.Doc были проинформированы о наличии уязвимостей в их системах антивирусными компаниями, но это было проигнорировано, отметил Аваков.

Компания-производитель отрицает проблемы с безопасностью и назвала это "совпадением".

Вместе с тем установлено, что обнаруженный бэкдор по функционалу имеет возможность собирать коды ЕГРПОУ пораженных компаний и отправлять их на удаленный сервер, загружать файлы, собирать информацию об операционной системе и идентификационные данные пользователей.

Также на данный момент известно, что после срабатывания бэкдора, хакерская программа компрометировала учетные записи пользователей, с целью получения полного доступа к сети. Далее получали доступ к сетевому оборудованию с целью выведения его из строя. С помощью IP KVM осуществляли загрузки собственной операционной системы на базе TINY Linux.

Злоумышленники с целью сокрытия удачной кибероперации по массовому поражению компьютеров и несанкционированному сбору с них информации тем же самым способом через последние обновления ПО M.E.Doc распространили модифицированный ransomware Petya.

Удаление и шифрование файлов операционных систем было совершено с целью удаления следов предварительной преступной деятельности (бэкдора) и отвлечения внимания путем имитации вымогательства денежных средств от пострадавших.

"Следствием прорабатывается версия, что настоящими целями были стратегически важные для государства компании, атаки на которые могли дестабилизировать ситуацию в стране", — сообщил министр внутренних дел.

Анализ обстоятельств заражения позволяет предположить, что лица, которые организовали нападения с использованием WannaCry могут быть причастны к вирусной атаки на украинские государственные структуры и частные компании 27 июня, поскольку способы распространения и общее действие подобные вирусу-шифровальщику (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya).

Напомним, разработчик M.E.Doc опровергал информацию о том, что обновление этой программы стало причиной быстрого распространения вируса, и сообщил, что сам стал жертвой кибератаки. "Это стало причиной временной блокировки сервисов, в том числе сервера обмена первичными документами. В настоящее время ведутся активные работы по восстановлению работоспособности всех сервисов", — говорится в его релизе.

_________________________________
EEFGroup
Восточно-Европейская Финансовая Группа
кредит, инвестиции, лизинг

Комментариев нет: