Украина опасается новой волны заражения вымогательским ПО

[душман]

Украинские власти и предприятия обеспокоены заявлением местной фирмы по безопасности ISSP Labs. Сообщается о взломе ещё одного производителя программного обеспечения для бухгалтерского учета. Серверы производителя были использованы для распространения вредоносных программ.

Инцидент почти идентичен тому, как 27 июня этого года началась вспышка заражения вредоносной программой NotPetya. Тогда хакеры взломали серверы компании Intellect Services и заменили пакеты обновлений бухгалтерской программы MEDoc вредоносным ПО. Эксперты упоминают по меньшей мере три различных вида вымогательского ПО распостраняемых с серверов производителя (XData, NotPetya и клон WannaCry).

На этот раз, согласно двум отчетам от ISSP Labs, хакеры обошли защиту серверов Crystal Finance Millennium (CFM), еще одного разработчика программного обеспечения для бухгалтерского учета. Хакерам не удалось проникнуть в системы обновления ПО от CFM, но они смогли получить доступ к web-сайту компании и использовать его для распостранения вредоносных программ.

По словам директора отдела глобальных исследований и анализа «Лаборатории Касперского» Костина Раю, злоумышленники взломали серверы компании в районе 18 августа. За это время группа отправила фишинговые письма множеству целей. Письма содержали ZIP-архив, в котором присутствовал файл JavaScript. Когда пользователи распаковывали архив и запускали JS-файл, скрипт загружал файл под названием load.exe с web-сервера CFM.

В последствии файл load.exe загружал программу-вымогатель Purge, подвид целого семейства вымогательского ПО Globe.  Данная программа занимает 9-е место в списке лучшего вымогательского ПО за второй квартал 2017 г. Еще в октябре прошлого года Emsisoft выпустила бесплатный дешифратор для данной версии Globe, но нет никаких гарантий, работы дешифратора с более новыми версиями.

Обеспокоенность украинских властей обусловленна обнаружением вредоноса на сервере украинской компании именно в канун Дня независимости. В свое время, вспышка заражения NotPetya также произошла 27 июня, за день до Дня Конституции Украины.

Многие фирмы по безопасности связали NotPetya с российской кибер-шпионской группой TeleBots. ESET и другие эксперты, заявлявшие, что TeleBots решили распространить NotPetya за день до государственного праздника, чтобы максимизировать ущерб. Украинские власти и местные компании опасались второй атаки TeleBots, после того, как узнали о взломе серверов CFM.

По словам представителей сервиса MalwareHunter, опасения напрасны. Сейчас В Украине затишье касательно заражения вымогательским ПО, за исключением нескольких случаев заражения программой PSCrypt.  На момент написания этой статьи поставщик веб-хостинга CFM уже вмешался и отключил web-сайт компании для предотвращения распространения вредоносного файла.