Украинские власти и предприятия настораживаются после того, как местная охранная фирма сообщила, что другой производитель программного обеспечения для бухгалтерского учета был взломан, а его серверы использовались для распространения вредоносного ПО.
Инцидент практически идентичен тому, как началась эпидемия вымогателей NotPetya 27 июня этого года, когда хакеры взломали серверы Intellect Services и троянизированные пакеты обновлений для программного пакета MEDoc, предоставив по крайней мере три семейства вымогателей в трех разных случаях ( XData , NotPetya и двойник WannaCry ).
Хакеры взломали конкурента MEDoc
На этот раз, согласно двум отчетам ISSP Labs, хакеры взломали серверы Crystal Finance Millennium (CFM), другой компании, которая производит бухгалтерское программное обеспечение для местных предприятий, одного из конкурентов Intellect Services.
Хакеры взломали не системы обновления CFM, а только веб-сервер компании, который они использовали для хранения вредоносных программ.
По словам Костина Райу, директора группы глобальных исследований и анализа «Лаборатории Касперского», злоумышленники взломали серверы компании как минимум с 18 августа на прошлой неделе.
За это время группа рассылала фишинговые письма различным целям. Электронные письма содержали ZIP-файл, который, в свою очередь, содержал файл JavaScript. Когда пользователи разархивировали архив и запустили файл JS, сценарий загружал файл с именем load.exe с веб-сервера CFM.
Несколько взломанных серверов, распространяющих программы-вымогатели, другие
По словам Крайу, файл load.exe позже загрузит программу-вымогатель Purge, ответвление более крупного семейства программ-вымогателей Globe. Касперский назвал эту версию Purgen и поставил ее на 9 место в своем списке лучших семейств программ-вымогателей за второй квартал 2017 года.
Еще в октябре прошлого года Emsisoft ранее выпустила бесплатный дешифратор для версии Globe’s Purge, но мы не можем гарантировать, что дешифратор будет работать с более новыми версиями.
Согласно дополнительным данным, включенным в отчет ISSP Labs, атаки были частью более крупной кампании по распространению вредоносного ПО с аналогичными файлами load.exe, размещенными на веб-серверах других компаний.
Исследователь безопасности Sophos Labs, известный под псевдонимом OD, говорит, что он обнаружил один из файлов load.exe, распространяемых через другой сервер, и сказал, что он видел, как он удалял банковского трояна Zbot.
Третий исследователь безопасности из американской фирмы по кибербезопасности и Барт Парис, независимый исследователь безопасности, также упомянули, что видели банковского трояна Chthonic.
В сообщении в блоге, опубликованном после даты первоначальной публикации этой статьи, Парис также сообщил, что он обнаружил ту же вредоносную кампанию, в которой задействованы SmokeLoader и PSCrypt , семейство программ-вымогателей, нацеленных исключительно на Украину. Это примечательно, поскольку эксперты полагали, что PSCrypt распространялся вручную через RDP-соединения.
Это похоже на банальную вредоносную кампанию
В общем, похоже, что это обычная вредоносная кампания, обнаруженная не на том сервере и в неподходящее время.
Мы говорим «неподходящее время», потому что завтра День независимости Украины. Эпидемия вымогателя NotPetya произошла 27 июня, за день до Дня Конституции Украины.
Многие охранные компании приписывают вспышку вымогателя NotPetya российской кибершпионажной группе TeleBots . ESET и другие эксперты заявили, что TeleBots решили распространить NotPetya за день до национального праздника, чтобы нанести максимальный ущерб.
Украинские официальные лица и местные предприятия опасались второй атаки TeleBots, когда узнали о взломе серверов CFM.
В Украине не было серьезных вспышек программ-вымогателей
Bleeping Computer обратился к MalwareHunter, одному из исследователей ID-Ransomware, онлайн-сервиса, который позволяет жертвам вымогателей определять тип вымогателя, заразившего их компьютеры.
Согласно MalwareHunter, активность в сфере вымогателей из Украины практически отсутствует, за исключением нескольких случаев заражения PSCrypt, которые связаны с кампанией, начавшейся на прошлой неделе и которую теперь, оглядываясь назад, связывают эксперты ISPP. на серверы Crystal Finance Millennium.
В общем, нет никаких свидетельств того, что кто-то нацелен на Украину с помощью еще одной крупной кампании вымогателей.
На момент написания этой статьи провайдер веб-хостинга CFM вмешался и отключил веб-сайт компании, чтобы не допустить распространения вредоносной информации среди новых жертв (см. Изображение выше).
Представители CFM или ISSP Labs не были доступны для комментариев из-за национального праздника.
По материалам – https://yrodu.ru/