Многие слышали про бушующий вирус, шифрующий файлы и распространяющийся через почту. Сегодня же появилась инфа, что на самом деле это было сделано для отвода глаз и вытирания следов более серьезной угрозы, чем обычное шифрование файлов. На самом деле целью был сбор, кража инфы и удаленный доступ к определенной группе компаний, а вот шифровка и вымогательство уже как следствие для затирания следов своей деетельности.
Виноват во всем оказался бухгалтерский софт для подачи отчетность "M.E.doc." Каким-то образом в его обновления, по предварительным данным ещё два месяца назад, был вписан дополнительный код, благодаря которому на ПК с медком вместе с обновой устанавливалась с помощью IP KVM операционка на базе TINY Linux. В результате мало того, что сливалась вся инфа хакерам - ключи и подписи от бухгалтерии, так ещё и удаленный доступ к ПК могли\могут получить. На данный момент сервера Медка изъяты, собран консилиум из украинских и иностранных экспертов по кибербезопасности и ведутся дальнейшие разборки, дабы хотя бы понять как идентифицировать - имело ли место быть заражение или нет.
Пруф и источник: https://www.facebook.com/cyberpoliceua/photos/pcb.540958002695034/540956769361824/?type=3&theater
Виноват во всем оказался бухгалтерский софт для подачи отчетность "M.E.doc." Каким-то образом в его обновления, по предварительным данным ещё два месяца назад, был вписан дополнительный код, благодаря которому на ПК с медком вместе с обновой устанавливалась с помощью IP KVM операционка на базе TINY Linux. В результате мало того, что сливалась вся инфа хакерам - ключи и подписи от бухгалтерии, так ещё и удаленный доступ к ПК могли\могут получить. На данный момент сервера Медка изъяты, собран консилиум из украинских и иностранных экспертов по кибербезопасности и ведутся дальнейшие разборки, дабы хотя бы понять как идентифицировать - имело ли место быть заражение или нет.
Пруф и источник: https://www.facebook.com/cyberpoliceua/photos/pcb.540958002695034/540956769361824/?type=3&theater
Еще на тему