Уважаемые пользователи Голос!
Сайт доступен в режиме «чтение» до сентября 2020 года. Операции с токенами Golos, Cyber можно проводить, используя альтернативные клиенты или через эксплорер Cyberway. Подробности здесь: https://golos.io/@goloscore/operacii-s-tokenami-golos-cyber-1594822432061
С уважением, команда “Голос”
GOLOS
RU
EN
UA
nightwolk
7 лет назад

Petya. Последние новости

Все еще продолжается разбор и анализ сильно всколыхнувшего общественность вируса Petya, которого так, собственно, никто не называет. Специалисты ESET наименовали его  Diskcoder.C , но я все-равно буду называть по старому - потому что все привыкли.

По результатам исследований, было заявлено, что "нулевым пациентом" стал все же M.E.Doc. Было заражено как минимум три обновения:

  •  10.01.175-10.01.176 от 14 апреля
  • 10.01.180-10.01.181 от 15 мая
  • 10.01.188-10.01.189 от 22 июня

Так же, сотрудники антивирусных компаний нашли в коде зловреда бэкдор, который кроме всего прочего, предоставляет удаленный доступ к зараженной машине и отправляет злоумышленникам данные с компов, включая ЕДРПОУ (идентификатор предприятий Украины), что позволяет более точно таргетировать атаку. Это еще один факт в копилку за то, что Петруха - оружие кибернетической войны.

Руководство фирмы долго отрицало причастность своего ПО к распространению вируса. В частности, исполнительный директор Олеся Билоусова с апломбом заявляла:

 Мы  изучили и проанализировали наш продукт на предмет следов взлома – он не  заражен вирусом, все хорошо, он безопасен. Мы сто раз перепроверили  обновления, которые были присланы задолго до распространения вируса. С  ними все в порядке. […] M.e.doc – это продукт для передачи данных. Он передает документы.  Виновна ли почтовая программа в распространении вируса? Вряд ли

Особенно вторая часть цитаты. "M.e.doc – это продукт для передачи данных. Он передает документы.  Виновна ли почтовая программа в распространении вируса?" Ну, если ставить вопрос так - то конечно не виновна. Ну так программу-то никто и не обвиняет. Обвиняют все вас, тупых мартышек, не озаботившихся безопасностью своего детища. Ибо, с того момента, как я с ней работал (а это около четырех лет прошло), ничего не изменилось - обновления не сертифицируются и шлются по http, давая шикарный простор для творчества нехороших людей. Впрочем,  это уже лирика. Госпожа Билоусова признала вину, о чем говорится в сообщении на фейсбуке (https://www.facebook.com/medoc.ua/posts/1908536359433942). Перевод: 

«Впервые за историю существования ПО M.E.Doc произошел  беспрецедентный факт взлома, в результате которого в продукт был внесен  вредоносный программный код в пакет обновления. По словам ведущих международных экспертов и правоохранителей,  вмешательство было осуществлено высокопрофессиональными специалистами.
<…>
Понимая всю ответственность, разработчики M.E.Doc приложили максимум  усилий, чтобы исправить ситуацию. Нами было разработано обновление,  которое гарантированно исключает угрозу для пользователей. Однако в ходе  проведения следственных действий серверы компании временно изъяты для  анализа проникновения. Таким образом, пока мы лишены возможности выпустить обновление с  повышенной степенью безопасности», — гласит официальное заявление.

Теперь, когда вина доказана, руководству компании грозит уголовное наказание за преступную халатность, о чем заявил министр Аваков. Правильно ли это? Не думаю, что прям вот уж уголовную, но денег взыщут много. И это заслуженное наказание за пренебрежение информационной безопасностью. Если вы - контора, программой которой пользуется 80% украинских предприятий, то уж будьте любезны уделить время секьюрности. Хотя лично мне почему-то кажется, что осуществить такого уровня взлом без помощи изнутри просто нереально. Так что, не исключено, что внутри фирмы был крот, подготовивший атакующим плацдарм.

В данный момент сервера Медка изъяты МВД Украины, что позволило остановить новую волну вирусов, которые окопались в следующем обновлении. 

ESET утверждает, что к вирусным атакам, поразившим Украину, причастна группировка TeleBots. Сами же хакеры недавно вышли на связь посредством чятика в даркнете и потребовали 100 биткоинов за ключ дефишрации. Некоторые журналисты связались с хакерами и получили подтверждение того, что данные реально расшифровать. В это, правда, не до конца верят эксперты - есть мнения, что вирус больно ломал MFT и MBR, вледствие чего данные могут потеряны насовсем. Некоторые компании уже высказали заинтересованность в покупке ключа дешифрации за практически четверть миллиона долларов.

---

Источники:

http://www.securitylab.ru/news/487160.php

https://www.anti-malware.ru/news/2017-07-06/23356

https://habrahabr.ru/company/eset/blog/332472/

https://habrahabr.ru/company/drweb/blog/332444/

https://xakep.ru/2017/07/05/petya-medoc-aftermath/

0
0.012 GOLOS
На Golos с June 2017
Комментарии (1)
Сортировать по:
Сначала старые