Petya. Последние новости
Все еще продолжается разбор и анализ сильно всколыхнувшего общественность вируса Petya, которого так, собственно, никто не называет. Специалисты ESET наименовали его Diskcoder.C , но я все-равно буду называть по старому - потому что все привыкли.
По результатам исследований, было заявлено, что "нулевым пациентом" стал все же M.E.Doc. Было заражено как минимум три обновения:
- 10.01.175-10.01.176 от 14 апреля
- 10.01.180-10.01.181 от 15 мая
- 10.01.188-10.01.189 от 22 июня
Так же, сотрудники антивирусных компаний нашли в коде зловреда бэкдор, который кроме всего прочего, предоставляет удаленный доступ к зараженной машине и отправляет злоумышленникам данные с компов, включая ЕДРПОУ (идентификатор предприятий Украины), что позволяет более точно таргетировать атаку. Это еще один факт в копилку за то, что Петруха - оружие кибернетической войны.
Руководство фирмы долго отрицало причастность своего ПО к распространению вируса. В частности, исполнительный директор Олеся Билоусова с апломбом заявляла:
Мы изучили и проанализировали наш продукт на предмет следов взлома – он не заражен вирусом, все хорошо, он безопасен. Мы сто раз перепроверили обновления, которые были присланы задолго до распространения вируса. С ними все в порядке. […] M.e.doc – это продукт для передачи данных. Он передает документы. Виновна ли почтовая программа в распространении вируса? Вряд ли
Особенно вторая часть цитаты. "M.e.doc – это продукт для передачи данных. Он передает документы. Виновна ли почтовая программа в распространении вируса?" Ну, если ставить вопрос так - то конечно не виновна. Ну так программу-то никто и не обвиняет. Обвиняют все вас, тупых мартышек, не озаботившихся безопасностью своего детища. Ибо, с того момента, как я с ней работал (а это около четырех лет прошло), ничего не изменилось - обновления не сертифицируются и шлются по http, давая шикарный простор для творчества нехороших людей. Впрочем, это уже лирика. Госпожа Билоусова признала вину, о чем говорится в сообщении на фейсбуке (https://www.facebook.com/medoc.ua/posts/1908536359433942). Перевод:
«Впервые за историю существования ПО M.E.Doc произошел беспрецедентный факт взлома, в результате которого в продукт был внесен вредоносный программный код в пакет обновления. По словам ведущих международных экспертов и правоохранителей, вмешательство было осуществлено высокопрофессиональными специалистами.
<…>
Понимая всю ответственность, разработчики M.E.Doc приложили максимум усилий, чтобы исправить ситуацию. Нами было разработано обновление, которое гарантированно исключает угрозу для пользователей. Однако в ходе проведения следственных действий серверы компании временно изъяты для анализа проникновения. Таким образом, пока мы лишены возможности выпустить обновление с повышенной степенью безопасности», — гласит официальное заявление.
Теперь, когда вина доказана, руководству компании грозит уголовное наказание за преступную халатность, о чем заявил министр Аваков. Правильно ли это? Не думаю, что прям вот уж уголовную, но денег взыщут много. И это заслуженное наказание за пренебрежение информационной безопасностью. Если вы - контора, программой которой пользуется 80% украинских предприятий, то уж будьте любезны уделить время секьюрности. Хотя лично мне почему-то кажется, что осуществить такого уровня взлом без помощи изнутри просто нереально. Так что, не исключено, что внутри фирмы был крот, подготовивший атакующим плацдарм.
В данный момент сервера Медка изъяты МВД Украины, что позволило остановить новую волну вирусов, которые окопались в следующем обновлении.
ESET утверждает, что к вирусным атакам, поразившим Украину, причастна группировка TeleBots. Сами же хакеры недавно вышли на связь посредством чятика в даркнете и потребовали 100 биткоинов за ключ дефишрации. Некоторые журналисты связались с хакерами и получили подтверждение того, что данные реально расшифровать. В это, правда, не до конца верят эксперты - есть мнения, что вирус больно ломал MFT и MBR, вледствие чего данные могут потеряны насовсем. Некоторые компании уже высказали заинтересованность в покупке ключа дешифрации за практически четверть миллиона долларов.
---
Источники:
http://www.securitylab.ru/news/487160.php
https://www.anti-malware.ru/news/2017-07-06/23356
https://habrahabr.ru/company/eset/blog/332472/