Аналитики из Eset, международной компании-разработчика систем защиты от вирусов, представили итоги расследования глобальной хакерской атаки, повлекшей заражение компьютеров криптошифратром Diskcoder, или Petya, множества компаний, но особо сильно данная проблема коснулась Украины. Эксперты Eset смогли обнаружить начальную точку и выявить вектор заражения. Больше 75% атакованных организаций (от общего количества) находились именно на территории Украины. Все началось с заражения программного обеспечения M.E.Doc, которое использовалось для создания и управления документацией и отчетами. Злоумышленники смогли заполучить право доступа к серверам, через которые происходила отправка новых версий M.E.Doc, и уже с их помощью начали распространять обновления, содержащие в себе криптошифратор.

Специалисты нашли скрытый бэкдор с весьма сложной структурой, который внедрен преступниками в один из компонентов M.E.Doc.

Исследовав все версии M.E.Doc, которые выпускались в текущем году, эксперты вывели предположение, что бэкдор был создан благодаря изменению исходного кода программного обеспечения. В 2017 вышло не менее 3-х обновлений, каждое из которых содержало в себе данный криптошифратор.

• 01.175-10.01.176 – 14.04.2017
• 01.180-10.01.181 – 15.05.2017
• 01.188-10.01.189 – 22.06.2017

Первые широкомасштабные заражения шифратором Petya (Diskcoder.C по спецификации Eset) были замечены четко через 5 дней после начала распространения актуальной версии с внедренным вирусом от 22.06.2017.

Но также в мае этого года исследователи из Eset отмечали еще один криптошифратор - XData (Win32/Filecoder.AESNI.C), заражавший устройства опять же через популярную в Украине систему M.E.Doc.

Примечательно то, что 17.05.2017 вышла новая версия M.E.Doc, однако в нее не был внедрен вирус. Думаем, это и стало причиной относительно невысокого процента заражений криптошифратором XData. Злоумышленники забыли учесть данное обновление, активировав XData только 18 мая. Большинство компаний к тому моменту уже успели загрузить актуальную версию M.E.Doc.

Интегрированный в несколько версий M.E.Doc бэкдор дал возможность загружать и активировать на подверженных заражению устройствах (серверах, компьютерах и т.п.) сторонние программы, то есть, криптошифраторы – именно так и начинались атаки вирусами Petya и XData. Ко всему прочему, данные зловреды проводили сбор установок прокси-серверов и электронных почтовых ящиков (логины/пароли, указанные в документах M.E.Doc), ЕДРПОУ-кодов организаций и прочих важных данных.

Однако Антон Черепанов, глава аналитического отделения антивируса Eset, говорит о том, что специалистам необходимо ответить еще на множество вопросов – сколько времени киберпреступники использовали этот бэкдор? Какие еще вирусы (не считая Petya и XData) могли проникнуть в систему с его помощью? Какие структуры также создавались злоумышленниками, но не использовались теми, кто ответственен за вышеописанные атаки?

Специалисты Eset будут и дальше работать над этими задачами и анализировать заражения по многим факторам (поведение вируса, схемы, цели). Они уже смогли установить отношение хакеров из «Telebots» к распространению Petya. Но, к сожалению, установить личности тех, кто состоит в данной группе, сейчас крайне тяжело.

В любом случае, эксперты Eset настойчиво советуют всем пользователям M.E.Doc не забывать основ информационной безопасности и поменять пароли к любым прокси-серверам и электронным почтовым ящикам.