Специалисты ISSP Labs 22 августа зафиксировали начало новой волны кибератак с использованием официального сайта компании по разработке комплекса бухгалтерского учета Crystal Finance Millennium. Как выяснили журналисты «Фразы», при мониторинге вирусной активности была обнаружена рассылка, в которой был идентифицирован интересный образец.
«Файл с названием „док.zip“ загружается вместе с полученным электронным письмом, которое открывает жертва, и является текстовым файлом со скриптом на языке JavaScript», — цитирует экспертов ISSP Liga.net.
Скрипт является загрузчиком, основная задача которого — скачать и запустить исполняемый файл load.exe, который становится окном для злоумышленников. Вредоносный файл собирает информацию о компьютере жертвы и отправляет ее на командные центры злоумышленников. Этот же файл ждет инструкций от злоумышленников на установку дополнительных модулей.
Они превращают компьютер жертвы в желаемый для хакеров ресурс (это может быть бэкдор, через который злоумышленники могут проникать в инфраструктуру, минуя средства защиты; кейлогер, который будет собирать информацию о нажатых клавишах и отправлять ее командным центрам; сканнер, который будет собирать информацию о захватываемой инфраструктуре и много другое).
«Вероятно, злоумышленники использовали уязвимости сайта для размещения там вредоносных файлов, либо это результат атаки NotPetya 27.06.2017. Так что, возможно, это первая „ласточка“ подготовки полномасштабной кибератаки перед праздниками», — сообщают эксперты ISSP Labs.
Как сообщала «Фраза», 3 августа 2017 года глава департамента киберполиции Сергей Демедюк заявил, что в Украине на День Независимости 24 августа ожидается новая волна кибератак. «Мы предупреждаем, что это будет 24-го августа, на День Независимости. Мы видим, что такие атаки происходят накануне или в день каких-то больших праздников для Украины», — отметил он, объяснив, что основной удар следует ждать от бухгалтерского программного обеспечения M.E.Doc.
Напомним, Национальный банк Украины предупредил банки и других участников финансового сектора об осуществляемой 27 июня внешней хакерской атаке неизвестным вирусом на несколько украинских банков, а также некоторые предприятия коммерческого и государственного секторов.
Вскоре об атаках также начали сообщать российские государственные компании.
28 июня 2017 года появилась информация о том, что компьютерный вирус, атаковавший Украину, зафиксирован в Польше, Италии, Великобритании, Литве, Германии, Франции и США.
В тот же день масштабная кибератака на корпоративные сети и сети органов власти была остановлена.
Заместитель министра информационной политики Украины Дмитрий Золотухин показал, как может выглядеть фишинговое письмо с вирусом Petya.A.
29 июня украинский фондовый рынок фактически приостановил работу в ожидании восстановления деятельности инфраструктуры рынка, заблокированной вирусом Petya.А. При этом восстанавливается работа банков, которые стали жертвами этой атаки.
30 июня стало известно, что большинство случаев заражения вирусом-шифровальщиком Petya.А пришлось на Украину. На Германию — 9%, на Польшу — 5,8%. На Россию пришлось лишь 0,8%.
1 июля Служба безопасности Украины заявила об установлении причастности спецслужб РФ к атаке вируса Petya.A.
Коллектив подразделений информационных технологий и программирования Департамента Киберполиции дал рекомендации пользователям, компьютеры которых подверглись атаке вируса «Petya.A», как наиболее просто и безболезненно восстановить доступ к операционной системе.
В ночь с 4 на 5 июля сотрудники прокуратуры, Киберполиции и СБУ проводили обыски в компании Интеллект-Сервис (M.E.Doc). В ходе обыска изъяты около ста серверов и даже коммуникационное оборудование для телефонной связи.
