ESET pomohl ukrajinské policii odhalit původce ransomware kampaně

  |   Virus Lab

Útok malware z rodiny Petya 27. června okrajově zasáhl i Českou republiku. Na Ukrajině se šířil prostřednictvím škodlivých aktualizací účetního programu M.E.Doc.

1499672940_26960473_ml.jpg

Šíření nového ransomware z rodiny Petya, který ESET detekuje jako Win32/Diskcoder.C Trojan, měl na Ukrajině na svědomí účetní software M.E.Doc. Ukrajinská policie na základě informací společnosti ESET zabavila servery společnosti, která tento software vyvíjí. Důkladné šetření má prověřit, jak se škodlivý kód do aktualizací dostal a přivést vyšetřovatele na stopu skutečných pachatelů. Bez přístupu ke zdrojovému kódu účetního softwaru by takový útok nebyl možný.

Ransomware se začal šířit v úterý 27. června okolo poledne a napadl kritickou infrastrukturu Ukrajiny: bankovní domy, telekomunikační společnosti, média i energetické společnosti. Útočníci k jeho infiltraci do počítačů využili aktualizaci softwaru M.E.Doc, která se uživatelům spouštěla automaticky. Daný účetní software používá 80 procent ukrajinských firem. Ukrajinská policie tvrdí, že prostřednictvím aktualizací M.E.Doc se šířil backdoor, jehož prostřednictvím bylo možné do napadených počítačů stáhnout další škodlivé kódy, včetně zmiňovaného ransomware.

Majitelé společnosti M.E.Doc podíl na útoku vyloučili. Podle Antona Cherepanova, Senior Malware Researchera Esetu, útočníci svoji ransomware kampaň velmi dobře naplánovali a jen těžko by byla uskutečnitelná bez přístupu ke zdrojovému kódu M.E.Doc.

ESET zjistil, že škodlivé mohly být hned tři aktualizace účetního softwaru M.E.Doc. První, firma odeslala klientům 14. dubna, tedy skoro čtvrt roku před útokem ransomware z rodiny Petya. Útočníci měli mít přístup ke zdrojovému kódu M.E.Doc již od začátku letošního roku. „Na útok se dlouhodobě připravovali,“ konstatuje Anton Cherepanov.

PETYA SM Thumbnail 1200x630 2 MAP

Ransomware kromě Ukrajiny částečně zasáhl i další země, zejména Polsko a Německo. Částečně se projevil i v České republice, i když oproti původním předpokladům nezpůsobil tak velké škody. Útočníci zašifrovali napadené počítače a od obětí žádali výkupné 300 dolarů (v přepočtu sedm tisíc korun). Zaplatit však stihlo jen několik napadených, protože záhy byla komunikace mezi útočníky a jejich oběťmi přerušena. Společnost, jejíž e-mailovou schránku útočníci pro tuto komunikace využívali, ji totiž neprodleně smazala.



Dvojklik