Русский язык
Українська мова
Интернет-магазин лицензионного
Eset о шифровальщике Petya
7 июля 2017
Антивирусная компания Eset предоставила результаты исследования, проведенного ее специалистами и касающегося нашумевшей кибератаки с заражением множества компьютеров в Украине и во всем миру вирусом-шифровальщиком Diskcoder.C также известным как Petya. В ходе исследования стало возможным определить начальную точку и вектор заражения. Украинские компании больше всех пострадали от атаки (более 75% от всех зараженных компаний по всему миру), причем очагом заражения стали украинские пользователи ПО для ведения документооборота и отчетности M.E.Doc.
Киберпреступники получили доступы к серверу обновлений программного обеспечения M.E.Doc и уже непосредственно с него производили рассылку зараженные вирусом-шифровальщиком обновления на компьютеры пользователей.
Экспертам из Eset удалось обнаружить скрытый сложно структурированный бэкдор, имплантированный в один из модулей программного обеспечения M.E.Doc.
Изучив все обновления ПО M.E.Doc, выпущенные за 2017 год, специалисты предполагают что атакующие внедрили бэкдор имея доступы к исходным кодам программы. Внедренный вирус содержали как минимум три обновления:
- 01.175-10.01.176 – 14.04.2017
- 01.180-10.01.181 – 15.05.2017
- 01.188-10.01.189 – 22.06.2017
Массовая атака вируса Petya (Diskcoder.C — согласно классификации Eset) началась ровно через пять дней после рассылки зараженного обновления -27.06.2017
Стоит отметить, что еще в мае, специалисты из Eset зафиксировали действие еще одного вируса-шифровальщика XData (Win32/Filecoder.AESNI.C), который заражал компьютеры пользователей ПО M.E.Doc.
Интересным фактом является то что 17.05.2017 у M.E.Doc было обновление которое не было инфицировано шифровальщиком. Скорее всего это объясняет малое количество заражений шифровальщиком XData, киберпреступники просто не учли обновления 17.05 и активировали шифровальщик 18.05, однако большое количество пользователей на то время уже установили обновление.
Встроенная в обновления программы для ведения документооборота «лазейка» позволила устанавливать и запускать на зараженных серверах и машинах другое опасно программное обеспечение — так осуществлялась начальная стадия инфицирования шифровальщиками Petya, а также XData. Помимо этого, вирус собирал настройки прокси-серверов и электронной почты (логины и пароли из M.E.Doc), а также ЕДРПОУ коды фирм и другую информацию.
Из комментария Антона Черепанова, главного вирус-аналитика компании Eset:
«Исследовательской группе еще предстоит дать ответ множество вопросов, например: — Как долго этот бэкдор использовался? Какие еще вредоносные приложения и коды (кроме Petya и XData), поступали через него? Какие инфраструктуры еще были скомпрометированы, но еще не использованы преступниками ответственными за эту атаку?».
Исследователи из Eset продолжают свою работу над анализом вышеупомянутой атаки и по количеству признаков, (схемы, цели и характер атаки) выявили связи между эпидемией Petya и хакерской группировкой под названием «Telebots». Однако стоить отметить что достоверно выяснить, кто именно стоит за преступной деятельностью этой группы, на данный момент невозможно.
Компания Eset настоятельно рекомендует всем компаниям, которые пользуются M.E.Doc серьезно отнестись к защите информации, изменить пароли у всех прокси-серверов и электронной почты.