Попытка второй атаки вируса Petya снова произошла через М. Е. Doc: в компании провели обыски.
« Пик атаки планировался на 16: 00. Стартовала атака в 13: 40. До 15: 00 киберполиция заблокировала рассылку и активацию вируса с серверов информационной системы М. Е. Doc (программное обеспечение для отчетности и документооборота) « , — написал он в Facebook.
Благодаря своевременным действиям правоохранителей, атака была остановлена, сервера компании-разработчика программного обеспечения М. Е. Doc « Интеллект-сервис » изъяты « вместе со следами воздействия киберпреступников с очевидными источниками из Российской Федерации ».
В офисе « Интеллект-сервис » вчера провели обыски и изъяли программное и аппаратное обеспечение, с помощью которого распространялось вредоносное ПО.
Как сообщил Аваков, обыск и изъятие проводилось с целью немедленного прекращения бесконтрольного распространения Diskcoder. C. Объектами осмотра являются рабочие компьютеры персонала и серверное оборудование, через которое распространялось программное обеспечение.
Кроме этого, правоохранители указывают на бездействие должностных лиц ООО « Интеллект-Сервис », которые, несмотря на неоднократные предупреждения антивирусных компаний и департамента киберполиции, вводили в заблуждение своих пользователей, уверяя их в безопасности M. E. Doc.
Департамент киберполиции настоятельно рекомендует всем пользователям сменить пароли и электронные цифровые подписи, в связи с тем, что эти данные могли быть скомпрометированы. Как готовилась крупнейшая хакерская атака на Украину — версия Авакова
27 июня 2017 в 10: 30 украинские государственные структуры и частные компании из уязвимости ПО M. E.doc. массово попали под удар вируса-шифровальщика (ransomware) Diskcoder. C (ExPetr, PetrWrap, Petya, NotPetya) .
Как сообщил Арсен Аваков, для локализации масштабной киберугрозы, Нацполицией и СБУ был создан оперативно-технический штаб, в который вошли представители самых известных украинских и иностранных компаний по кибербезопасности.
Экспертами было установлено, что поражение информационных систем украинских компаний произошло через обновление программного обеспечения, предназначенного для отчетности и документооборота M. E. Doc.
Злоумышленники осуществили несанкционированное вмешательство в работу одного из персональных компьютеров компании-разработчика указанного программного обеспечения — ООО « Интеллект-Сервис ».
Это подтверждено правоохранительными органами иностранных государств и международными компаниями, осуществляющими деятельность в сфере информационной безопасности.
Получив доступ к исходным кодам, они в одно из обновлений программы встроили бэкдор (backdoor) — программу, которая устанавливала на компьютерах пользователей M. E. Doc несанкционированный удаленный доступ. Такое обновление программного обеспечения, вероятно, произошло еще 15 мая 2017 года.
Представители компании-разработчика M. E. Doc были проинформированы о наличии уязвимостей в их системах антивирусными компаниями, но это было проигнорировано, отметил Аваков.
Компания-производитель отрицает проблемы с безопасностью и назвала это « совпадением ».
Вместе с тем установлено, что обнаруженный бэкдор по функционалу имеет возможность собирать коды ЕГРПОУ пораженных компаний и отправлять их на удаленный сервер, загружать файлы, собирать информацию об операционной системе и идентификационные данные пользователей.
Также на данный момент известно, что после срабатывания бэкдора, хакерская программа компрометировала учетные записи пользователей, с целью получения полного доступа к сети. Далее получали доступ к сетевому оборудованию с целью выведения его из строя. С помощью IP KVM осуществляли загрузки собственной операционной системы на базе TINY Linux.
Злоумышленники с целью сокрытия удачной кибероперации по массовому поражению компьютеров и несанкционированному сбору с них информации тем же самым способом через последние обновления ПО M. E. Doc распространили модифицированный ransomware Petya.
Удаление и шифрование файлов операционных систем было совершено с целью удаления следов предварительной преступной деятельности (бэкдора) и отвлечения внимания путем имитации вымогательства денежных средств от пострадавших.
« Следствием прорабатывается версия, что настоящими целями были стратегически важные для государства компании, атаки на которые могли дестабилизировать ситуацию в стране », — сообщил министр внутренних дел.
Анализ обстоятельств заражения позволяет предположить, что лица, которые организовали нападения с использованием WannaCry могут быть причастны к вирусной атаки на украинские государственные структуры и частные компании 27 июня, поскольку способы распространения и общее действие подобные вирусу-шифровальщику (ransomware) Diskcoder. C (ExPetr, PetrWrap, Petya, NotPetya) .
Напомним, разработчик M. E. Doc опровергал информацию о том, что обновление этой программы стало причиной быстрого распространения вируса, и сообщил, что сам стал жертвой кибератаки. « Это стало причиной временной блокировки сервисов, в том числе сервера обмена первичными документами. В настоящее время ведутся активные работы по восстановлению работоспособности всех сервисов », — говорится в его релизе.
