Вирус Petya
Из открытых источников
27.06.2017 в 10 часов 30 минут украинские государственные структуры и частные компании из-за уязвимости ПО "M.E.Doc" (программное обеспечение для отчетности и документооборота) массово попали под удар вируса-шифровальщика (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya).

Министр внутренних дел Арсен Аваков рассказал, как это все происходило и что делать пользователям.

Оригинал на странице Арсена Авакова в Facebook.

Для локализации масштабной киберугрозы Национальной полицией Украины и Службой безопасности Украины был создан оперативно-технический штаб, в который вошли представители известных украинских и иностранных компаний по кибербезопасности. По указанным фактам Национальной полиции Украины начато досудебное расследование.

Теперь немного подробнее о последних днях и сегодняшних обстоятельствах.

Вирус Diskcoder.C - он же ГОГА, он же Гоша.. не..
– он же - ExPetr, PetrWrap, Petya, NotPetya - прикрытие самой масштабной кибератаки в истории Украины.

Экспертами было установлено, что поражения информационных систем украинских компаний состоялось, через обновление программного обеспечения, предназначенного для отчетности и документооборота – "M.E.Doc".

По полученным данным (подтверждено правоохранительными органами иностранных государств и международными компаниями, осуществляющими деятельность в сфере информационной безопасности), злоумышленники осуществили несанкционированное вмешательство в работу одного из персональных компьютеров компании-разработчика указанного программного обеспечения - ООО "Интеллект-Сервис".

Новости по теме: Киберполиция Украины остановила повторную атаку вируса Petya, – Аваков

Получив доступ к исходным кодам, они в одно из обновлений программы встроили бэкдор (backdoor) - программу, которая устанавливала на компьютеры пользователей "M.E.Doc" несанкционированный удаленный доступ. Такое обновление программного обеспечения, вероятно, произошло еще 15.05.2017 года. Представители компании-разработчика "M.E.Doc" были проинформированы о наличии уязвимостей в их системах антивирусными компаниями, но это было проигнорировано. Компания-производитель опровергла проблемы с безопасностью и назвала это "совпадением".

Вместе с тем выяснено, что обнаруженный бэкдор с функционалом может собирать коды ЕГРПОУ пораженных компаний и отправлять их на удаленный сервер, загружать файлы, собирать информацию об операционной системе и идентификационные данные пользователей.

Также на данный момент известно, что после срабатывания бэкдора атакеры компрометировали учетные записи пользователей с целью получения полного доступа к сети. Далее получали доступ к сетевому оборудованию с целью вывода его из строя. С помощью IP KVM осуществляли загрузку собственной операционной системы на базе TINY Linux.

Злоумышленники с целью сокрытия удачной кибероперации касательно массового поражения компьютеров и несанкционированного сбора с них информации тем же самым способом через последнее обновление ПО "M.E.Doc" распространили модифицированный ransomware Petya.

Удаление и шифрование файлов операционных систем было совершено с целью удаления следов предыдущей преступной деятельности (бэкдора) и отвлечения внимания путем имитации вымогательства денежных средств от потерпевших.

Следствием прорабатывается версия, что настоящими целями были стратегически важные для государства компании атаки, которые могли дестабилизировать ситуацию в стране.

Новости по теме: Серверы софта M.E.Doc изъяли по делу о кибератаке

Комплексный анализ обстоятельств заражения позволяет предположить, что лица, которые организовали нападения с использованием WannaCry, могут быть причастны к вирусной атаке на украинские государственные структуры и частные компании 27 июня, поскольку способы распространения и общее действие аналогичны вирусу-шифровальщику (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya).

С целью немедленного прекращения бесконтрольного распространения Diskcoder.C (новая активность была зафиксирована сегодня в 13:40), а также учитывая бездействие должностных лиц ООО "Интеллект-Сервис", которые, несмотря на неоднократные предупреждения антивирусных компаний и Департамента киберполиции, вводили в заблуждение своих пользователей, заверив их в безопасности ПО "M.E.Doc", принято решение о проведении обысков и изъятии программного и аппаратного обеспечения компании, с помощью которого  распространялся вирус.

Обыски проведены представителями Департамента киберполиции, следователями и при участии Службы безопасности Украины. Объектами осмотра являются рабочие компьютеры персонала и серверное оборудование, через которое распространялось программное обеспечение.

Департамент киберполиции настоятельно рекомендует всем пользователям сменить свои пароли и электронные цифровые подписи в связи с тем, что эти данные могли быть скомпрометированы.

Редакция может не соглашаться с мнением автора. Если вы хотите написать в рубрику "Мнение", ознакомьтесь с правилами публикаций и пишите на blog@112.ua.