Аваков: Киберполиция предотвратила вторую атаку Petya

Министр внутренних дел Арсен Аваков сообщил, что вчера, 4 июня, сотрудниками киберполиции совместно с СБУ и прокуратурой был прекращен второй этап атаки вируса Petya. Об этом он написал на своей странице в Facebook.

Эту новость передает Час Пик.<

"Сегодня специальные агенты департамента киберполициы, вместе со специалистами СБУ и городской прокуратуры - прекратили второй этап кибератаки Petya.

Пик атаки планировался на 16.00. Стартовала атака в 13.40. До 15.00 киберполиция заблокировала рассылку и активацию вируса с серверов информационной системы М.Е. Doc.

Атака была остановлена. Сервера изъяты, вместе со следами воздействия киберпреступников с очевидными источниками с Российской Федерации.

Теперь немного подробнее о последних днях и сегодняшних обстоятельствах.

Вирус Diskcoder.C - он же Гога, он же Гоша .. не ..

- он же - ExPetr, PetrWrap, Petya, NotPetya - Прикрытие масштабной кибератаки в истории Украины.

27.06.2017 в 10:00 30 минут украинские государственные структуры и частные компании из уязвимости ПО "M.E.doc." (Программное обеспечение для отчетности и документооборота) массово попали под удар вируса-шифровальщика (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya).

Для локализации масштабной киберугрозы, Национальной полицией Украины и Службой безопасности Украины был создан оперативно-технический штаб, в который вошли представители самых известных украинских и иностранных компаний по кибербезопасности. По указанным фактам Национальной полицией Украины начато досудебное расследование.

Экспертами было установлено, что поражение информационных систем украинских компаний произошло, через обновление программного обеспечения предназначенного для отчетности и документооборота - "M.E.Doc".

По полученным данным (подтверждено правоохранительнымы органами иностранных государств и международным компаниями, осуществляющим деятельность в сфере информационной безопасности), Злоумышленник осуществил несанкционированное вмешательство в работу одного из персональных компьютеров компании-разработчика указанного программного обеспечения - ООО "Интеллект-Сервис".

Получив доступ к исходным кодам, он в одно из обновлений программы встроилы бэкдор (backdoor) - программу, которая устанавливала на компьютерах пользователей "M.E.Doc" несанкционированный удаленный доступ. Такое обновление программного обеспечения вероятно произошло еще 15.05.2017 года.

Представители компании-разработчика "M.E.Doc" были проинформированы о наличии уязвимостей в их системах антивируснымы компаниями, но это было проигнорировано. Компания-производитель отрицает проблемы с безопасностью и назвала это «совпадение».

Вместе с тем установлено, что Обнаруженный бэкдор по функционалу имеет возможность собирать коды ЕГРПОУ пораженных компаний, и отправлять их на удаленный сервер, загружать файлы, собирать информацию об операционной системе и идентификационный данные пользователей.

Также, на данный момент известно, что после срабатывания бэкдора, атакер компрометирующих учетные записи пользователей, с целью получения полного доступа к сети. Далее получали доступ к сетевому оборудованию с целью выведения его из строя. С помощью IP KVM осуществляли загрузки собственной операционной системы на базе TINY Linux.

Злоумышленник, с целью сокрытия удачной кибероперации по массовому поражению компьютеров и несанкционированного сбора с них информации, тем же Самым способом, через последние обновления ПО "M.E.Doc" распространилы модифицированный ransomware Petya.

Удаление и шифрования файлов операционных систем, было совершено с целью удаления следов предварительной преступной деятельности (бэкдора), и отвлечение внимания путем имитации вымогательства денежных средств от пострадавших.

Следствием прорабатывается версия, что настоящими целями были стратегически важные для страны компании, атаки на которые могли дестабилизировать ситуацию в стране.

Анализ обстоятельств заражения позволяет предположить, что лица, которые организовали нападения с внедрением WannaCry могут быть причастны к вирусной атаки на украинские государственные структуры и частные компании 27 июня, поскольку способы распространения и общее действие подобные вируса-шифровальщик (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya).

С целью немедленного прекращения бесконтрольного распространения Diskcoder.C (новую активность была зафиксирован сегодня в 13.40), а также Учитывая бездействие должностных лиц ООО "Интеллект-Сервис", Которые, несмотря на неоднократны предупреждения антивирусных компаний и Департамента киберполициы, вводили в заблуждение свои пользователей, Уверяю их в безопасности по "MEDoc" - принято решение о проведении обысков и изъятия программного и аппаратного обеспечения компании, с помощью которого распространялось ШПЗ.

Обыск будет проведен представителями Департамента киберполициы, следователями и при участии Службы безопасности Украины. Объектами осмотра являются рабочие компьютеры персонала и серверное оборудование через которое распространялось программное обеспечение.

Департамент киберполициы настоятельно рекомендует всем пользователям сменить пароли и электронные цифровые подписи, в связи с тем, что эти данные могли быть скомпрометированы", - написал министр.