В последнее время Украину накрыла волна масштабных кибератак. Одну из них удалось предотвратить.
«Сегодня специальные агенты Департамента киберполиции, вместе со специалистами СБУ и городской прокуратуры, прекратили второй этап кибератаки Petya», — написал на свой странице в Facebook министр внутренних дел Украины Арсен Аваков.
Также он сообщил, что атака стартовала в 13:40. Пик планировался на 16:00, однако до 15:00 киберполиция заблокировала рассылку и активацию вируса с серверов информационной системы М.Е.Doc и атака была остановлена. Серверы изъяты вместе со следами воздействия киберпреступников с очевидными источниками с Российской Федерации.
Анализ обстоятельств заражения позволяет предположить, что лица, организовавшие нападения, могут быть причастны к вирусной атаке на украинские государственные структуры и частные компании 27 июня, поскольку способы распространения очень похожи на вирус-шифровальщик (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya).
Департамент киберполиции настоятельно рекомендует всем пользователям сменить пароли и электронные цифровые подписи.
Напомним, 27 июня, в 10:30, произошло заражение информационных систем украинских компаний через обновление программного обеспечения, предназначенного для отчетности и документооборота M.E.Doc. Они массово попали под удар вируса-шифровальщика (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya).
По полученным данным от правоохранительных органов иностранных государств и международных компаний, осуществляющих деятельность в сфере информационной безопасности, злоумышленники осуществили несанкционированное вмешательство в работу одного из персональных компьютеров компании-разработчика указанного программного обеспечения ООО «Интеллект-Сервис».
Представители компании-разработчика M.E.Doc были проинформированы о том, что у них есть уязвимости в системах антивирусных компаний, но это проигнорировали. Однако компания-производитель отрицает проблемы с безопасностью, назвав это «совпадением».
Обнаруженный специалистами бэкдор по функционалу имеет возможность собирать коды ЕГРПОУ пораженных компаний и отправлять их на удаленный сервер, а также загружать файлы, собирать информацию об операционной системе и идентификационные данные пользователей.
После срабатывания бэкдора хакеры компрометировали учетные записи пользователей с целью получения полного доступа к сети. Далее они получали доступ к сетевому оборудованию с целью выведения его из строя.
С помощью IP KVM хакеры осуществляли загрузку собственной операционной системы на базе TINY Linux. С целью сокрытия удачной кибератаки и несанкционированного сбора информации с компьютеров злоумышленики через последние обновления ПО M.E.Doc распространили модифицированный ransomware Petya. Удаление и шифрование файлов операционных систем было совершено с целью удаления следов предварительной преступной деятельности и отвлечения внимания путем имитации вымогательства денежных средств от пострадавших.
Для локализации киберугрозы Национальной полицией Украины и СБУ был создан оперативно-технический штаб, в который вошли представители самых известных украинских и иностранных компаний по кибербезопасности. На сегодня Национальной полицией Украины начато досудебное расследование.
