Кіберполіція запобігли новій атаці Petya

Останнім часом Україну накрила хвиля масштабних кібератак. Одній з них вдалося запобігти.

«Сьогодні спеціальні агенти Департаменту кіберполіції, разом з фахівцями СБУ та міської прокуратури, припинили другий етап кібератаки Petya», — написав на свій сторінці в Facebook міністр внутрішніх справ України Арсен Аваков.

Також він повідомив, що атака стартувала о 13:40. Пік планувався на 16:00, однак до 15:00 кіберполіція заблокувала розсилку та активацію вірусу з серверів інформаційної системи М.Е.Doc і атака була зупинена. Сервери вилучено разом зі слідами впливу кіберзлочинців з очевидними джерелами з Російської Федерації.

Аналіз обставин зараження дозволяє припустити, що особи, які організували напад, можуть бути причетні до вірусної атаки на українські державні структури і приватні компанії 27 червня, оскільки способи поширення дуже схожі на вірус-шифрувальник (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya).

Департамент кіберполіції настійно рекомендує всім користувачам змінити паролі і електронні цифрові підписи.

Нагадаємо, 27 червня, о 10:30, відбулося зараження інформаційних систем українських компаній через оновлення програмного забезпечення, призначеного для звітності та документообігу M.E.Doc. Вони масово потрапили під удар вірусу-шифрувальника (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya).

За отриманими даними від правоохоронних органів іноземних держав і міжнародних компаній, що здійснюють діяльність в сфері інформаційної безпеки, зловмисники здійснили несанкціоноване втручання в роботу одного з персональних комп'ютерів компанії-розробника зазначеного програмного забезпечення ТОВ «Інтелект-Сервіс».

Представники компанії-розробника M.E.Doc були проінформовані про те, що у них є уразливості в системах антивірусних компаній, але це проігнорували. Однак компанія-виробник заперечує проблеми з безпекою, назвавши це «збігом».

Виявлений фахівцями бекдор по функціоналу має можливість збирати коди ЄДРПОУ уражених компаній і відправляти їх на віддалений сервер, а також завантажувати файли, збирати інформацію про операційну систему та ідентифікаційні дані користувачів.

Після спрацьовування бекдора хакери компрометували облікові записи користувачів з метою отримання повного доступу до мережі. Далі вони отримували доступ до мережного обладнання з метою виведення його з ладу.

За допомогою IP KVM хакери здійснювали завантаження власної операційної системи на базі TINY Linux. З метою приховування вдалої кібератаки і несанкціонованого збору інформації з комп'ютерів зловмисники через оновлення M.E.Doc поширили модифікований ransomware Petya. Видалення і шифрування файлів операційних систем було скоєно з метою видалення слідів попередньої злочинної діяльності і відволікання уваги шляхом імітації вимагання грошових коштів від потерпілих.

Для локалізації кіберзагрози Національною поліцією України та СБУ було створено оперативно-технічний штаб, до якого увійшли представники найвідоміших українських і закордонних компаній з кібербезпеки. На сьогодні Національною поліцією України розпочато досудове розслідування.